神秘操作，让账户资金一夜之间不翼而飞……

2018 年 8 月 6 日 IT时报

深夜手机的支付宝、余额宝、京东白条内的钱款竟然会自动发生转账，睡了一觉，电子账户内的钱竟然就这么消失了……到底是什么操作？

有公安和安全公司实验室通过复盘测试发现，骗子应该是通过一种“GSM劫持+短信嗅探技术”，可实时获取用户手机短信内容！

如图，上述受害者的情况就是——早上醒来，发现手机内收到无数条验证码和银行扣款短信。而这种形式与“GSM劫持”的模式十分相似——通过实时获取用户手机短信内容，再利用各大知名银行、网站、移动支付App存在的技术漏洞和缺陷，实现信息窃取、资金盗刷和网络诈骗等犯罪。

短信劫持升级为2.0版

相比较过去通过伪基站来发诈骗短信，推送垃圾广告外，GSM劫持技术已经晋升到2.0阶段，破坏威力更大。这项被GSM劫持的技术在国际黑客界被公布后，已经可以做到监视用户短信。

劫持的手段就是——通过简单的单机设备，加上黑客软件，组装一个GSM劫持设备，通过这个设备，黑客可以看到这个基站区域内所有用户收到的短信，从而获取短信内验证码等敏感信息，而他在做这一切的时候，用户本身是毫无知觉的。

就像是一条经过专业训练的猎犬，在黑暗中悄无声息地辨别事物，由此有种技术被专业人士叫做“短信嗅探”技术。而他们的目的只有一个——就是通过盗刷、贷款“圈”走你账户内的钱。

他们是怎么做到的呢？在一些短信内容中会包括：姓名、手机号码、身份证号、银行卡账号、验证码这些重要要素中的几个或者全部，而很多网站（包括网银APP）往往只需要“账号+手机+验证码”，不需密码也能登录。这就让骗子在后续操作中很容易得手——有了“手机号+密码”，只要点击“忘记密码”，就可以通过验证码来找回密码，同样可以方便登录。

同时，在一些安全实验室的实际测验中，一些网站、轻应用的隐私保护意识很差，有的输入手机号、验证码，所有的信息全部自动弹出，给骗子节省了大量时间。

比如，在劫持到中国移动139邮箱发送的短信，复制其中的链接到浏览器，点击“进入掌上营业厅”，是可以直接看到手机号的。有了手机号后，再登录其他一些网站，就可以很轻松地知道这个人的银行卡账号、身份证号。

实验室测试了几个主流网站，都能顺利登录。

在电商类网站，可以查看到商品订单、行程信息、支付信息等，还可以直接更改登录密码。一旦攻破账号密码，形成危害就是盗刷或者购买点卡类虚拟物品。

在银行卡App，那么嫌疑人刷完了银行卡中的钱，还会通过这些信息在一些小的贷款网站、平台申请小额贷款，让受害人不但积蓄全无，还会背负债务。

GSM网络的弊端是根源

上述这些安全隐患所利用的是黑客公布的“GSM劫持”技术。因此，只要你的手机用了GSM网络，都会存在这种风险。GSM标准的设备几乎占了全球市场的80%以上。而在我们国家，由于移动和联通的2G是GSM网络制式，所以中国移动和中国联通的用户是这种劫持技术的风险客户。在警方侦办的案例中，尚未发现中国电信用户遭受该类技术攻击的情况。

GSM有一个安全缺陷——GSM是单向鉴权的，基站可以鉴别移动终端（例如手机）的合法性，但是终端无权鉴别基站的合法性。也就是说，只要“伪基站”能够发送和真基站类似的广播，就可以欺骗手机们进入其网络内，从而实施发送诈骗短信等违法活动。同时，国内使用的GSM通信协议，存在鉴权弱、短信明文传输的弊端，很容易会被劫持嗅探到。

那么其他网络的安全系数更高。根据通信领域的专家看来，CDMA的短信除了超短的以外，基本都走专用信道，破译难度大得多。

何防范风险