手机在身边 验证码没泄露却依然被盗刷 这个漏洞你不得不防！

Posted 2021-05-01 第一财经一财宝

这下一无所有了。

这是豆瓣网友“独钓寒江雪”于8月1日零点之后发表的文章标题。该网友称其在7月30日凌晨5点多醒来后发现手机一直在震，接收了来自支付宝、京东、银行等的100多条验证码，然后发现“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能，借走一万多”。

让我们来还原事情经过……

“独钓寒江雪”叶女士贴出了一些短信验证码、京东金融发来的短信提醒、交易记录等截图，时间都是在7月30日凌晨1点至4点之间。见下图：

同时，她也贴出来与京东金融交涉的图片，表示自己没有提供过开通京东白条的个人资料，但京东金融审核通过，并已欠了1万元。

毕竟是财产丢失，加上对个人信息泄漏的恐惧，叶女士说她现在“巨难过”。

那么手机在身边，验证码显然也没有泄露

那么到底为什么会突然发生这样的新式盗刷呢？

在警察叔叔的努力侦查后，犯罪嫌疑人终于落入法网，并且还原了这个让人百思不得其解的犯罪过程。

首先是他的“全部工具”

由于现在很多网站采取“手机号+验证码”的认证方式，在支付场景下，最多也就会认证姓名、身份证号、银行卡号。因此，要想实现盗刷，只需知道一个人的手机号、姓名、身份证号、银行卡号、验证码就足够了。犯罪者是怎么做的呢？

第一步：用伪基站捕获手机号

之前有媒体报道过，要想捕获受害人手机号，只需要在一台伪基站状态下，进行中间人攻击即可。当然，前提是受害者的手机必须处于2G状态下（这句话是重点，请先牢记）。

犯罪嫌疑人拿出了那个美团外卖的箱子，原来这就是他购置的中间人攻击设备，为了能够放到车里，他精心做了改装。这个设备有一个伪基站、三个运营商拨号设备以及一个手机组成。

怎么回事呢？原来这台设备启动后，附近2G网络下的手机就会被轮流“吸附”到这台设备上。此时，与设备相连的那台手机（中间人手机）就可以临时顶替被“吸附”的手机。也就是说，在运营商基站看来，此时攻击手机就是受害者的手机。

第二步：短信嗅探

光知道手机号码其实没太大用，因为很多网站至少需要知道验证码才可以登录。这个时候，短信嗅探设备就要发挥很大作用了。一部电脑+一部最老款的诺基亚手机+一台嗅探信道机就可以组装好了。

犯罪嫌疑人启动电脑及相关软件后，先用手中的那台老款诺基亚手机寻找频点，小A告诉我们，寻找频点最关键的一点是对方的手机不能移动（这个也是重点，请也先牢记）。

前期准备工作做完后，神奇的一幕发生了，犯罪嫌疑人的电脑上很快就出现了几十条短信并且在不断增加，而且都是实时的。也就是说，这台短信嗅探设备启动后，能嗅探到附近（大约一个基站范围内）所有2G信号下手机收到的短信。

从短信中可以看出，有办理税务业务时收到的二维码，有银行发来的余额变动通知，有的短信内容中还完整展示了银行卡的账号。当然，我们对这些信息都做了马赛克处理，不会造成任何风险。

也就是说，通过这台短信嗅探设备，犯罪嫌疑人们是可以实时掌握我们手机接受到的短信内容的，当然，有个很重要的前提是，这台手机必须开机能正常接收到短信，而且必须要在2G信号下，而且要保持静止状态。

第三步：社工其他信息

所谓”社工“，是黑客界常用的叫法，就是通过社会工程学的手段，利用撞库或者某些漏洞来确定一个人信息的方法。

其实通过前两步，犯罪嫌疑人登录一些防范能力较低的网站（一般只需要手机号+验证码）绰绰有余。但是他们的目的并不仅限于成功登陆，而是要盗刷你名下的钱。所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息，他需要”社工“手段来确定这些信息。

犯罪者在现场演示”社工“手段

现场演示了他掌握的一些”社工“ 手段，让所有在场的民警、安全专家目瞪口呆。因为他所利用的都是一些著名公司企业的常用网站、工具，但是这些网站、工具在设计过程中都存在一些能被利用的漏洞。

第四步：实现盗刷

经过前面几步的工作，已经掌握了一个人的姓名、身份证号、银行卡号、手机号，并能实时监测到验证码。这个时候，他就可以去盗刷了。因为很多网站在设计的时候，只需要输入这些就可以完成支付。甚至可以通过这些内容来更改登录、支付密码。

但还是请大家不要恐慌，很多知名网站、APP的风控做得还是比较好的，一般在识别异常后可以及时发现并拦截，为用户减少损失。

从上面的介绍可以看出，嫌疑人要实现盗刷需要很多条件：

第一，受害者手机要开机并且处于2G制式下；

第二，手机号必须是中国移动和中国联通，因为者两家的2G是GSM制式，传送短信是明文方式，可以被嗅探；

第三，手机要保持静止状态，这也是嫌疑人选择后半夜作案的原因。

第四，受害者的各类信息刚好能被社工手段确定；

第五，各大网站、APP的漏洞依然存在。

要满足以上所有条件，需要极大的运气。据犯罪嫌疑人讲，他一个晚上虽然能嗅探到很多短信、捕获到很多号码，但最后能盗刷成功的少之又少，而且因为很多公司的风控很严，盗刷的金额也都比较小。因此，我们要辩证、完整地看待这类犯罪，即要了解原理，也不要过于恐慌：

中国移动和中国联通的手机是高风险用户，如无必要，睡觉前直接关机或者开启飞行模式。你无法接收到短信，嗅探设备也无法接收到。

如果发现手机收到来历不明的验证码，表明此刻嫌疑人可能正在”社工“你的信息，可以立即关机或者启动飞行模式，并移动位置（大城市可能几百米左右即可），逃出设备覆盖的范围。

关闭一些网站、APP的免密支付功能，主动降低每日最高消费额度；如果看到有银行或者其他金融机构发来的验证码，除了立即关机或启动飞行模式外，还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号，避免损失扩大。