怎样防止GSM短信劫持

相信很多童鞋的朋友圈最近都在传播这么一则消息：多地警方陆续接报一类蹊跷案件，很多人早上起床后发现手机收到很多验证码和银行扣款短信，甚至网上银行APP登录账号和密码也已被篡改，损失惨重。

相关民警介绍，上述案件是一种最新型的诈骗手法。黑客通过“GSM劫持+短信嗅探技术”，可实时获取用户手机短信内容，进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷，实现信息窃取、资金盗刷和网络诈骗等犯罪。

今天，CFan就和大家聊一聊关于GSM短信劫持的那些事儿。

为啥隐患这么大？

无论是用户自己图方便，还是整个行业的刻意引导，如今各种APP都需要使用手机号码注册和登录，无论是微信、支付宝、银行客户端、现金贷还是微博论坛都是如此。如果你安全意识不高，这些APP都用了相同的密码……

此外，短信验证码可以帮助用户进行修改密码、修改绑定邮箱等敏感操作，某些APP甚至还支持动态短信验证码直接登陆。

因此，黑客只需拿到了你的手机号码+GSM短信劫持，一个手机号就能威胁到和其绑定的所有支付宝、银行卡和具备支付或贷款功能的APP。

反正现在小编无比怀念起可以随意用个性昵称或邮箱地址随意注册的年代了……我会告诉你我的昵称就叫“忘记密码”吗？

黑客怎么玩？

GSM短信劫持是一种比伪基站更高端的技术。简单来说，黑客会使用专业设备自动搜多附近的手机号码，拦截如运营商、银行发送的短信，劫持对象主要针对2G信号（GSM信号），窃取短信信息后通过其登录一些网站，从中碰撞机主身份信息，称之为“撞库”（即多个数据库之间碰撞），试图将机主的身份信息匹配出来，包括身份证、银行卡号、手机号、验证码等信息，继而在一些小众的便捷支付平台开通账号并绑定事主银行卡，冒充事主消费或套现，盗取事主银行卡资金。

还好，黑客往往只是随机作案。如果你已经被黑客刻意盯上，对方提前获知了你的姓名、手机号和身份证号码，通过SIM卡劫持（又称SIM卡克隆）或GSM短信劫持+找回密码认证，后果不堪设想。

最令人无奈的是，黑客们大多选择凌晨作案，在你睡得最深沉之际就完成了既定目标。当你白天醒来之后，一切就都晚了。

此外，短信验证码的安全缺陷是由GSM设计造成，且GSM网络覆盖范围广，因此修复难度大、成本高，对于普通用户来说基本上是无法防范。

一些大家关心的问题

小编在网上搜到了不少网友与GSM短信劫持方面的问答，截取一些和大家分享，里面涉及到技术方面的不一定正确，仅供参考。

问：联通现在都是4G和3G，还有危险吗？

答：攻击不需要运营商有真实2G网络，而是利用基站的机制让你的网络不管是3G还是4G都强行降级到GSM。除非你的手机自身就不允许切换到2G网络，否则都会面临GSM短信劫持的隐患。

问：CDMA手机咋降到GSM？

答：CDMA理论上向下兼容GSM，再加上上面的原因，所以同样存在威胁。

问：手机自带伪基站识别功能有用吗？

答：这次的案件原理是利用GSM通信协议漏洞，识别和屏蔽伪基站功能指望不上。

问：手机开通了VoLTE功能，通话都是4G，还害怕吗？

答：现在的GSM短信劫持原理是强制你的手机重新定向到GSM伪基站，所以如果黑客选择高成本的暴力干扰3G/4G信号而强制让信号回落到2G的方式，那VoLTE功能也救不了你。

那我们应该怎么办？

虽然GSM协议的安全隐患已经被有关部门注意到，而运营商方面也正在进行相关的优化升级。但是，在验证码短信还处于明文传递的今天，更多时候还是需要从我做起。

最近网上流传的方案大都是睡觉前关机或是将手机设定到飞行模式。这种操作的确可以防止GSM短信劫持，但如果黑客选用的是SIM卡克隆，你反而会失去提前发现手机突然没信号的前兆。所以，小编首先建议的就是大家进入微信、支付宝、银行客户端等APP，找到（如果有）并打开与二次验证相关的一切功能，比如个性化问题、语音验证、人脸验证等等，设置到连你都觉得登录一次怎么这么麻烦的地步就好了。

问题来了，很多APP并没有二次验证的安全举措，只要手机号+验证码就能登录并重置一切安全设置，并完成支付和转账等操作。

因此，我们只能指望整个行业提升手机登录安全验证的技术革新了。

比如，增加自己的安全意识，在家里（熟悉的Wi-Fi环境）下登录银行支付类APP。关闭各种云服务的短信备份（云同步）功能，彻底堵死黑客从云端获取短信内容的通道。

再比如，让新手机首次安装SIM卡时加入绑定当前手机MAC地址的步骤（需要运营商方面想办法），今后每次收发短信应需要先验证MAC地址，也就是先发送一个信号咨询MAC地址，得到手机自动回复验证通过后，再发送短信明文。

还比如，基于APP的两步验证。两步验证APP基于TOTP机制，不需要任何网络连接（包括Wi-Fi），也不需要短信和SIM卡，验证码完全在手机本地生成。所以APP两步验证可最大限度免疫SIM卡劫持和GSM短信劫持。

还有一个最简单的，以后在获取验证码登录的界面增加一个随机的应答题，除了验证码以外还需输入正确的答案，这样黑客即使拿到短信也不知道问题答案。

当然，这些都不是咱们用户自己可以决定的。只是希望借着此次GSM短信劫持案件的爆发，让更多相关企业和部门可以联手堵死有关的漏洞，比如让2G彻底淘汰，或是手机厂商加入强制关闭2G功能的选项，从而让我们今后移动支付、理财可以更加安心吧。