GSM協(xié)議漏洞被非法利用 “短信驗(yàn)證碼”還安全嗎

最近，手機(jī)有時(shí)無(wú)緣無(wú)故地收到短信驗(yàn)證碼，但是本人并未進(jìn)行任何操作。網(wǎng)上一查，發(fā)現(xiàn)這極有可能是最近鬧得沸沸揚(yáng)揚(yáng)的“截獲短信驗(yàn)證碼盜刷案”。

根據(jù)一名“獨(dú)釣寒江雪”的網(wǎng)友講述：半夜醒來(lái)，手機(jī)莫名收到100多條驗(yàn)證碼，包括支付寶、京東和銀行等。后來(lái)一查，發(fā)現(xiàn)余額寶、余額和關(guān)聯(lián)銀行卡的錢(qián)已被轉(zhuǎn)走。雖然事后報(bào)警、理賠，但是并沒(méi)有啥效果。

無(wú)疑，這些都屬于利用短信驗(yàn)證碼冒用身份、竊取銀行賬戶(hù)和金融類(lèi)App財(cái)產(chǎn)的案件。為什么手機(jī)沒(méi)有進(jìn)行任何操作，還能收到短信驗(yàn)證碼呢？

根據(jù)江寧公安在線(xiàn)官微的解釋?zhuān)哼@是一種新型偽基站詐騙。與傳統(tǒng)偽基站不同，這種新型方法可以不接觸目標(biāo)手機(jī)而獲得目標(biāo)手機(jī)所接收到的驗(yàn)證短信的目的。而更危險(xiǎn)的新技術(shù)則是重新定向手機(jī)信號(hào)，同時(shí)使用GSM中間人方法劫持驗(yàn)證短信，此類(lèi)劫持和嗅探并不僅限于GSM手機(jī)，包括LTE、CDMA類(lèi)的4G手機(jī)也會(huì)受到相應(yīng)威脅。

利用“GSM劫持+短信嗅探技術(shù)”，犯罪分子可實(shí)時(shí)獲取用戶(hù)手機(jī)短信內(nèi)容，進(jìn)而利用各大知名銀行、網(wǎng)站、移動(dòng)支付App存在的基礎(chǔ)漏洞和缺陷，實(shí)現(xiàn)信息竊取、資金盜刷和網(wǎng)絡(luò)詐騙等。

當(dāng)然，一個(gè)好消息是目前絕大多數(shù)支付類(lèi)，銀行類(lèi)app除了短信驗(yàn)證碼往往還有圖片驗(yàn)證，語(yǔ)音驗(yàn)證，人臉驗(yàn)證，指紋驗(yàn)證等等諸多二次驗(yàn)證機(jī)制，如果單單泄露驗(yàn)證碼，問(wèn)題是不大的。

而壞消息是這種新型“截獲短信驗(yàn)證碼盜刷案”沒(méi)有辦法防范，因?yàn)榇祟?lèi)新型偽基站詐騙使用的方法是鉆了手機(jī)信號(hào)協(xié)議的空子，普通用戶(hù)是沒(méi)有辦法防范的。

雖然有人給出建議：晚上關(guān)機(jī)或開(kāi)啟飛行模式，但是這樣做的意義并不大。因?yàn)橛械氖謾C(jī)在劫持后，本身無(wú)法接收到短信。

對(duì)于這個(gè)問(wèn)題，華為手機(jī)產(chǎn)品線(xiàn)副總裁、“Mate之父”李小龍?jiān)谖⒉┍硎?，“?dāng)前的盜刷案件更高概率是通過(guò)攻破支持短信云同步的賬號(hào)來(lái)獲取短信驗(yàn)證碼，這比在用戶(hù)附近截獲空中信道要容易的多，并且建議用戶(hù)關(guān)閉短信云同步功能?！?/p>

那么，對(duì)于普通人來(lái)說(shuō)，如何防范此類(lèi)事件呢？

1. 盡可能更換 4G 手機(jī)并聯(lián)系運(yùn)營(yíng)商開(kāi)通 VoLTE 業(yè)務(wù)，提升手機(jī)防御等級(jí)，增加攻擊難度;

2. 平時(shí)保護(hù)好個(gè)人信息(包括身份賬號(hào)、銀行卡號(hào)等敏感信息);

3. 關(guān)閉手機(jī)移動(dòng)信號(hào)，只使用家中或辦公室等安全的 WIFI 聯(lián)網(wǎng);

4. 睡覺(jué)前關(guān)機(jī)或設(shè)置飛行模式，讓手機(jī)無(wú)法接收短信(但這可能導(dǎo)致其他詐騙風(fēng)險(xiǎn)上升或者親友有重大事件無(wú)法聯(lián)系)

總之，遇到此類(lèi)事件，大家一定要多長(zhǎng)點(diǎn)心，提前做好安全防護(hù)，這樣即使發(fā)生問(wèn)題，也可以把損失降到最低。