前不久，豆瓣網(wǎng)友“獨(dú)掉寒江血”發(fā)帖稱凌晨收到100多條短信，然后發(fā)現(xiàn)自己支付寶、余額寶、網(wǎng)銀的錢已經(jīng)不翼而飛，還被申請了不少貸款，而這個網(wǎng)友的手機(jī)并沒有離開身邊。

　　無獨(dú)有偶，近期多地警方陸續(xù)接報一類蹊蹺案件，很多人早上起床后發(fā)現(xiàn)手機(jī)收到很多驗(yàn)證碼和銀行扣款短信，甚至網(wǎng)上銀行APP登錄賬號和密碼也已被篡改，損失慘重。整個過程中，受害者處于熟睡狀態(tài)，沒有進(jìn)行任何操作，取款密碼等關(guān)鍵信息也保證沒有泄露。

　　經(jīng)過調(diào)查，“GSM劫持+短信嗅探技術(shù)”浮出水面，涉及到數(shù)億人安全漏洞暴露了出來。

　　一、GSM劫持+短信嗅探技術(shù)是如何竊取錢財(cái)?shù)?

　　現(xiàn)在智能手機(jī)已經(jīng)非常普遍，由于歷史原因，手機(jī)有2G、3G、4G網(wǎng)絡(luò)。

　　要想保證手機(jī)正常使用，必須要有信號，而這個信號就要靠遍布各地的基站來實(shí)現(xiàn)。我們在用手機(jī)打電話、發(fā)短信、上網(wǎng)時，手機(jī)必須要基站相連才可以保證信息傳輸。一個基站可以服務(wù)一定數(shù)量的手機(jī)，人員越稠密，基站就越多。

　　我們手機(jī)上傳輸?shù)男畔?，首先要通過基站。

　　而騙子利用這個原理，會購買一些設(shè)備搭建“偽基站”，利用2G移動通信的缺陷，假裝正規(guī)基站與手機(jī)“強(qiáng)行發(fā)生關(guān)系”，再冒充銀行、運(yùn)營商給手機(jī)發(fā)送一些詐騙短信，或者為一些公司發(fā)送垃圾推廣廣告。

　　這里就涉及到2G技術(shù)的缺陷，GSM網(wǎng)絡(luò)只能基站鑒別手機(jī)，手機(jī)不能鑒別基站，這樣偽基站就可以給手機(jī)發(fā)短信，而且還能獲取與基站通訊的手機(jī)信息。

　　有了手機(jī)信息，就可以同時收到你的驗(yàn)證碼，你需要短信驗(yàn)證的時候，不僅你自己的手機(jī)受到了，探測到你手機(jī)信號，復(fù)制你手機(jī)信息的人也收到了。

　　本來，這只是個手機(jī)短信泄露的問題。但是如今手機(jī)已經(jīng)和支付聯(lián)系在一起。

　　很多網(wǎng)銀、支付工具、申請貸款等操作，都是通過手機(jī)驗(yàn)證碼來做最后認(rèn)證的。

　　犯罪份子先拿你的手機(jī)號，去各個網(wǎng)站找你的隱私信息，你在各個網(wǎng)站，各個APP留下姓名、地址、電話、身份證號就被拿下。

　　然后，拿著這些信息，在網(wǎng)銀、支付工具里面修改你的密碼，你的錢就被轉(zhuǎn)走了。

　　二、我們?nèi)绾尾拍鼙Ｕ腺Y金安全?

　　從這種犯罪的原理看，利用的是GSM網(wǎng)絡(luò)的漏洞。而我們并不一定要使用GSM網(wǎng)絡(luò)。

　　中國的三大運(yùn)營商，中國電信是不用GSM的。只有中國移動和中國聯(lián)通使用GSM。

　　而且中國移動和中國聯(lián)通也不是一直使用GSM，中國移動、中國聯(lián)通日常使用的都是4G網(wǎng)絡(luò)，只有在雙卡雙待手機(jī)(不能同時支持兩個4G)和4G信號不好的時候，才可能使用2G的GSM信號。

　　其中，中國移動因?yàn)樵谌珖竺娣e砍3G基站，所以更危險一些，4G信號不好或者被干擾，會直接落回GSM信號。

　　4G信號和CDMA信號雖然也不是100%安全，但是破解難度要比GSM大很多。所以，斷掉GSM可以很大程度減少成為受害人的概率。

　　所以，把涉及金融支付的卡換成電信卡，或者把移動卡、聯(lián)通卡設(shè)為只用4G模式。

　　安全期間，還可以把所有網(wǎng)絡(luò)認(rèn)證的電話專用，這個電話號碼平時禁用，僅僅在接受驗(yàn)證碼時開啟，聯(lián)入網(wǎng)絡(luò)，避免被偽基站嗅探到。

　　三、運(yùn)營商和銀行應(yīng)該行動起來

　　GSM的漏洞不是新問題，而是存在了幾十年的問題，竊取個人短信意義不大，所以沒有流行開。

　　但是最近幾年，伴隨著移動支付的發(fā)展，有了銀行快捷支付，快捷支付只要銀行賬號、身份證、手機(jī)號就能開通，而很多密碼更改的認(rèn)證方式就是手機(jī)驗(yàn)證碼。

　　同時，很多網(wǎng)站和APP，要求用戶提供賬號，身份證號，手機(jī)號。

　　于是，能夠劫持手機(jī)短信，就可以登錄網(wǎng)站查看用戶的敏感信息，有了敏感信息，有了手機(jī)短信，就可以修改用戶的支付密碼，用戶的錢就被偷走了。

　　由于現(xiàn)在中國移動和中國聯(lián)通的用戶眾多，這個問題涉及到數(shù)億人，是一個非常嚴(yán)重的問題。

　　個人能夠防范的只是少數(shù)人，運(yùn)營商和銀行應(yīng)該行動起來，運(yùn)營商應(yīng)該關(guān)閉GSM短信接口，只通過3G、4G網(wǎng)絡(luò)發(fā)送短信。減少出問題的概率。

　　而支付類APP和銀行，應(yīng)該提高修改密碼的驗(yàn)證級別，絕不允許僅靠一個驗(yàn)證碼就可以修改密碼，而要通過指紋識別、人臉識別才能修改密碼。

　　傳統(tǒng)上，密碼是認(rèn)證重要一步，需要本人持身份證的到柜臺才能修改。網(wǎng)絡(luò)時代不用本人，也需要本人的生物識別才行。

　　僅僅靠短信驗(yàn)證碼就可以操作一切的做法必須立即停止。