相信很多童鞋的朋友圈最近都在傳播這么一則消息：多地警方陸續接報一類蹊蹺案件，很多人早上起床后發現手機收到很多驗證碼和銀行扣款短信，甚至網上銀行APP登錄賬號和密碼也已被篡改，損失慘重。

相關民警介紹，上述案件是一種最新型的詐騙手法。黑客通過“GSM劫持+短信嗅探技術”，可實時獲取用戶手機短信內容，進而利用各大知名銀行、網站、移動支付APP存在的技術漏洞和缺陷，實現信息竊取、資金盜刷和網絡詐騙等犯罪。

今天，CFan就和大家聊一聊關于GSM短信劫持的那些事兒。

為啥隱患這么大？

無論是用戶自己圖方便，還是整個行業的刻意引導，如今各種APP都需要使用手機號碼注冊和登錄，無論是微信、支付寶、銀行客戶端、現金貸還是微博論壇都是如此。如果你安全意識不高，這些APP都用了相同的密碼……

此外，短信驗證碼可以幫助用戶進行修改密碼、修改綁定郵箱等敏感操作，某些APP甚至還支持動態短信驗證碼直接登陸。

因此，黑客只需拿到了你的手機號碼+GSM短信劫持，一個手機號就能威脅到和其綁定的所有支付寶、銀行卡和具備支付或貸款功能的APP。

反正現在小編無比懷念起可以隨意用個性昵稱或郵箱地址隨意注冊的年代了……我會告訴你我的昵稱就叫“忘記密碼”嗎？

黑客怎么玩？

GSM短信劫持是一種比偽基站更高端的技術。簡單來說，黑客會使用專業設備自動搜多附近的手機號碼，攔截如運營商、銀行發送的短信，劫持對象主要針對2G信號（GSM信號），竊取短信信息后通過其登錄一些網站，從中碰撞機主身份信息，稱之為“撞庫”（即多個數據庫之間碰撞），試圖將機主的身份信息匹配出來，包括身份證、銀行卡號、手機號、驗證碼等信息，繼而在一些小眾的便捷支付平臺開通賬號并綁定事主銀行卡，冒充事主消費或套現，盜取事主銀行卡資金。

還好，黑客往往只是隨機作案。如果你已經被黑客刻意盯上，對方提前獲知了你的姓名、手機號和身份證號碼，通過SIM卡劫持（又稱SIM卡克隆）或GSM短信劫持+找回密碼認證，后果不堪設想。

最令人無奈的是，黑客們大多選擇凌晨作案，在你睡得最深沉之際就完成了既定目標。當你白天醒來之后，一切就都晚了。

此外，短信驗證碼的安全缺陷是由GSM設計造成，且GSM網絡覆蓋范圍廣，因此修復難度大、成本高，對于普通用戶來說基本上是無法防范。

一些大家關心的問題

小編在網上搜到了不少網友與GSM短信劫持方面的問答，截取一些和大家分享，里面涉及到技術方面的不一定正確，僅供參考。

問：聯通現在都是4G和3G，還有危險嗎？

答：攻擊不需要運營商有真實2G網絡，而是利用基站的機制讓你的網絡不管是3G還是4G都強行降級到GSM。除非你的手機自身就不允許切換到2G網絡，否則都會面臨GSM短信劫持的隱患。

問：CDMA手機咋降到GSM？

答：CDMA理論上向下兼容GSM，再加上上面的原因，所以同樣存在威脅。

問：手機自帶偽基站識別功能有用嗎？

答：這次的案件原理是利用GSM通信協議漏洞，識別和屏蔽偽基站功能指望不上。

問：手機開通了VoLTE功能，通話都是4G，還害怕嗎？

答：現在的GSM短信劫持原理是強制你的手機重新定向到GSM偽基站，所以如果黑客選擇高成本的暴力干擾3G/4G信號而強制讓信號回落到2G的方式，那VoLTE功能也救不了你。

那我們應該怎么辦？

雖然GSM協議的安全隱患已經被有關部門注意到，而運營商方面也正在進行相關的優化升級。但是，在驗證碼短信還處于明文傳遞的今天，更多時候還是需要從我做起。

最近網上流傳的方案大都是睡覺前關機或是將手機設定到飛行模式。這種操作的確可以防止GSM短信劫持，但如果黑客選用的是SIM卡克隆，你反而會失去提前發現手機突然沒信號的前兆。所以，小編首先建議的就是大家進入微信、支付寶、銀行客戶端等APP，找到（如果有）并打開與二次驗證相關的一切功能，比如個性化問題、語音驗證、人臉驗證等等，設置到連你都覺得登錄一次怎么這么麻煩的地步就好了。

問題來了，很多APP并沒有二次驗證的安全舉措，只要手機號+驗證碼就能登錄并重置一切安全設置，并完成支付和轉賬等操作。

因此，我們只能指望整個行業提升手機登錄安全驗證的技術革新了。

比如，增加自己的安全意識，在家里（熟悉的Wi-Fi環境）下登錄銀行支付類APP。關閉各種云服務的短信備份（云同步）功能，徹底堵死黑客從云端獲取短信內容的通道。

再比如，讓新手機首次安裝SIM卡時加入綁定當前手機MAC地址的步驟（需要運營商方面想辦法），今后每次收發短信應需要先驗證MAC地址，也就是先發送一個信號咨詢MAC地址，得到手機自動回復驗證通過后，再發送短信明文。

還比如，基于APP的兩步驗證。兩步驗證APP基于TOTP機制，不需要任何網絡連接（包括Wi-Fi），也不需要短信和SIM卡，驗證碼完全在手機本地生成。所以APP兩步驗證可最大限度免疫SIM卡劫持和GSM短信劫持。

還有一個最簡單的，以后在獲取驗證碼登錄的界面增加一個隨機的應答題，除了驗證碼以外還需輸入正確的答案，這樣黑客即使拿到短信也不知道問題答案。

當然，這些都不是咱們用戶自己可以決定的。只是希望借著此次GSM短信劫持案件的爆發，讓更多相關企業和部門可以聯手堵死有關的漏洞，比如讓2G徹底淘汰，或是手機廠商加入強制關閉2G功能的選項，從而讓我們今后移動支付、理財可以更加安心吧。