记者实测短信嗅探风险：短信验证码+身份证，就能挪走你手机里所有的钱！

开通VIP，畅享免费电子书等14项超值服

首页

好书

留言交流

下载APP

联系客服

2020.11.05

《IT时报》记者通过“独钓寒江雪”描述的被骗经过，试着重走“幕后黑手”攻击之路发现，整个链条风谲云诡、环环紧扣。但安全专家同样安慰大众，短信被嗅探并导致手机银行被盗发生场景的概率是极低的，手机用户无需过于担心，如果真要杜绝这种情况，只有选用CDMA技术的手机和网络，目前国内只有中国电信支持此项技术。

8月1日，网友“独钓寒江雪”在网上发帖，称其在7月30日凌晨5点多醒来后，发现手机一直在震，来自支付宝、京东、银行等网站发来的100多条验证码密密麻麻，不仅支付宝、余额宝、余额和关联银行的钱都被转走，一双看不见的黑手还在京东开通了金条、白条功能，借款1万多元。“独钓寒江雪”不明白，为什么手机在自己手里，验证码没有告诉任何人，骗子却像另一个自己一样，熟练地操作所有的账户。

“这件事比较罕见，操作者验证通过了多个校验因子，包括短信验证码、用户的多个个人信息，而且绝大多数钱都转到了用户自己的银行卡上，这和以前出现的被盗案子不太一样。”支付宝调查小组认为，保险公司第一次判定拒赔的原因，是从操作状态来看，极像本人或身边人操作，短信验证码等所有验证手段均一次性成功通过，给判断这起案例的性质带来了极大困难。现在，支付宝会先行全额补偿用户的损失，配合警方，对案件进行处理。

根据深圳警方给出的结果来看，这双黑手是通过“短信嗅探”达到了窃取验证码等敏感信息的目的。当犯罪分子在做这一切的时候，用户毫无知觉。

一位运营商内部人士告诉《IT时报》记者，“短信嗅探”涉及的关键技术缺陷是GSM通信协议采用的单向鉴权方式，鉴权弱、明文传输的弊端，很容易被劫持，目前中国移动与中国联通的短信仍然是通过2G的GSM网络制式传输，而中国电信采用的是CDMA网络，由于CDMA网络会对每一次通话、短信的过程进行鉴权，鉴权的过程相当复杂，且秘钥只在网络核心侧和基站侧之间传输，不法分子无法获取，也无法通过鉴权拦截用户的短信。

“五六年前，我的同事就曾经试过，监听短信很简单，伪基站覆盖范围内，所有受影响的2G手机短信都会被监听，但现在手机大多升级到4G，这意味着攻击者的门槛更高了，成功概率更低了。”网络安全专家李铁军告诉《IT时报》记者，虽然通过持续的信号干扰能让熟睡中的人们手机信号一直处于2G状态，但会被无线电监管部门发现。除了GSM劫持+短信嗅探，此外，其他可能性也应考虑到，比如某个App同步备份了短信内容。

但相对而言，其他网络的安全系数更高，根据通信领域的专家看来，CDMA的短信除了超短的意外，基本都走专用信道，破译难度大得多。根据警方侦破的案例中，尚未发现有中国电信用户遭受该类技术攻击的情况。

手机+验证码+身份证号便可在线转账

若要在App里动用资金，修改支付密码和开通小额免密功能，操作人需要输入信用卡的安全码、有效期、查询密码、验证码或者输入持卡人借记卡的姓名、身份证号、手机号码、验证码。因此，如果用户的信用卡卡面信息或是银行卡号账户泄露，账户即可完全被他人操作，但这个攻击场景相对难度较高。

测试发现，如果黑客通过“短信嗅探”控制了你的手机短信验证码，同时根据手机号码在此前已经掌握的各种信息“社工库”中找到你的身份证姓名和号码，那么攻击相对要容易得多，“独钓寒江雪”的情况很可能就属于这种。

仅需手机+验证码

修改京东的支付密码则需要验证6位原数字密码、短信验证码，再加一张用户名下的银行卡号。

风险根源在于信息泄露，黑产攻击会考虑性价比，根据目标价值采用相应的技术手段，对于普通网民来说，从隐私数据入手，依然是最廉价的。

“简单的密码基本没什么用，都在黑客的密码字典里。”李铁军说，密码绝大部分是加密存储，有一个秘文，通过解密算法也无法得到明文，但此前有些网站的数据库明文加密文一起泄露，而明文和密文构成一张表，这就是黑客的密码字典。

“早在几年前，信息泄露的数据量以亿计算，黑客手中掌握的社工库数据有上百亿条。除非特别复杂、个性且经常更换的密码，否则基本都在黑客的密码字典里。”李铁军告诉《IT时报》记者。

许多资金被盗、诈骗案件的背后都有地下黑库信息的推波助澜。日常生活中，用户信息泄露的渠道很多，黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头，比如订酒店提供的姓名、身份证号、手机号，如果该酒店管理不严或系统存在漏洞，用户会在一瞬间泄露三个关键信息。

中国到底有多少用户的信息被泄露很难统计，但从今年7月山东破获的一起特大侵犯公民个人信息案中可见一斑，在这起案件中，公安机关共查获公民信息数据4000GB、数百亿条，此案涉及的数据隐私性高，包含了手机号、上网基站代码等40余项信息要素，记录了每个手机用户具体的上网行为，甚至部分数据能够直接进入公民个人账号主页。

记者手记：

不要不把身份证号当回事

看到“独钓寒江雪”的经历，再与几位安全专家聊完后，记者感觉自己宛若一个“网络透明人”，一口气改掉了多个密码，删掉了早些年设置的密保问题，专家打趣道：你能意识到自己是透明的，反而更安全。

当我们习惯于把生活转移至互联网上时，那些行为轨迹在网络上难以抹去，带着个人信息的各种数据在互联网上几乎随处可见，并可轻易获得。李彦宏曾说，中国的消费者愿意为一些利益提供自己的数据，虽然此观点被网民狂喷，但事实上反思一下，你是不是也曾为了“薅点羊毛”，在某个网站上实名注册了自己的身份信息？

此外，随着手机实名制日益普及，越来越多的互联网企业将手机短信验证码作为自己的安全屏障。各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证，确实可以依赖于手机卡实名制，大大降低非法注册。

当然，安全与便捷从彼此出生的那天起，便如同坐上跷跷板，此高彼低，从目前来看，也确实很难找到比短信更加方便、快捷并可大范围应用的验证方式。然而，道高一尺魔高一丈，当黑客的技术在不断进步，攻破互联网上的一道道防线时，各家互联网公司是不是也可以将自己的防护墙摞的更高一些？事实上，有专家表示，除了短信验证码，互联网公司完全可以通过设备信息、地理信息等更多数据进行内部逻辑循环判断，这个动作并不会在前端影响用户体验，却可以更好判断“你就是你”。