“几条短信半辈子积蓄没了” 警方：普通用户基本无法防范_风闻

“几条奇怪的短信，半辈子积蓄没了”

一种新型伪基站诈骗今天突然吸引了大家的关注。

这种技术可以重新定向手机信号，同时使用GSM中间人方法劫持验证短信。

也就是说，支付宝，银行等各大APP给你发的验证短信它都能劫持。

而更可怕的是，此技术目前基本上没有办法防范。

为什么突然之间出现了那么可怕的诈骗技术？

捋一下时间线。

1日，有个豆瓣网友发长文表示，30日凌晨5点，自己突然收到了很多验证码，存的钱都被转走了，还莫名其妙地借了钱。

支付宝拒赔，京东不理的情况下，网友一直都在奔波报警，身心受创。

这位网友的经历让围观群众也非常担忧，想要弄明白到底是哪儿出了问题。

一篇科普文被翻了出来，文中表示，这是通过“GSM劫持+短信嗅探”的方法把钱盗刷或转移。

文末给出的解决方法是睡觉前关机。然而这项对策却被警方官方打脸。

担忧的网友没法放心，开始@官方想要得到正式解释。

​@江宁公安在线在下午3点多给出了回应。

其中明确指出，**GSM劫持导致验证短信泄露无法防范，晚上关机的对策也并没有太大意义，**因为有的手机可能被劫持后本身已经无法接收到短信。

因为受到硬件和原理的限制，这种诈骗方法暂时（只是暂时）不能覆盖过多的手机号，所以受害人较少。

此外，因为银行类app除了短信验证码往往还有图片验证，语音验证，人脸验证，指纹验证等等诸多二次验证机制。绝大多数中招的用户是因为同时泄露了身份证号等其他重要身份信息。所以总体犯罪成功率并不高。

【重要补充：大家也不必过于担忧，GSM协议的问题早已经被关注到，目前这方面的系统换代升级也在进行中。而验证码短信主要还是由于本身处于明文传递才导致泄露高风险。更为重要的是，目前绝大多数支付类，银行类app除了短信验证码往往还有图片验证，语音验证，人脸验证，指纹验证等等诸多二次验证机制，如果单单泄露验证码，问题是不大的。绝大多数中招的用户是因为同时泄露了身份证号等其他重要身份信息。所以总体犯罪成功率并不高。GSM劫持防不了，其他信息泄露还是可防的。】

我来详细说一下这种“几条奇怪的短信，半辈子积蓄没了”新型伪基站诈骗。

图一很多人问图2图3这种犯罪手法是真的吗？

是真的。

这种犯罪手法是近两年来出现的新型伪基站犯罪手段。多地警方已经有所发现（图三四五）。

不同于传统的伪基站只给你发诈骗短信的方法，这种新型手法的原理是基本上如图三所示，实现不接触目标手机而获得目标手机所接收到的验证短信的目的。而更危险的新技术则是重新定向手机信号，同时使用GSM中间人方法劫持验证短信，此类劫持和嗅探并不仅限于GSM手机，包括LTE，CDMA类的4G手机也会受到相应威胁。此技术在2016年后逐步被诈骗等黑色产业注意到并迅速将其用于实际操作。

一个好消息是，此类技术在具体实践中受到硬件和原理的限制，暂时（只是暂时）不能覆盖过多的手机号，所以受害人较少。而一般来说，只有短信验证码也是很难完成整个过程的，往往其他个人信息的泄露也很关键。

一个坏消息是，**此技术目前基本上没有办法防范(注意，只是GSM劫持导致验证短信泄露无法防范，并不是说该类诈骗就防不了)。**由于手机会接收到一些信息，一些媒体给出的策略是晚上关机或者开启飞行模式，而实际上这样做的意义并不大，因为有的手机可能被劫持后本身已经无法接收到短信。较为明显的被攻击特征除了接受短信外还有手机信号可能在4g和2g之间切换。而一旦你晚上关机或者开启飞行模式，也可能导致其他诈骗风险的上升或者重要事件时亲友无法联系你。所以比较稳妥的办法是关闭手机的移动信号，只使用家中或者办公室的WIFI，这样既能保持和大家的网络联系，也能略微提高被嗅探的难度。

必须要说明的是，此类新型伪基站诈骗使用的方法是钻了手机信号协议的空子，对于普通用户来说基本上是无法防范的，也给警方的侦破工作带来了很大的挑战，因为涉及到的网站APP银行极其众多。

在此，我们呼吁各大运营商和通信管理部门尽快采取有效技术手段，尽快解决此问题。一些安全机制不完善的银行和金融类app可以考虑采用其他双向验证辅助手段提高安全效率。大家遭遇此类诈骗务必立刻报警，保留好短信内容。

总而言之，还是要保护好个人信息。