验证码短信，真的安全吗？

Posted 2021-05-01 宜春移动

一觉醒来，银行卡里的存款不翼而飞，微信支付宝里的钱也都被转走，只剩下手机里一堆短信验证码。

这种犯罪方式在全国陆续出现。看着受害者的描述，涉及手机里各种与钱相关的APP和网银，而且转出的钱很难再追回来，确实让人感到害怕。

所以，手机明明就在身边，怎么睡个觉里面的钱都没了呢？

根据@江宁公安在线的分析，犯罪分子是利用“GSM劫持+短信诱探”的方式把手机里的钱转走。

GSM劫持和短信诱探是啥意思呢？

这得先从基站说起。基站大家应该不陌生，就是我们平时看到的信号塔，手机能有信号全靠它。

有些犯罪分子通过短信群发器、短信发信机等设备弄了伪基站。可以搜索一定范围内的手机卡信息，还能伪装成运营商的基站向用户手机发送诈骗短信。像一些用运营商号码发来广告和病毒链接就是通过这种方法。

是不是突然觉得什么手机短信都不能轻易相信……然而，这种听起来挺可怕的犯罪方式，随着人们防范意识的加强和警方大力打击已经out了

升级成了更可怕的犯罪方式：GSM劫持+短信诱探

用简单的话来说，这种新型犯罪方式分为四步：

一、基于2G移动网络下的GSM通信协议，进行修改并搭配专用手机，组装成短信嗅探设备。你只需要理解，你手机收到的所有短信他通过这个设备都能收到。

二、通过伪基站获取周围潜在的手机号码，然后在APP通过手机号和短信验证码登录，再利用短信嗅探设备来收取验证码短信。绝大部分APP都可以通过短信验证码轻松登录。

三、通过第三方支付平台查询目标手机号码，匹配你名字。再凭借实名信息，通过社工库（你不知道你泄露的各种信息早就被打包成黑产数据库了么……）等非法手段查到你的身份证号和银行卡号。

四、名字、手机、身份证、银行卡号都被人家扒光了，剩下就是各种APP和网银任人摆布了。你以为仅剩的支付密码还能成为最后的保护？建议你试试更改支付密码需要哪些信息……

那么问题来了，这种犯罪方式要怎么防范呢？

1.睡觉时关机或开启飞行模式。根据现有案例，犯罪分子往往在深夜趁人熟睡时行动。手机没有信号，就不会被伪基站搜到，也不能收取短信。

2.做好手机号、身份证号、银行卡号等个人信息的保护。要知道，少被扒一层就意味着犯罪分子更难转走你的钱。

3.无故受到验证码短信，或手机信号在4G和2G之间切换需要提高警惕。确认中招立刻冻结银行卡并报警。

不过，这种可怕的犯罪方式确实防不胜防。还得靠各大运营商和通信管理部门尽快采取有效技术手段，真正解决问题啊。