一夜醒来，放在枕边的手机收到几十条银行短信。银行卡，支付宝里的钱全部被人转走，甚至还替你借了网商贷，不单止辛苦多年的积蓄全都没有了，还欠了银行一屁股债，这不是小说里的情节，最近这样的手机盗刷案件在国内频繁发生... 下一个没准就是你

本文篇幅有点长，但如果你不想辛苦打拼几十年的财产被人一夜盗走，请耐心看下去，并按文章末尾推荐的方式赶紧做好手机和资金账户的防范措施！（文章末尾有能有效防范手机被盗刷的方法，你也可以直接跳过去看）

近日里，微博一位网友的真实经历引发了诸多人的担忧，在他8月4号的一篇博文《记录一下支付宝，银行app被盗刷的情况》里记录了这样一件让人匪夷所思的事。在2018年8月3日凌晨5:01-7:39分之间，该网友还在熟睡时，不法分子通过盗取它的支付宝和银行账户进行消费和贷款，总计盗刷了18696.29元。期间，该网友的手机就放在枕头边，而银行卡也在家里，银行密码什么的也没被别人知道，这到底是怎么一回事呢？

如果你本人曾经开通过支付宝或者手机网银，应该还有点印象，这些财务App的开通和登陆，都是用手机号+本人姓名+身份证号+银行卡作为验证方式的。曾几何时，这样的验证方式还算靠谱。毕竟手机是在自己手上对吧，当你接收从银行发过来只于60秒内有效的验证码，再填到验证框去，这一切看起来都哪么天衣无缝，以至于人们觉得足够安全后为了简便，很多App的登陆或绑定方式就简化为了手机号+验证码的方式。但这样一来，就给不法分子留下了可乘之机。

GSM劫持+短信嗅探是什么？不法分子是怎么通过该方式盗取我们钱财的

我们现在用的手机，无论你是用的华为小米，还是苹果iPhone，又或是支持什么4G、4G+网络的，其实通通都是由GSM制式走过来的。手机网络的发展是从 1.0（模拟通信）-> 2.0 （GSM）-> 3.0 (3G) -> 4.0（4G/4G+）。在手机网络2.0，也即是我们称之为GSM制式的时代，手机语音和短信第一次以纯数字信号的方式进行传输，由于年代久远加上当时的技术限制，GSM制式下手机的短信是单向鉴权并且是以明文方式传输的，什么意思？就是说如果今天你的手机收到一条短信，并且是在GSM制式下收发的话，基站（移动运营商端）只会验证手机是不是真（该网络运营商旗下的）的，但手机不会去甄别这个基站是不是真的（是不是真的该网络运营商的）。这个漏洞就造成了伪基站（一种犯罪分子打造的小型基站用以在小范围内代替运营商真基站并实施犯罪的设备）的兴起。在最开始，不法分子的脑袋还不是太灵光，他们只利用伪基站向附近的手机发送些垃圾广告内容，到后来这种短信自动被一些短信拦截App给屏蔽了，也就没人再用了。他们就开始升级到假扮运营商或者某些大网络公司的服务，用手机短信给你发一个网址从而盗取用户的隐私信息或向用户手机植入木马。时至今天，网络金融在中国得到了长足的发展，各种网络金融App，网上银行App及各种外卖和电商平台的盛行，给这些不法分子营造了绝佳的盗取资金的机会。

不法分子用于GSM劫持及短信嗅探所用的设备

不法分子采用的短信嗅探软件显示界面

在当下的中国，个人隐私（包括手机号，姓名，身份证和个人头像，银行卡号）基本已经不是隐私了，在网络黑产那里可能只需要报个手机号加几十块钱，就能拿到以上的全套信息。这时候不法分子所需要利用GSM劫持+短信嗅探技术完成盗刷的基本条件都已经具备。首先，不法分子会利用网上购买或者按教程教授的方式组装的小型GSM劫持设备，游荡在你的周围（方圆500-1000米），收集附近的手机号（通过截获最近一段时间的短信及其内容，上面都会带有你的手机号码，用的什么网络软件，大概用了些什么服务），然后不法分子会通过短信截获的内容判断目标的价值，譬如那些经常转账，或者某某银行卡、支付宝到账的，会优先列入目标范围。然后他们就会想办法搞到这个手机号的联系人信息（包括姓名、住址、身份证号银行卡号等），这些信息可能泄露的途径有（各种外卖平台的信息泄露、快递信息泄露、网上注册某些网络贷款的信息泄露及电脑或手机中了木马的信息泄露），最后在目标名单里也从网上买到了隐私信息后，犯案就开始了。

不法分子首先会挑一个凌晨（这样你就在熟睡中，手机也可能开了静音什么的），然后先利用像是饿了x/美x或者移动运营商服务这样的平台，输入你的手机号，让他们向你发送验证码。并用该验证码登陆你的饿了X账号或者移动网上营业厅，顺便也查一些信息，像是饿了X或者美X这种外卖平台，用手机号+验证码登陆后，能查看到你的家庭住址。如果再多过2-30分钟，仍然能用新修改的移动和通信密码登陆网上营业厅，则说明受害人熟睡或者不在手机旁，这时候犯罪分子就开始大胆操作了。他会先用“短信验证码登陆”方式登陆支付宝，然后修改支付宝支付密码，之后就先把支付宝里的余额通过转账或网上消费的方式进行盗取，这还不够可恨，由于现在支付宝属于很强势并且用户众多的手机App，很多银行都对此作了通道优化能让你比较便利的绑定名下银行卡，接下来犯罪分子会通过网上购买到你的银行卡信息，通过支付宝挂靠你的银行卡，开始用支付宝做网上购物或网银转账操作。如果银行卡里没钱，会通过支付宝开通网商贷或者借呗等先贷款到银行卡上，再进行透支消费。总之，一旦不法分子登陆了支付宝后，并且你没有做进一步的验证措施（支付宝也有增加验证强度的方式，但一般人都没有做，这个会在后文提到），那损失就会如微博那篇文章那样了。具体操作手法什么的就不便分析得太具体，以免让坏人有样学样了。

那我怎么防范GSM劫持+短信嗅探？

就目前来说，其实GSM劫持已经不是新鲜事了，这事情4-5年前随着伪基站的诞生就已经存在了，问题是中国幅员辽阔，而GSM手机制式（设备）也沿用了十几年，是中国也是现今世界上最大的一张手机网络，这里涉及的设备和系统千千万万。再加上GSM（2G）模式下的短信明文传输和单向鉴权都是协议上的漏洞。只要手机运行在GSM 2G网络下就一定能被利用，说白了就是米已成炊，于事无补，在运营商那边来说只能劝用户尽快升级到4G网络上去（2G全面退网），也就是说靠移动运营商层面来解决这个GSM劫持+短信嗅探问题不现实。

在网络金融和网银App方面防范这个GSM劫持+短信嗅探是有可能的，但这需要众多手机应用增加新的验证方式，并更新他们的App，这个需要一定的时间，但我相信负责任的大厂（像是支付宝其实已经有这样的功能了，但默认是关闭的）还有本应固若金汤的手机网银App会很快跟进。方法是 1）取消单纯的手机号+接收验证码即可登录甚至还可以修改支付密码等功能 2）在最后的支付环节或修改支付密码环节增加指纹或人脸识别步骤，并且该步骤开启后，需要指纹或人脸识别才能关闭。

但远水解不了近火，如果在这些软件更新前你就中招了，那怎么办？

一、首先你们要了解到，GSM劫持是因为手机使用了GSM制式下的2G网络，目前在中国只有中国移动和中国联通2G下是GSM制式，中国电信2G下是CDMA制式，是无法被短信嗅探的。因此，如果你是中国电信用户，或者有中国电信的手机卡（我知道最近很多开了中国电信家庭光纤宽带的，是附赠了无限手机流量套餐手机卡的），可以把支付宝或网银手机号临时改成中国电信的，这样100%就能避免被短信嗅探的问题。

二、网上有人说，晚上睡觉手机关机。的确，手机关机了，由于手机不在网络下，运营商不会向你发送短信验证码，自然不法分子后续的操作都无法实施，也是100%有效。但对于工作繁忙，或者有时候怕家里出什么事的人来说，一晚上关手机造成的损失可能比银行资金被盗取更大。所以这种方法也不太可取，那有没有不换手机号为中国电信，又或是晚上睡觉不关手机又能防范GSM劫持+短信嗅探的办法呢？答案是有的

由于文章过长无法显示，请点解左下角 “了解更多” 阅读关键的《中国移动和中国联通用户如何不关手机防范GSM劫持+短信嗅探》内容章节