????犯罪分子常選擇深夜用特殊設備嗅探用戶短信 “睡覺前關機”是最簡單應對方法

嫌疑人將偽基站等設備藏在外賣箱中供圖/騰訊守護者計劃

????“一覺醒來，手機里多了上百條驗證碼，而賬戶被刷光還背上了貸款”——近期犯罪分子利用“GSM劫持+短信嗅探”的方式盜刷網友賬戶的事件成為網絡熱點。那么，該如何防范這種短信嗅探犯罪呢？安全專家指出，最簡單的一招就是睡覺前關機，手機關機后就沒有了信號，短信嗅探設備就無法獲取到你的手機號。

????在主流App中，許多賬戶登錄及資金操作都可以通過手機號碼加短信驗證碼的方式實現，對于用戶來說，這種操作為自己帶來方便，無需記憶復雜的密碼；但對于別有用心的犯罪分子來說，他們可以利用簡單的設備獲取用戶的驗證碼，從而操控用戶賬戶，提現、消費，甚至貸款。一位深圳網友日前就經歷了這樣的騙局，一覺醒來，手機上發現了上百條驗證碼，銀行卡、支付寶、京東等賬戶中的資金不翼而飛，甚至還背上了網絡貸款。

????專家表示，這是犯罪分子利用“GSM劫持+短信嗅探”的方式，把銀行卡或其他賬戶里的錢盜刷或者轉移了。為此，消費者需要注意防范，尤其是在2G網絡情況下，警惕遇到犯罪分子實施的強制“降頻”等方式攻擊，要及時更換網絡環境，重新連接真實基站，檢查移動App異常惡意操作情況。

????事件

????一覺醒來收百條驗證碼存款全無

????本月初，家住深圳的網友“獨釣寒江雪”發文稱，自己當天起床發現手機接受了100多條驗證碼，包括支付寶、京東、銀行卡等，查詢發現，“支付寶、余額寶、余額和關聯銀行卡的錢都被轉走了。京東開了金條、白條功能，借走一萬多。”

????她的手機截圖顯示，她從凌晨1點多起，陸續收到來自中國銀行、京東、京東支付、環迅支付、房天下等多個號碼發來的“驗證碼”短信，僅在3點11分就收到了4條短信，一共100余條。

????如京東金融自2點34分起，陸續發送了“（借款成功）您成功申請金條借款10000.00元，將于30分鐘內到尾號0152的銀行卡”“恭喜您開通白條，額度為5000元”等多條短信，京東支付的短信顯示：“驗證碼：362661，您現在正在進行支付，短信驗證碼請注意保密……”環迅支付顯示：“驗證碼219860，你正在使用快捷支付，校驗碼很重要，不要告訴任何人哦！”10086123的短信顯示：“您的短信驗證碼為351525，請本人及時輸入，切勿向他人透露。”

????另外，她還查詢到自己的多個賬戶中的錢已被交易，對方用自己的支付寶綁定的工商銀行卡購買了1000元的Q幣，還預定了南京一家高檔酒店的套房，用京東卡充值了2000元的中國石化加油卡等。

????分析

????犯罪分子利用短信嗅探專挑熟睡時段作案

????那么為何會出現“睡一覺把存款睡沒”的情況？騰訊安全的技術人員表示，“這些人都是被犯罪分子用‘GSM劫持+短信嗅探’的方式，把銀行卡或其他賬戶里的錢盜刷或者轉移了。”

????據技術人員介紹，短信嗅探通常由號碼收集設備（偽基站）和短信嗅探設備組成。其犯罪具體分為以下四步：第一步，犯罪團伙基于2G移動網絡下的GSM通信協議，在開源項目OsmocomBB的基礎上進行修改優化，搭配專用手機，組裝成便于攜帶易使用的短信嗅探設備。

????第二步，通過號碼收集設備（偽基站）獲取一定范圍下的潛在的手機號碼，然后在一些支付網站或移動應用的登錄界面，通過“短信驗證碼登錄”途徑登錄，再利用短信嗅探設備來嗅探短信。

????第三步，通過第三方支付查詢目標手機號碼，匹配相應的用戶名和實名信息，以此信息到相關政務及醫療網站社工獲取目標的身份證號碼，到相關網上銀行社工，或通過黑產社工庫等違法手段獲取目標的銀行卡號。由此掌握目標的四大件：手機號碼、身份證號碼、銀行卡號、短信驗證碼。所謂社工，是黑客界常用的叫法，就是通過社會工程學的手段，利用撞庫或者某些漏洞來確定一個人信息的方法。

????第四步，通過獲取的四大件，實施各類與支付或借貸等資金流轉相關的注冊/綁定/解綁、消費、小額貸款、信用抵扣等惡意操作，實現對目標的盜刷或信用卡詐騙犯罪。因為，一般短信嗅探技術只是同時獲取短信，并不能攔截短信，所以不法分子通常會選擇在深夜作案，因為這時，受害者熟睡，不會注意到異常短信。

????追訪

????短信嗅探設備被藏在外賣箱內作案

????據騰訊安全的技術人員介紹，嫌疑人的設備包括兩種，一種是收集設備，一種是嗅探設備。收集設備由一個偽基站、三個運營商撥號設備以及一個手機組成。這臺設備啟動后，附近2G網絡下的手機就會被輪流“吸附”到這臺設備上。此時，與設備相連的那臺手機（中間人手機）就可以臨時頂替被“吸附”的手機。也就是說，在運營商基站看來，此時攻擊手機就是受害者的手機。嫌疑人的短信嗅探設備則由一部電腦、一部最老款的諾基亞手機和一臺嗅探信道機組成。利用該劫持設備，犯罪分子可以看到這個基站區域內所有用戶收到的短信，并且用戶毫無知覺。上述的設備體積都不大，也為其實施作案提供了方便。

????據報道，該案件發生后，深圳龍崗警方對該案高度重視，抽調精兵強將此類新型案件進行串并研判，在一周內抓獲了數名犯罪嫌疑人，并繳獲了作案設備。網友獨釣寒江雪也表示，最后，支付寶和京東的賠付到賬，貸款還清。

????值得注意的是，一名嫌疑人所用的車載嗅探攻擊設備等被裝在一個外賣保溫箱中，也就是說，從外觀來看，這是一臺外賣箱，實際上，這是一個裝有偽基站等設備的操作站。

????關注

????短信嗅探盜刷到底該如何防范

????由上可見，嫌疑人要實現盜刷需要很多條件：第一，受害者手機要開機并且處于2G制式下；第二，手機號必須是中國移動和中國聯通，因為這兩家的2G是GSM制式，傳送短信是明文方式，可以被嗅探；第三，手機要保持靜止狀態，這也是嫌疑人選擇后半夜作案的原因。第四，受害者的各類信息剛好能被社工手段確定；第五，各大網站、APP的漏洞依然存在。

????那么，作為普通網民來說，如何防范這種短信嗅探犯罪呢？騰訊安全的技術人員表示，最簡單的一招就是睡覺前關機，手機關機后就沒有了信號，短信嗅探設備就無法獲取到你的手機號。如果發現手機收到來歷不明的驗證碼，表明此刻嫌疑人可能正在社工你的信息，可以立即關機或者啟動飛行模式，并移動位置（大城市可能幾百米左右即可），逃出設備覆蓋的范圍。另外還要注意自己手機信號模式改變。在穩定的4G網絡環境下，手機信號突然降頻“GSM”、“G”或者無信號時，警惕遇到黑產實施的強制“降頻”及GSM Hack攻擊，要及時更換網絡環境，重新連接真實基站，檢查移動App異常惡意操作情況。

????在手機設置上，用戶可以使用“VoLTE”保護信息安全：在手機設置中開啟“VoLTE”選項，目前主流安卓或iphone手機均已支持。（VoLTE：Voice over LTE，是一種數據傳輸技術，無需2G或3G，可實現數據與語音業務在4G網絡同時傳輸）

????同時，用戶最好關閉一些網站、APP的免密支付功能，主動降低每日最高消費額度；如果看到有銀行或者其他金融機構發來的驗證碼，除了立即關機或啟動飛行模式外，還要迅速采取輸錯密碼、掛失的手段凍結銀行卡或支付賬號，避免損失擴大。

????提示

????平時需做好敏感私人信息保護

????此外，據犯罪嫌疑人交待，他們利用設備可以登錄一些防范能力較低的網站（一般只需要手機號+驗證碼）綽綽有余。但是他們的目的并不僅限于成功登錄，而是要盜刷你名下的錢。所以還需要通過其他手段獲取姓名、身份證號、銀行卡號等信息，他需要社工手段來確定這些信息。因此，用戶平時要做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感的私人信息保護。

????那么，騙子如何獲取用戶的這些信息呢？例如如何獲知附近用戶的手機號？據騰訊安全技術專家介紹，手段千奇百怪，比如騙子劫持到中國移動139郵箱發送來的短信“中國移動 139郵箱 狂歡來一波！100%有獎！點擊查看郵件詳情xx”后，復制其中的鏈接到瀏覽器，點擊“進入掌上營業廳”，就可以直接看到手機號了。知道了手機號以后，再通過登錄其他一些網站，利用社工手段就可以很輕松地知道這個人的銀行卡賬號、身份證號。

????在獲取了用戶信息后，騙子就可以利用這些信息實施犯罪。其一，登錄各種網站修改密碼，如許多電商、旅游網站允許使用“手機號+驗證碼”的登錄方式，而騙子又可以實時監控到驗證碼，所以很容易就可以登錄。據測試，許多主流網站都可以順利登錄，可以查看商品訂單、行程信息、支付信息等，而且還可以直接更改登錄密碼。其二，可以盜刷資金，許多App的安全策略較低，不少APP只要輸入“姓名+銀行卡賬號+身份證號碼+手機號碼+動態驗證碼”，就默認是本人操作，騙子進入以后馬上就會盜刷或者購買點卡類虛擬物品。其三，利用網站身份申請貸款等，有些嫌疑人刷完了銀行卡中的錢，還會通過這些信息在一些小的貸款網站、平臺申請小額貸款，讓受害人不但積蓄全無，還會背負債務。通過非法獲取和販賣用戶的隱私信息，黑產還可實施精準的電信網絡詐騙、敲詐勒索、惡意推廣營銷等不法活動。

????在此過程中，一些App會在必要時候啟動風險措施，如支付寶在嫌疑人試圖提現時啟動了風控措施，從而中斷了嫌疑人進一步實施犯罪的動作。據介紹，當天嫌疑人利用偽基站和嗅探設備于1時42分通過“姓名+短信驗證碼”的方式登錄了支付寶賬號；1時45分和1時48分通過社工到的信息對登錄密碼和支付密碼進行了修改，并且綁定了銀行卡；1時50分到2時12分別通過輸入支付密碼的方式進行網上購物932元，并提現7578元。3時21分，嫌疑人想通過提現到銀行卡上的錢進行購物，支付寶風控措施啟動，要求人臉校驗，沒有通過校驗后嫌疑人便放棄。此時，在支付寶上的消費也就是932元。

????安全專家表示，支付寶的安全等級算是高的，但從嫌疑人的交待中，還發現了許多網站的風控措施不嚴格，很容易被利用。比如每天最高限額定得過高（某銀行每天限額達到5000元），比如更換設備登錄、頻繁登錄沒有人臉或密碼校驗等手段，再比如可以在網站上進行小額貸款等操作。

????建議

????App及網站需提高短信驗證碼安全系數

????而針對網絡平臺，全國信息安全標準化技術委員會也下發了一份《網絡安全實踐指南——應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》，建議個各App、網站服務提供商對業務系統中短信驗證碼的使用方式進行摸底。例如在用戶注冊、密碼找回、資金支付等環節的短信驗證碼使用情況，并評估相關安全風險，優化用戶身份驗證措施。全國信息安全標準化技術委員會建議的方式包括：短信上行驗證、語音通話傳輸驗證碼、常用設備綁定、生物特征識別、動態選擇驗證方式等。

????如短信上行驗證具體是：提供由用戶主動發送短信用以驗證身份的功能，如要求用戶在規定時間內(如 60 秒)，使用已綁定的手機號碼向移動應用、網站服務提供商指定的短信服務號碼發送指定內容短信，移動應用、網站服務根據短信內容對用戶身份進行驗證。常用設備綁定為：提供將用戶賬號與常用設備綁定的功能，原則上支付、轉賬等敏感操作只能通過該綁定設備執行。設備綁定、更換等操作應采用短信上行驗證、語音通話傳輸驗證碼等方式，并采用諸如要求用戶回答預設問題、提供注冊時填寫的相關用戶信息或核對該用戶賬號近期操作記錄等方法進一步確認用戶身份。