相信很多童鞋的朋友圈最近都在傳播這么一則消息：多地警方陸續(xù)接報一類蹊蹺案件，很多人早上起床后發(fā)現(xiàn)手機收到很多驗證碼和銀行扣款短信，甚至網(wǎng)上銀行APP登錄賬號和密碼也已被篡改，損失慘重。

 

 

相關(guān)民警介紹，上述案件是一種最新型的詐騙手法。黑客通過“GSM劫持+短信嗅探技術(shù)”，可實時獲取用戶手機短信內(nèi)容，進而利用各大知名銀行、網(wǎng)站、移動支付APP存在的技術(shù)漏洞和缺陷，實現(xiàn)信息竊取、資金盜刷和網(wǎng)絡(luò)詐騙等犯罪。

 

 

今天，CFan就和大家聊一聊關(guān)于GSM短信劫持的那些事兒。

 

為啥隱患這么大？

無論是用戶自己圖方便，還是整個行業(yè)的刻意引導(dǎo)，如今各種APP都需要使用手機號碼注冊和登錄，無論是微信、支付寶、銀行客戶端、現(xiàn)金貸還是微博論壇都是如此。如果你安全意識不高，這些APP都用了相同的密碼……

 

 

此外，短信驗證碼可以幫助用戶進行修改密碼、修改綁定郵箱等敏感操作，某些APP甚至還支持動態(tài)短信驗證碼直接登陸。

因此，黑客只需拿到了你的手機號碼+GSM短信劫持，一個手機號就能威脅到和其綁定的所有支付寶、銀行卡和具備支付或貸款功能的APP。

反正現(xiàn)在小編無比懷念起可以隨意用個性昵稱或郵箱地址隨意注冊的年代了……我會告訴你我的昵稱就叫“忘記密碼”嗎？

 

黑客怎么玩？

GSM短信劫持是一種比偽基站更高端的技術(shù)。簡單來說，黑客會使用專業(yè)設(shè)備自動搜多附近的手機號碼，攔截如運營商、銀行發(fā)送的短信，劫持對象主要針對2G信號（GSM信號），竊取短信信息后通過其登錄一些網(wǎng)站，從中碰撞機主身份信息，稱之為“撞庫”（即多個數(shù)據(jù)庫之間碰撞），試圖將機主的身份信息匹配出來，包括身份證、銀行卡號、手機號、驗證碼等信息，繼而在一些小眾的便捷支付平臺開通賬號并綁定事主銀行卡，冒充事主消費或套現(xiàn)，盜取事主銀行卡資金。

 

 

還好，黑客往往只是隨機作案。如果你已經(jīng)被黑客刻意盯上，對方提前獲知了你的姓名、手機號和身份證號碼，通過SIM卡劫持（又稱SIM卡克隆）或GSM短信劫持+找回密碼認證，后果不堪設(shè)想。

最令人無奈的是，黑客們大多選擇凌晨作案，在你睡得最深沉之際就完成了既定目標。當(dāng)你白天醒來之后，一切就都晚了。

此外，短信驗證碼的安全缺陷是由GSM設(shè)計造成，且GSM網(wǎng)絡(luò)覆蓋范圍廣，因此修復(fù)難度大、成本高，對于普通用戶來說基本上是無法防范。

 

一些大家關(guān)心的問題

小編在網(wǎng)上搜到了不少網(wǎng)友與GSM短信劫持方面的問答，截取一些和大家分享，里面涉及到技術(shù)方面的不一定正確，僅供參考。

問：聯(lián)通現(xiàn)在都是4G和3G，還有危險嗎？

答：攻擊不需要運營商有真實2G網(wǎng)絡(luò)，而是利用基站的機制讓你的網(wǎng)絡(luò)不管是3G還是4G都強行降級到GSM。除非你的手機自身就不允許切換到2G網(wǎng)絡(luò)，否則都會面臨GSM短信劫持的隱患。

問：CDMA手機咋降到GSM？

答：CDMA理論上向下兼容GSM，再加上上面的原因，所以同樣存在威脅。

問：手機自帶偽基站識別功能有用嗎？

答：這次的案件原理是利用GSM通信協(xié)議漏洞，識別和屏蔽偽基站功能指望不上。

問：手機開通了VoLTE功能，通話都是4G，還害怕嗎？

答：現(xiàn)在的GSM短信劫持原理是強制你的手機重新定向到GSM偽基站，所以如果黑客選擇高成本的暴力干擾3G/4G信號而強制讓信號回落到2G的方式，那VoLTE功能也救不了你。

 

那我們應(yīng)該怎么辦？

雖然GSM協(xié)議的安全隱患已經(jīng)被有關(guān)部門注意到，而運營商方面也正在進行相關(guān)的優(yōu)化升級。但是，在驗證碼短信還處于明文傳遞的今天，更多時候還是需要從我做起。

最近網(wǎng)上流傳的方案大都是睡覺前關(guān)機或是將手機設(shè)定到飛行模式。這種操作的確可以防止GSM短信劫持，但如果黑客選用的是SIM卡克隆，你反而會失去提前發(fā)現(xiàn)手機突然沒信號的前兆。所以，小編首先建議的就是大家進入微信、支付寶、銀行客戶端等APP，找到（如果有）并打開與二次驗證相關(guān)的一切功能，比如個性化問題、語音驗證、人臉驗證等等，設(shè)置到連你都覺得登錄一次怎么這么麻煩的地步就好了。

問題來了，很多APP并沒有二次驗證的安全舉措，只要手機號+驗證碼就能登錄并重置一切安全設(shè)置，并完成支付和轉(zhuǎn)賬等操作。

因此，我們只能指望整個行業(yè)提升手機登錄安全驗證的技術(shù)革新了。

比如，增加自己的安全意識，在家里（熟悉的Wi-Fi環(huán)境）下登錄銀行支付類APP。關(guān)閉各種云服務(wù)的短信備份（云同步）功能，徹底堵死黑客從云端獲取短信內(nèi)容的通道。

再比如，讓新手機首次安裝SIM卡時加入綁定當(dāng)前手機MAC地址的步驟（需要運營商方面想辦法），今后每次收發(fā)短信應(yīng)需要先驗證MAC地址，也就是先發(fā)送一個信號咨詢MAC地址，得到手機自動回復(fù)驗證通過后，再發(fā)送短信明文。

還比如，基于APP的兩步驗證。兩步驗證APP基于TOTP機制，不需要任何網(wǎng)絡(luò)連接（包括Wi-Fi），也不需要短信和SIM卡，驗證碼完全在手機本地生成。所以APP兩步驗證可最大限度免疫SIM卡劫持和GSM短信劫持。

還有一個最簡單的，以后在獲取驗證碼登錄的界面增加一個隨機的應(yīng)答題，除了驗證碼以外還需輸入正確的答案，這樣黑客即使拿到短信也不知道問題答案。

當(dāng)然，這些都不是咱們用戶自己可以決定的。只是希望借著此次GSM短信劫持案件的爆發(fā)，讓更多相關(guān)企業(yè)和部門可以聯(lián)手堵死有關(guān)的漏洞，比如讓2G徹底淘汰，或是手機廠商加入強制關(guān)閉2G功能的選項，從而讓我們今后移動支付、理財可以更加安心吧。