手機在錢沒了！專家建議晚上關機遭網友群嘲

近日，有網友反應自己手機突然從4G變成2G，隨後接到來自銀行、第三方支付和移動公司的各類短信驗證碼，之後相關賬戶的余額“憑空蒸發”。

其實這類事件並不算新鮮事了。去年，豆瓣網友“獨釣寒江雪”的文章《這下一無所有了》曾刷爆整個網絡，她以切身經曆講述了自己在毫不知情的情況下，支付寶、京東及關聯銀行卡被盜刷的全過程。

經過安全專家鑒定，這些事件是不法分子對用戶網絡動了手腳，使用“短信嗅探技術”，獲取手機內容，從而進行錢財竊取。

所謂短信嗅探技術，是在不影響用戶正常接收短信的情況下，通過植入手機木馬或者設立僞基站的方式，獲取用戶的短信內容。這其中就包括來自銀行、第三方支付平台和移動運營商的短信驗證碼。

據了解，在2G通道下進行的短信和通話信息使用的是明文傳輸，其安全性不夠。爲成功劫持信號完成短信嗅探，不法分子會幹擾3G和4G信號，強制讓用戶“降維”到2G網絡狀態。這就是前面提到的4G信號突然下降到2G，很可能就是受到了幹擾。

一般來講，這樣的作案手段可以分爲四步：

首先，利用GSM（2G網絡）設計缺陷，通過僞基站自動搜索附近（一般是周邊幾百米內）的潛在手機號碼。

其次，通過查詢地下出售的個人隱私數據，或登錄第三方支付平台、網上銀行等，碰撞查詢到目標手機號碼對應的身份證號碼、銀行卡號等。

第三，通過短信嗅探設備，嗅探目標手機號碼收到的驗證碼及運營商、銀行所發短信。

最後，在網上銀行或者移動支付平台，通過驗證碼登錄、修改賬戶信息，進行賬戶支付、借貸等資金流轉操作。

那麽這些嗅探設備哪裏來的呢？

只要在互聯網和社交軟件搜索，就可以發現大量嗅探設備交易帖和交流群。此前央視記者實測，有賣家表示全套設備需要8500元，盜取第三方支付賬戶余額的相關設備則需2萬元。

全部車載嗅探攻擊設備，從上到下依次是變壓器、嗅探信道機、電腦、車載電源（圖片來源：終結詐騙）

用戶如何避免？

仔細觀察不難發現，這類案件一般發生的時間是深夜，不少受害者都是早上起床後發現手機收到很多驗證碼和銀行扣款短信。這是因爲嗅探設備只能嗅探但不能攔截短信，因此犯罪分子通常會選擇在深夜作案，這時受害人大多在酣然入睡，不會注意到短信異常。

爲此，有專家建議，可以睡覺前關機或者通過只開通WIFI，來避免被攻擊，因爲這樣手機信號就無法被劫持。

不過對于這樣的建議衆多網友並不贊同。關機確實是保險的方法，但是這無疑是犧牲了用戶權益，給用戶帶來不便。

話說你睡覺前的手機狀態是什麽？

作爲普通用戶，我們可以做的還有：

開通VoLTE功能，讓短信通過4G網絡傳輸，防範無線監聽竊取短信。

我們已經了解到，嫌疑人要實現盜刷，其中的一項條件就是，受害者手機號必須是中國移動和中國聯通，因爲這兩家的2G是GSM制式，傳送短信是明文方式，可以被嗅探。因此如果你是其中一家的用戶，請及時開通VoLTE。

中國移動用戶可發送KTVOLTE到10086，即可開通；中國聯通用戶可發送DGVOLTE到10010，收到回複確認方式後，回複“Y”即可開通VoLTE功能，並立即生效。

而就在前幾日，蘋果推送了iOS 13.3正式版系統更新，中國聯通用戶等待已久的 VoLET 功能也正式到來。

但也可以看到，對于防範措施來說，普通用戶能做的，十分有限，並且也不能一勞永逸。

運營商能做什麽？

其實只要數據流量、通話、短信走3G或者4G通道，安全系數還是比較高的。最大的“罪魁禍首”2G網絡，因此建議運營商加快2G淘汰，確保信息最大程度的安全。

目前已經有很多國家關閉了2G網絡，包括日本、韓國、美國、新加坡等多個國家、地區的20多家運營商已經正式關閉了2G網絡。中國的運營商也在努力遷移用戶，關閉2G網絡。

相關的金融機構能做什麽？

從短信嗅探技術盜刷他人金融賬戶的案例來看，目前，被多數金融機構采用的基于賬戶登錄密碼和短信驗證碼的“雙因子安全認證”雖然方便，但存在較大的風險。

對此，有關專家建議，在“雙因子安全認證”出現漏洞的情況下，包括銀行和第三方支付平台在內的金融機構應加強安全因子的多重驗證，推出更爲完善可靠的校驗手段。

在這方面，蘋果、谷歌等企業就采用了多重驗證之類的方案。

實際上，去年年初，三大運營商和各互聯網公司的安全專家們，一起編制了《網絡安全實踐指南—應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》，提出多項加強身份驗證安全性的建議，除短信驗證碼外還新增了短信上行驗證、語音通話傳輸、常用設備綁定、生物特征識別、動態選擇身份驗證方式等等諸多二次驗證機制。

但目前的難點在于，還無法完全抛棄短信驗證碼。畢竟國內網民大多是從移動互聯網時代成長起來的，手機就是唯一的標識。而使用短信驗證碼驗證用戶身份的技術，已被廣泛應用于各類移動應用和網站服務。

爲此，當下希望第三方支付機構要注意資金安全，發現異常及時停止服務，避免用戶損失。同時，第三方支付也要和銀行開展配合，形成更立體強大的風控體系。

此外，我們也寄希望于各方能建立更完善的安全機制，來保障普通用戶的權益。對于非法買賣、使用短信嗅探設備的行爲也應該加大打擊。

（編輯：崔崔）