GSM协议漏洞被非法利用 “短信验证码”还安全吗

最近，手机有时无缘无故地收到短信验证码，但是本人并未进行任何操作。网上一查，发现这极有可能是最近闹得沸沸扬扬的“截获短信验证码盗刷案”。

根据一名“独钓寒江雪”的网友讲述：半夜醒来，手机莫名收到100多条验证码，包括支付宝、京东和银行等。后来一查，发现余额宝、余额和关联银行卡的钱已被转走。虽然事后报警、理赔，但是并没有啥效果。

无疑，这些都属于利用短信验证码冒用身份、窃取银行账户和金融类App财产的案件。为什么手机没有进行任何操作，还能收到短信验证码呢？

根据江宁公安在线官微的解释：这是一种新型伪基站诈骗。与传统伪基站不同，这种新型方法可以不接触目标手机而获得目标手机所接收到的验证短信的目的。而更危险的新技术则是重新定向手机信号，同时使用GSM中间人方法劫持验证短信，此类劫持和嗅探并不仅限于GSM手机，包括LTE、CDMA类的4G手机也会受到相应威胁。

利用“GSM劫持+短信嗅探技术”，犯罪分子可实时获取用户手机短信内容，进而利用各大知名银行、网站、移动支付App存在的基础漏洞和缺陷，实现信息窃取、资金盗刷和网络诈骗等。

当然，一个好消息是目前绝大多数支付类，银行类app除了短信验证码往往还有图片验证，语音验证，人脸验证，指纹验证等等诸多二次验证机制，如果单单泄露验证码，问题是不大的。

而坏消息是这种新型“截获短信验证码盗刷案”没有办法防范，因为此类新型伪基站诈骗使用的方法是钻了手机信号协议的空子，普通用户是没有办法防范的。

虽然有人给出建议：晚上关机或开启飞行模式，但是这样做的意义并不大。因为有的手机在劫持后，本身无法接收到短信。

对于这个问题，华为手机产品线副总裁、“Mate之父”李小龙在微博表示，“当前的盗刷案件更高概率是通过攻破支持短信云同步的账号来获取短信验证码，这比在用户附近截获空中信道要容易的多，并且建议用户关闭短信云同步功能。”

那么，对于普通人来说，如何防范此类事件呢？

1. 尽可能更换 4G 手机并联系运营商开通 VoLTE 业务，提升手机防御等级，增加攻击难度;

2. 平时保护好个人信息(包括身份账号、银行卡号等敏感信息);

3. 关闭手机移动信号，只使用家中或办公室等安全的 WIFI 联网;

4. 睡觉前关机或设置飞行模式，让手机无法接收短信(但这可能导致其他诈骗风险上升或者亲友有重大事件无法联系)

总之，遇到此类事件，大家一定要多长点心，提前做好安全防护，这样即使发生问题，也可以把损失降到最低。