前不久，豆瓣網友“獨掉寒江血”發帖稱凌晨收到100多條短信，然后發現自己支付寶、余額寶、網銀的錢已經不翼而飛，還被申請了不少貸款，而這個網友的手機并沒有離開身邊。

　　無獨有偶，近期多地警方陸續接報一類蹊蹺案件，很多人早上起床后發現手機收到很多驗證碼和銀行扣款短信，甚至網上銀行APP登錄賬號和密碼也已被篡改，損失慘重。整個過程中，受害者處于熟睡狀態，沒有進行任何操作，取款密碼等關鍵信息也保證沒有泄露。

　　經過調查，“GSM劫持+短信嗅探技術”浮出水面，涉及到數億人安全漏洞暴露了出來。

　　一、GSM劫持+短信嗅探技術是如何竊取錢財的?

　　現在智能手機已經非常普遍，由于歷史原因，手機有2G、3G、4G網絡。

　　要想保證手機正常使用，必須要有信號，而這個信號就要靠遍布各地的基站來實現。我們在用手機打電話、發短信、上網時，手機必須要基站相連才可以保證信息傳輸。一個基站可以服務一定數量的手機，人員越稠密，基站就越多。

　　我們手機上傳輸的信息，首先要通過基站。

　　而騙子利用這個原理，會購買一些設備搭建“偽基站”，利用2G移動通信的缺陷，假裝正規基站與手機“強行發生關系”，再冒充銀行、運營商給手機發送一些詐騙短信，或者為一些公司發送垃圾推廣廣告。

　　這里就涉及到2G技術的缺陷，GSM網絡只能基站鑒別手機，手機不能鑒別基站，這樣偽基站就可以給手機發短信，而且還能獲取與基站通訊的手機信息。

　　有了手機信息，就可以同時收到你的驗證碼，你需要短信驗證的時候，不僅你自己的手機受到了，探測到你手機信號，復制你手機信息的人也收到了。

　　本來，這只是個手機短信泄露的問題。但是如今手機已經和支付聯系在一起。

　　很多網銀、支付工具、申請貸款等操作，都是通過手機驗證碼來做最后認證的。

　　犯罪份子先拿你的手機號，去各個網站找你的隱私信息，你在各個網站，各個APP留下姓名、地址、電話、身份證號就被拿下。

　　然后，拿著這些信息，在網銀、支付工具里面修改你的密碼，你的錢就被轉走了。

　　二、我們如何才能保障資金安全?

　　從這種犯罪的原理看，利用的是GSM網絡的漏洞。而我們并不一定要使用GSM網絡。

　　中國的三大運營商，中國電信是不用GSM的。只有中國移動和中國聯通使用GSM。

　　而且中國移動和中國聯通也不是一直使用GSM，中國移動、中國聯通日常使用的都是4G網絡，只有在雙卡雙待手機(不能同時支持兩個4G)和4G信號不好的時候，才可能使用2G的GSM信號。

　　其中，中國移動因為在全國大面積砍3G基站，所以更危險一些，4G信號不好或者被干擾，會直接落回GSM信號。

　　4G信號和CDMA信號雖然也不是100%安全，但是破解難度要比GSM大很多。所以，斷掉GSM可以很大程度減少成為受害人的概率。

　　所以，把涉及金融支付的卡換成電信卡，或者把移動卡、聯通卡設為只用4G模式。

　　安全期間，還可以把所有網絡認證的電話專用，這個電話號碼平時禁用，僅僅在接受驗證碼時開啟，聯入網絡，避免被偽基站嗅探到。

　　三、運營商和銀行應該行動起來

　　GSM的漏洞不是新問題，而是存在了幾十年的問題，竊取個人短信意義不大，所以沒有流行開。

　　但是最近幾年，伴隨著移動支付的發展，有了銀行快捷支付，快捷支付只要銀行賬號、身份證、手機號就能開通，而很多密碼更改的認證方式就是手機驗證碼。

　　同時，很多網站和APP，要求用戶提供賬號，身份證號，手機號。

　　于是，能夠劫持手機短信，就可以登錄網站查看用戶的敏感信息，有了敏感信息，有了手機短信，就可以修改用戶的支付密碼，用戶的錢就被偷走了。

　　由于現在中國移動和中國聯通的用戶眾多，這個問題涉及到數億人，是一個非常嚴重的問題。

　　個人能夠防范的只是少數人，運營商和銀行應該行動起來，運營商應該關閉GSM短信接口，只通過3G、4G網絡發送短信。減少出問題的概率。

　　而支付類APP和銀行，應該提高修改密碼的驗證級別，絕不允許僅靠一個驗證碼就可以修改密碼，而要通過指紋識別、人臉識別才能修改密碼。

　　傳統上，密碼是認證重要一步，需要本人持身份證的到柜臺才能修改。網絡時代不用本人，也需要本人的生物識別才行。

　　僅僅靠短信驗證碼就可以操作一切的做法必須立即停止。