深夜恐怖事件：100 多条验证码短信轰炸，一觉醒来钱都没了（附解决办法）

(ID: ifanr)

人睡在家，债从天而降。

豆瓣网友“钓鱼寒江雪”最近崩溃了。

7月30日凌晨5点，她偶尔醒来，发现手机莫名收到了100多条验证码短信。仔细检查后，她发现支付宝、余额宝和相关银行卡的钱已经全部转出，京东账户也开金条、白条，借了1万多元。

什么都不做，一觉醒来一无所有，还背上了一大堆债务。这是什么骗局？

在报警、寻找手机关机、向支付宝索赔的过程中，“豆貂韩江雪”从热心网友提供的信息中得知，这可能是短信验证码的问题。

豆瓣网友“钓鱼寒江雪”连夜收到验证码短信

短信验证码惹的祸？

在移动互联网高度发达的当下，短信基本上只剩下一个功能：接收短信验证码。

登录微博、微信、收快递、银行转账、汇款……几乎所有与安全相关的操作，短信验证码都承担了最关键的责任——证明是自己操作。

为什么要靠短信验证码来证明自己？

这必须从“多因素身份验证”开始。

在互联网时代，一个安全的决策需要保证以下五个环节：

其中，由于互联网的匿名性，身份认证是最难证明的部分。在密码学中，最经典的方法是“多因素认证”。

比如我们出境过海关的时候，护照、指纹、人脸识别这三个认证要素是必不可少的。

甚至与国家安全相关的“核按钮”也使用了类似的加密方式。

比如，俄罗斯有三个“核扣”手提箱，分别负责总统、国防部长和参谋长。

发动核攻击时，必须同时按下至少2个核按钮。发射程序采用“双核按钮系统”，即每一级有两组密码，只有当两组密码拼写正确并逐级传达命令时，核导弹才能终于推出了。

不可能这么任性

但是，在现实生活中，“核按钮”级别的验证方式显然并不适用于所有人。一是成本太高，二是工艺太繁琐。

于是，以短信验证码为代表的“双因素认证”应运而生——几乎每个人都有一部智能手机，手机号码采用实名制，短信验证码成本相对较低。

同时满足安全、便捷、低成本三个方面的要求，这也是短信验证码大受欢迎的原因。

然而，一旦短信验证码泄露，随之而来的安全隐患也令人担忧。

编辑1分钟内收到的一系列验证码短信，不是本人操作，幸好及时处理

更何况，“短信嗅探”就是这样一种“窃取”短信验证码的技术。

什么是“短信嗅探”？

短信验证码是如何发送到我们手机的？主要通过以下三个步骤：

核心网侧的控制信令、语音呼叫或数据业务信息通过传输网发送到基站

信号在基站侧经过基带和射频处理，然后通过射频馈线送到天线进行传输

终端通过无线信道接收天线发射的无线电波，然后解调自己的信号

“短信嗅探”技术主要是操纵二、的第三步。

图来自百度百科

目前，大多数短信都是通过2G网络的GSM通信协议传输的，这种协议不安全，只需要一个嗅探设备（通常是改装过的手机）就可以收听。

图来自

后来，骗子利用假基站（通常是改装过的手机或笔记本电脑）收集周围的 SIM 卡信息。

这样就同时获得了手机号和短信验证码。此时，骗子已经可以通过网站查询来推断号码所有者的身份信息，甚至可以得到身份证号和银行卡号。

图来自

有了这些信息，诈骗者就可以进行资产转移、小额贷款等。通常犯罪发生在深夜，你可能还在不知不觉中睡着了。

休眠关机可以防止“短信嗅探”吗？

一些媒体给出的“短信嗅探”的建议是睡觉时关机。这种做法有一定的效果，但实际上只是治标不治本。

你睡了吗？没关系，攻击者也可以靠近短信发送者窃取短信。比如他想盗取你的支付宝账号，只要找出支付宝给你发短信的设备所在的位置，蹲在附近监听，你的验证码依然可以轻松获取。

而且休眠关机也有它自己的副作用。一方面，家人或朋友可能会在晚上遇到紧急情况而无法联系到您；另一方面，也曾出现过因“叫你死”、短信轰炸导致手机关机的情况，最终导致诈骗，损失更大。这不是一个万能的解决方案。

作为消费者，面对这种欺诈行为，我们目前防范的方法并不多，只能尽最大努力加强防范。以下方法都可以工作：

1. 开启高清语音通话服务（VoLTE功能）

正是因为使用了协议缺陷的2G通道，SMS才如此脆弱。因此，防止“短信嗅探”的一种方法是开启VoLTE功能，对短信进行“升级”。

开通高清语音通话服务后，短信将像打电话一样通过3G/4G网络传输。这种方式虽然不能100%抵抗伪基站的降维攻击，但可以增加“短信嗅探”的整体难度；不过暂时只有部分地区支持VoLTE功能。

2. 严格控制App读取短信权限

除了GSM“短信嗅探”，那些乖乖躺在手机里，获得短信阅读权限的应用，其实是信息安全的隐患。想想看，只要任何一个获得许可的应用出现漏洞百度网盘登录要验证码，你的验证码短信就相当于在网上“裸奔”。

不要拿太多，现在就拿回来。

3. 设置特殊号码接收验证短信

比较“孤立”的做法，大概是准备一个专门的号码和手机来接收各种验证码短信。

建议您在此手机上禁用WiFi和移动网络百度网盘登录要验证码，仅用于拨打电话和发送短信，可以阻止大部分由App漏洞、手机木马或短信自助云备份造成的危险.

但是，不要选择只支持 2G 网络的功能手机。回顾：2G 信号最容易被劫持。

我们还需要准备什么来防止个人财产被盗？

对于“钓鱼寒江雪”事件，网络安全专家tk认为，GSM“短信嗅探”只是一种可能。手机木马、运营商内鬼、短信自动云备份等都可能是验证码。短信曝光的原因。

还有一种说法是，这位豆瓣网友可能丢失了Apple ID的账号和密码，信息同步导致验证码“闪退”。

不管是什么原因，为了防止个人财产被盗，平时需要保护手机号、身份证号、银行卡号、支付平台账号等敏感隐私信息。多留点心，多设置几条防抱死线。

以 Apple ID 为例，设置两步验证后，您的帐户只能从您信任的设备（例如 iPad 或 Mac）上访问。首次登录新设备时，双重身份验证也很谨慎，要求您提供 Apple ID 密码和自动显示在受信任设备上的 6 位数验证码。

对于微信、支付宝、京东等账号，可以通过定期修改登录密码，或者增加登录和支付“关卡”（如手势解锁、语音锁、人脸登录、指纹识别等）来降低被盗风险， 等等。）; 平台上也会有相应的安全保障。

同时，您还可以定期关注“登录设备列表”，遇到不合适的情况及时警惕。

并且万一发生不幸被盗事件，记得尽快取证，冻结挂失银行卡并报警。在依靠警方挽回损失的同时，您还可以准备材料向相关支付平台发起理赔申请，就像“独钓寒江雪”一样。

最后，借用一句古话，小心驾驭万年之船。