一夜醒來,，放在枕邊的手機(jī)收到幾十條銀行短信。銀行卡,，支付寶里的錢全部被人轉(zhuǎn)走,，甚至還替你借了網(wǎng)商貸，不單止辛苦多年的積蓄全都沒有了,，還欠了銀行一屁股債,，這不是小說里的情節(jié),，最近這樣的手機(jī)盜刷案件在國內(nèi)頻繁發(fā)生... 下一個沒準(zhǔn)就是你

本文篇幅有點(diǎn)長，但如果你不想辛苦打拼幾十年的財產(chǎn)被人一夜盜走,，請耐心看下去,，并按文章末尾推薦的方式趕緊做好手機(jī)和資金賬戶的防范措施！（文章末尾有能有效防范手機(jī)被盜刷的方法,，你也可以直接跳過去看）

近日里,，微博一位網(wǎng)友的真實(shí)經(jīng)歷引發(fā)了諸多人的擔(dān)憂，在他8月4號的一篇博文《記錄一下支付寶,，銀行app被盜刷的情況》里記錄了這樣一件讓人匪夷所思的事,。在2018年8月3日凌晨5:01-7:39分之間，該網(wǎng)友還在熟睡時,，不法分子通過盜取它的支付寶和銀行賬戶進(jìn)行消費(fèi)和貸款,，總計盜刷了18696.29元。期間,，該網(wǎng)友的手機(jī)就放在枕頭邊,，而銀行卡也在家里，銀行密碼什么的也沒被別人知道,，這到底是怎么一回事呢,？

如果你本人曾經(jīng)開通過支付寶或者手機(jī)網(wǎng)銀，應(yīng)該還有點(diǎn)印象,，這些財務(wù)App的開通和登陸,，都是用手機(jī)號+本人姓名+身份證號+銀行卡作為驗證方式的。曾幾何時,，這樣的驗證方式還算靠譜,。畢竟手機(jī)是在自己手上對吧，當(dāng)你接收從銀行發(fā)過來只于60秒內(nèi)有效的驗證碼,，再填到驗證框去,，這一切看起來都哪么天衣無縫，以至于人們覺得足夠安全后為了簡便,，很多App的登陸或綁定方式就簡化為了手機(jī)號+驗證碼的方式,。但這樣一來，就給不法分子留下了可乘之機(jī),。

GSM劫持+短信嗅探是什么,？不法分子是怎么通過該方式盜取我們錢財?shù)?/strong>

我們現(xiàn)在用的手機(jī)，無論你是用的華為小米，還是蘋果iPhone,，又或是支持什么4G,、4G+網(wǎng)絡(luò)的，其實(shí)通通都是由GSM制式走過來的,。手機(jī)網(wǎng)絡(luò)的發(fā)展是從 1.0（模擬通信）-> 2.0 （GSM）-> 3.0 (3G) -> 4.0（4G/4G+）,。在手機(jī)網(wǎng)絡(luò)2.0，也即是我們稱之為GSM制式的時代,，手機(jī)語音和短信第一次以純數(shù)字信號的方式進(jìn)行傳輸,，由于年代久遠(yuǎn)加上當(dāng)時的技術(shù)限制，GSM制式下手機(jī)的短信是單向鑒權(quán)并且是以明文方式傳輸?shù)?，什么意思,？就是說如果今天你的手機(jī)收到一條短信，并且是在GSM制式下收發(fā)的話,，基站（移動運(yùn)營商端）只會驗證手機(jī)是不是真（該網(wǎng)絡(luò)運(yùn)營商旗下的）的,，但手機(jī)不會去甄別這個基站是不是真的（是不是真的該網(wǎng)絡(luò)運(yùn)營商的）。這個漏洞就造成了偽基站（一種犯罪分子打造的小型基站用以在小范圍內(nèi)代替運(yùn)營商真基站并實(shí)施犯罪的設(shè)備）的興起,。在最開始,，不法分子的腦袋還不是太靈光，他們只利用偽基站向附近的手機(jī)發(fā)送些垃圾廣告內(nèi)容,，到后來這種短信自動被一些短信攔截App給屏蔽了,，也就沒人再用了。他們就開始升級到假扮運(yùn)營商或者某些大網(wǎng)絡(luò)公司的服務(wù),，用手機(jī)短信給你發(fā)一個網(wǎng)址從而盜取用戶的隱私信息或向用戶手機(jī)植入木馬,。時至今天，網(wǎng)絡(luò)金融在中國得到了長足的發(fā)展,，各種網(wǎng)絡(luò)金融App,，網(wǎng)上銀行App及各種外賣和電商平臺的盛行，給這些不法分子營造了絕佳的盜取資金的機(jī)會,。

在當(dāng)下的中國,，個人隱私（包括手機(jī)號,，姓名,，身份證和個人頭像,，銀行卡號）基本已經(jīng)不是隱私了，在網(wǎng)絡(luò)黑產(chǎn)那里可能只需要報個手機(jī)號加幾十塊錢,，就能拿到以上的全套信息,。這時候不法分子所需要利用GSM劫持+短信嗅探技術(shù)完成盜刷的基本條件都已經(jīng)具備。首先，不法分子會利用網(wǎng)上購買或者按教程教授的方式組裝的小型GSM劫持設(shè)備,，游蕩在你的周圍（方圓500-1000米）,，收集附近的手機(jī)號（通過截獲最近一段時間的短信及其內(nèi)容，上面都會帶有你的手機(jī)號碼,，用的什么網(wǎng)絡(luò)軟件,，大概用了些什么服務(wù)），然后不法分子會通過短信截獲的內(nèi)容判斷目標(biāo)的價值,，譬如那些經(jīng)常轉(zhuǎn)賬,，或者某某銀行卡、支付寶到賬的,，會優(yōu)先列入目標(biāo)范圍,。然后他們就會想辦法搞到這個手機(jī)號的聯(lián)系人信息（包括姓名、住址,、身份證號銀行卡號等），這些信息可能泄露的途徑有（各種外賣平臺的信息泄露,、快遞信息泄露,、網(wǎng)上注冊某些網(wǎng)絡(luò)貸款的信息泄露及電腦或手機(jī)中了木馬的信息泄露），最后在目標(biāo)名單里也從網(wǎng)上買到了隱私信息后,，犯案就開始了,。

不法分子首先會挑一個凌晨（這樣你就在熟睡中，手機(jī)也可能開了靜音什么的）,，然后先利用像是餓了x/美x或者移動運(yùn)營商服務(wù)這樣的平臺,，輸入你的手機(jī)號，讓他們向你發(fā)送驗證碼,。并用該驗證碼登陸你的餓了X賬號或者移動網(wǎng)上營業(yè)廳,，順便也查一些信息，像是餓了X或者美X這種外賣平臺,，用手機(jī)號+驗證碼登陸后,，能查看到你的家庭住址。如果再多過2-30分鐘,，仍然能用新修改的移動和通信密碼登陸網(wǎng)上營業(yè)廳,，則說明受害人熟睡或者不在手機(jī)旁，這時候犯罪分子就開始大膽操作了,。他會先用“短信驗證碼登陸”方式登陸支付寶,，然后修改支付寶支付密碼，之后就先把支付寶里的余額通過轉(zhuǎn)賬或網(wǎng)上消費(fèi)的方式進(jìn)行盜取,，這還不夠可恨,，由于現(xiàn)在支付寶屬于很強(qiáng)勢并且用戶眾多的手機(jī)App,，很多銀行都對此作了通道優(yōu)化能讓你比較便利的綁定名下銀行卡，接下來犯罪分子會通過網(wǎng)上購買到你的銀行卡信息,，通過支付寶掛靠你的銀行卡,，開始用支付寶做網(wǎng)上購物或網(wǎng)銀轉(zhuǎn)賬操作。如果銀行卡里沒錢,，會通過支付寶開通網(wǎng)商貸或者借唄等先貸款到銀行卡上,，再進(jìn)行透支消費(fèi)?？傊?，一旦不法分子登陸了支付寶后，并且你沒有做進(jìn)一步的驗證措施（支付寶也有增加驗證強(qiáng)度的方式,，但一般人都沒有做,，這個會在后文提到），那損失就會如微博那篇文章那樣了,。具體操作手法什么的就不便分析得太具體,，以免讓壞人有樣學(xué)樣了。

那我怎么防范GSM劫持+短信嗅探,？

就目前來說,，其實(shí)GSM劫持已經(jīng)不是新鮮事了，這事情4-5年前隨著偽基站的誕生就已經(jīng)存在了,，問題是中國幅員遼闊,，而GSM手機(jī)制式（設(shè)備）也沿用了十幾年，是中國也是現(xiàn)今世界上最大的一張手機(jī)網(wǎng)絡(luò),，這里涉及的設(shè)備和系統(tǒng)千千萬萬,。再加上GSM（2G）模式下的短信明文傳輸和單向鑒權(quán)都是協(xié)議上的漏洞。只要手機(jī)運(yùn)行在GSM 2G網(wǎng)絡(luò)下就一定能被利用,，說白了就是米已成炊,，于事無補(bǔ)，在運(yùn)營商那邊來說只能勸用戶盡快升級到4G網(wǎng)絡(luò)上去（2G全面退網(wǎng)）,，也就是說靠移動運(yùn)營商層面來解決這個GSM劫持+短信嗅探問題不現(xiàn)實(shí),。

在網(wǎng)絡(luò)金融和網(wǎng)銀App方面防范這個GSM劫持+短信嗅探是有可能的，但這需要眾多手機(jī)應(yīng)用增加新的驗證方式,，并更新他們的App,，這個需要一定的時間，但我相信負(fù)責(zé)任的大廠（像是支付寶其實(shí)已經(jīng)有這樣的功能了,，但默認(rèn)是關(guān)閉的）還有本應(yīng)固若金湯的手機(jī)網(wǎng)銀App會很快跟進(jìn),。方法是 1）取消單純的手機(jī)號+接收驗證碼即可登錄甚至還可以修改支付密碼等功能 2）在最后的支付環(huán)節(jié)或修改支付密碼環(huán)節(jié)增加指紋或人臉識別步驟，并且該步驟開啟后,，需要指紋或人臉識別才能關(guān)閉,。

但遠(yuǎn)水解不了近火，如果在這些軟件更新前你就中招了,，那怎么辦,？

一、首先你們要了解到,，GSM劫持是因為手機(jī)使用了GSM制式下的2G網(wǎng)絡(luò),，目前在中國只有中國移動和中國聯(lián)通2G下是GSM制式，中國電信2G下是CDMA制式,，是無法被短信嗅探的,。因此，如果你是中國電信用戶,，或者有中國電信的手機(jī)卡（我知道最近很多開了中國電信家庭光纖寬帶的,，是附贈了無限手機(jī)流量套餐手機(jī)卡的），可以把支付寶或網(wǎng)銀手機(jī)號臨時改成中國電信的,，這樣100%就能避免被短信嗅探的問題,。

二、網(wǎng)上有人說,，晚上睡覺手機(jī)關(guān)機(jī),。的確，手機(jī)關(guān)機(jī)了,，由于手機(jī)不在網(wǎng)絡(luò)下,，運(yùn)營商不會向你發(fā)送短信驗證碼，自然不法分子后續(xù)的操作都無法實(shí)施,，也是100%有效,。但對于工作繁忙，或者有時候怕家里出什么事的人來說,，一晚上關(guān)手機(jī)造成的損失可能比銀行資金被盜取更大,。所以這種方法也不太可取，那有沒有不換手機(jī)號為中國電信,，又或是晚上睡覺不關(guān)手機(jī)又能防范GSM劫持+短信嗅探的辦法呢,？答案是有的

由于文章過長無法顯示，請點(diǎn)解左下角 “了解更多” 閱讀關(guān)鍵的《中國移動和中國聯(lián)通用戶如何不關(guān)手機(jī)防范GSM劫持+短信嗅探》內(nèi)容章節(jié)