前不久，豆瓣網(wǎng)友“獨(dú)掉寒江血”發(fā)帖稱凌晨收到100多條短信，然后發(fā)現(xiàn)自己支付寶、余額寶、網(wǎng)銀的錢已經(jīng)不翼而飛，還被申請(qǐng)了不少貸款，而這個(gè)網(wǎng)友的手機(jī)并沒(méi)有離開身邊。

　　無(wú)獨(dú)有偶，近期多地警方陸續(xù)接報(bào)一類蹊蹺案件，很多人早上起床后發(fā)現(xiàn)手機(jī)收到很多驗(yàn)證碼和銀行扣款短信，甚至網(wǎng)上銀行APP登錄賬號(hào)和密碼也已被篡改，損失慘重。整個(gè)過(guò)程中，受害者處于熟睡狀態(tài)，沒(méi)有進(jìn)行任何操作，取款密碼等關(guān)鍵信息也保證沒(méi)有泄露。

　　經(jīng)過(guò)調(diào)查，“GSM劫持+短信嗅探技術(shù)”浮出水面，涉及到數(shù)億人安全漏洞暴露了出來(lái)。

　　一、GSM劫持+短信嗅探技術(shù)是如何竊取錢財(cái)?shù)?

　　現(xiàn)在智能手機(jī)已經(jīng)非常普遍，由于歷史原因，手機(jī)有2G、3G、4G網(wǎng)絡(luò)。

　　要想保證手機(jī)正常使用，必須要有信號(hào)，而這個(gè)信號(hào)就要靠遍布各地的基站來(lái)實(shí)現(xiàn)。我們?cè)谟檬謾C(jī)打電話、發(fā)短信、上網(wǎng)時(shí)，手機(jī)必須要基站相連才可以保證信息傳輸。一個(gè)基站可以服務(wù)一定數(shù)量的手機(jī)，人員越稠密，基站就越多。

　　我們手機(jī)上傳輸?shù)男畔?，首先要通過(guò)基站。

　　而騙子利用這個(gè)原理，會(huì)購(gòu)買一些設(shè)備搭建“偽基站”，利用2G移動(dòng)通信的缺陷，假裝正規(guī)基站與手機(jī)“強(qiáng)行發(fā)生關(guān)系”，再冒充銀行、運(yùn)營(yíng)商給手機(jī)發(fā)送一些詐騙短信，或者為一些公司發(fā)送垃圾推廣廣告。

　　這里就涉及到2G技術(shù)的缺陷，GSM網(wǎng)絡(luò)只能基站鑒別手機(jī)，手機(jī)不能鑒別基站，這樣偽基站就可以給手機(jī)發(fā)短信，而且還能獲取與基站通訊的手機(jī)信息。

　　有了手機(jī)信息，就可以同時(shí)收到你的驗(yàn)證碼，你需要短信驗(yàn)證的時(shí)候，不僅你自己的手機(jī)受到了，探測(cè)到你手機(jī)信號(hào)，復(fù)制你手機(jī)信息的人也收到了。

　　本來(lái)，這只是個(gè)手機(jī)短信泄露的問(wèn)題。但是如今手機(jī)已經(jīng)和支付聯(lián)系在一起。

　　很多網(wǎng)銀、支付工具、申請(qǐng)貸款等操作，都是通過(guò)手機(jī)驗(yàn)證碼來(lái)做最后認(rèn)證的。

　　犯罪份子先拿你的手機(jī)號(hào)，去各個(gè)網(wǎng)站找你的隱私信息，你在各個(gè)網(wǎng)站，各個(gè)APP留下姓名、地址、電話、身份證號(hào)就被拿下。

　　然后，拿著這些信息，在網(wǎng)銀、支付工具里面修改你的密碼，你的錢就被轉(zhuǎn)走了。

　　二、我們?nèi)绾尾拍鼙Ｕ腺Y金安全?

　　從這種犯罪的原理看，利用的是GSM網(wǎng)絡(luò)的漏洞。而我們并不一定要使用GSM網(wǎng)絡(luò)。

　　中國(guó)的三大運(yùn)營(yíng)商，中國(guó)電信是不用GSM的。只有中國(guó)移動(dòng)和中國(guó)聯(lián)通使用GSM。

　　而且中國(guó)移動(dòng)和中國(guó)聯(lián)通也不是一直使用GSM，中國(guó)移動(dòng)、中國(guó)聯(lián)通日常使用的都是4G網(wǎng)絡(luò)，只有在雙卡雙待手機(jī)(不能同時(shí)支持兩個(gè)4G)和4G信號(hào)不好的時(shí)候，才可能使用2G的GSM信號(hào)。

　　其中，中國(guó)移動(dòng)因?yàn)樵谌珖?guó)大面積砍3G基站，所以更危險(xiǎn)一些，4G信號(hào)不好或者被干擾，會(huì)直接落回GSM信號(hào)。

　　4G信號(hào)和CDMA信號(hào)雖然也不是100%安全，但是破解難度要比GSM大很多。所以，斷掉GSM可以很大程度減少成為受害人的概率。

　　所以，把涉及金融支付的卡換成電信卡，或者把移動(dòng)卡、聯(lián)通卡設(shè)為只用4G模式。

　　安全期間，還可以把所有網(wǎng)絡(luò)認(rèn)證的電話專用，這個(gè)電話號(hào)碼平時(shí)禁用，僅僅在接受驗(yàn)證碼時(shí)開啟，聯(lián)入網(wǎng)絡(luò)，避免被偽基站嗅探到。

　　三、運(yùn)營(yíng)商和銀行應(yīng)該行動(dòng)起來(lái)

　　GSM的漏洞不是新問(wèn)題，而是存在了幾十年的問(wèn)題，竊取個(gè)人短信意義不大，所以沒(méi)有流行開。

　　但是最近幾年，伴隨著移動(dòng)支付的發(fā)展，有了銀行快捷支付，快捷支付只要銀行賬號(hào)、身份證、手機(jī)號(hào)就能開通，而很多密碼更改的認(rèn)證方式就是手機(jī)驗(yàn)證碼。

　　同時(shí)，很多網(wǎng)站和APP，要求用戶提供賬號(hào)，身份證號(hào)，手機(jī)號(hào)。

　　于是，能夠劫持手機(jī)短信，就可以登錄網(wǎng)站查看用戶的敏感信息，有了敏感信息，有了手機(jī)短信，就可以修改用戶的支付密碼，用戶的錢就被偷走了。

　　由于現(xiàn)在中國(guó)移動(dòng)和中國(guó)聯(lián)通的用戶眾多，這個(gè)問(wèn)題涉及到數(shù)億人，是一個(gè)非常嚴(yán)重的問(wèn)題。

　　個(gè)人能夠防范的只是少數(shù)人，運(yùn)營(yíng)商和銀行應(yīng)該行動(dòng)起來(lái)，運(yùn)營(yíng)商應(yīng)該關(guān)閉GSM短信接口，只通過(guò)3G、4G網(wǎng)絡(luò)發(fā)送短信。減少出問(wèn)題的概率。

　　而支付類APP和銀行，應(yīng)該提高修改密碼的驗(yàn)證級(jí)別，絕不允許僅靠一個(gè)驗(yàn)證碼就可以修改密碼，而要通過(guò)指紋識(shí)別、人臉識(shí)別才能修改密碼。

　　傳統(tǒng)上，密碼是認(rèn)證重要一步，需要本人持身份證的到柜臺(tái)才能修改。網(wǎng)絡(luò)時(shí)代不用本人，也需要本人的生物識(shí)別才行。

　　僅僅靠短信驗(yàn)證碼就可以操作一切的做法必須立即停止。