犯罪分子常選擇深夜用特殊設備嗅探用戶短信 “睡覺前關機”是最簡單應對方法

　　“一覺醒來，手機里多了上百條驗證碼，而賬戶被刷光還背上了貸款”——近期犯罪分子利用“GSM劫持+短信嗅探”的方式盜刷網(wǎng)友賬戶的事件成為網(wǎng)絡熱點。那么，該如何防范這種短信嗅探犯罪呢？安全專家指出，最簡單的一招就是睡覺前關機，手機關機后就沒有了信號，短信嗅探設備就無法獲取到你的手機號。

　　在主流App中，許多賬戶登錄及資金操作都可以通過手機號碼加短信驗證碼的方式實現(xiàn)，對于用戶來說，這種操作為自己帶來方便，無需記憶復雜的密碼；但對于別有用心的犯罪分子來說，他們可以利用簡單的設備獲取用戶的驗證碼，從而操控用戶賬戶，提現(xiàn)、消費，甚至貸款。一位深圳網(wǎng)友日前就經(jīng)歷了這樣的騙局，一覺醒來，手機上發(fā)現(xiàn)了上百條驗證碼，銀行卡、支付寶、京東等賬戶中的資金不翼而飛，甚至還背上了網(wǎng)絡貸款。

　　專家表示，這是犯罪分子利用“GSM劫持+短信嗅探”的方式，把銀行卡或其他賬戶里的錢盜刷或者轉移了。為此，消費者需要注意防范，尤其是在2G網(wǎng)絡情況下，警惕遇到犯罪分子實施的強制“降頻”等方式攻擊，要及時更換網(wǎng)絡環(huán)境，重新連接真實基站，檢查移動App異常惡意操作情況。

　　事件

　　一覺醒來收百條驗證碼存款全無

　　本月初，家住深圳的網(wǎng)友“獨釣寒江雪”發(fā)文稱，自己當天起床發(fā)現(xiàn)手機接受了100多條驗證碼，包括支付寶、京東、銀行卡等，查詢發(fā)現(xiàn)，“支付寶、余額寶、余額和關聯(lián)銀行卡的錢都被轉走了。京東開了金條、白條功能，借走一萬多。”

　　她的手機截圖顯示，她從凌晨1點多起，陸續(xù)收到來自中國銀行、京東、京東支付、環(huán)迅支付、房天下等多個號碼發(fā)來的“驗證碼”短信，僅在3點11分就收到了4條短信，一共100余條。

　　如京東金融自2點34分起，陸續(xù)發(fā)送了“（借款成功）您成功申請金條借款10000.00元，將于30分鐘內到尾號0152的銀行卡”“恭喜您開通白條，額度為5000元”等多條短信，京東支付的短信顯示：“驗證碼：362661，您現(xiàn)在正在進行支付，短信驗證碼請注意保密……”環(huán)迅支付顯示：“驗證碼219860，你正在使用快捷支付，校驗碼很重要，不要告訴任何人哦！”10086123的短信顯示：“您的短信驗證碼為351525，請本人及時輸入，切勿向他人透露。”

　　另外，她還查詢到自己的多個賬戶中的錢已被交易，對方用自己的支付寶綁定的工商銀行卡購買了1000元的Q幣，還預定了南京一家高檔酒店的套房，用京東卡充值了2000元的中國石化加油卡等。

　　分析

　　犯罪分子利用短信嗅探專挑熟睡時段作案

　　那么為何會出現(xiàn)“睡一覺把存款睡沒”的情況？騰訊安全的技術人員表示，“這些人都是被犯罪分子用‘GSM劫持+短信嗅探’的方式，把銀行卡或其他賬戶里的錢盜刷或者轉移了。”

　　據(jù)技術人員介紹，短信嗅探通常由號碼收集設備（偽基站）和短信嗅探設備組成。其犯罪具體分為以下四步：第一步，犯罪團伙基于2G移動網(wǎng)絡下的GSM通信協(xié)議，在開源項目OsmocomBB的基礎上進行修改優(yōu)化，搭配專用手機，組裝成便于攜帶易使用的短信嗅探設備。

　　第二步，通過號碼收集設備（偽基站）獲取一定范圍下的潛在的手機號碼，然后在一些支付網(wǎng)站或移動應用的登錄界面，通過“短信驗證碼登錄”途徑登錄，再利用短信嗅探設備來嗅探短信。

　　第三步，通過第三方支付查詢目標手機號碼，匹配相應的用戶名和實名信息，以此信息到相關政務及醫(yī)療網(wǎng)站社工獲取目標的身份證號碼，到相關網(wǎng)上銀行社工，或通過黑產(chǎn)社工庫等違法手段獲取目標的銀行卡號。由此掌握目標的四大件：手機號碼、身份證號碼、銀行卡號、短信驗證碼。所謂社工，是黑客界常用的叫法，就是通過社會工程學的手段，利用撞庫或者某些漏洞來確定一個人信息的方法。

　　第四步，通過獲取的四大件，實施各類與支付或借貸等資金流轉相關的注冊/綁定/解綁、消費、小額貸款、信用抵扣等惡意操作，實現(xiàn)對目標的盜刷或信用卡詐騙犯罪。因為，一般短信嗅探技術只是同時獲取短信，并不能攔截短信，所以不法分子通常會選擇在深夜作案，因為這時，受害者熟睡，不會注意到異常短信。

　　追訪

　　短信嗅探設備被藏在外賣箱內作案

　　據(jù)騰訊安全的技術人員介紹，嫌疑人的設備包括兩種，一種是收集設備，一種是嗅探設備。收集設備由一個偽基站、三個運營商撥號設備以及一個手機組成。這臺設備啟動后，附近2G網(wǎng)絡下的手機就會被輪流“吸附”到這臺設備上。此時，與設備相連的那臺手機（中間人手機）就可以臨時頂替被“吸附”的手機。也就是說，在運營商基站看來，此時攻擊手機就是受害者的手機。嫌疑人的短信嗅探設備則由一部電腦、一部最老款的諾基亞手機和一臺嗅探信道機組成。利用該劫持設備，犯罪分子可以看到這個基站區(qū)域內所有用戶收到的短信，并且用戶毫無知覺。上述的設備體積都不大，也為其實施作案提供了方便。

　　據(jù)報道，該案件發(fā)生后，深圳龍崗警方對該案高度重視，抽調精兵強將此類新型案件進行串并研判，在一周內抓獲了數(shù)名犯罪嫌疑人，并繳獲了作案設備。網(wǎng)友獨釣寒江雪也表示，最后，支付寶和京東的賠付到賬，貸款還清。

　　值得注意的是，一名嫌疑人所用的車載嗅探攻擊設備等被裝在一個外賣保溫箱中，也就是說，從外觀來看，這是一臺外賣箱，實際上，這是一個裝有偽基站等設備的操作站。