深度

“太可怕了，简直防不胜防，一觉醒来支付宝和网银就被‘清空’了。”一大早，小编被校友群的各种“惊恐”笼罩。

近日，多地警方接报，有市民早上醒来发现手机多出一堆验证码短信，同时，支付宝和网银里的钱已不翼而飞。

比如，豆瓣ID“独钓寒江雪”的网友8月1日凌晨发布：“30号凌晨5点被尿憋醒，发现手机一直在震，一看，接收了100多条验证码，支付宝、京东、银行什么都有。吓得一下子清醒，去看支付宝，余额宝和关联银行卡的钱都被转走了。在京东也开了金条、白条功能，借了1万多。”

新式伪基站诈骗

记者了解到，这是一种新型的伪基站诈骗手段——“GSM劫持+短信嗅探技术”，通过GSM2G网络缺陷，在不接触手机的情况下，通过伪基站和短信嗅探设备获取到目标手机的短信验证码，利用银行、网站、移动支付APP的技术漏洞，进行短信验证码登陆来盗刷信用卡、转账等。

这种新型诈骗术通常分三步：

第一步，通过伪基站获取到一定范围内（一般是周边几百米内）的手机号码；

第二步，在支付APP或网站，选择通过“短信验证码登陆”，然后通过短信嗅探设备来嗅探到验证码短信；

第三步，通过第三方支付、网上银行等，碰撞查询到目标手机号码对应的身份证号码、银行卡号等；

第四步，通过验证码登陆、修改账户信息，进行账户的支付、借贷等资金流转操作，如绑定、申请贷款、白条等，实施盗刷、信用卡诈骗等犯罪行为。

而且呀，由于一般嗅探设备只能嗅探但不能拦截短信，犯罪分子通常会选择在夜深人静、伸手不见五指的深夜作案。这个时候呢，受害者多数在酣然大睡，不会注意到短信异常。

支付宝调查小组根据相关操作记录，复原了遭遇攻击的网友的支付宝账户状态：

重点来了，这一事件之所以比较罕见，是因为操作者验证通过了多个校验因子（包括短信验证码、用户的多项个人信息，都是一次校验成功），且除一笔消费外，其他多笔款项均被提现至用户自己名下的银行卡。

这和以前出现的被盗案件不太一样，太像是用户本人或身边人的操作了，因此保险公司初次判定拒赔。 

多家支付平台发声：全额补偿

这下怎么办？多家支付平台发声，将“全额补偿损失”。

支付宝表示，会全额补偿用户损失（参见下图）。支付宝数据显示，目前的交易资损率不到百万分之一。
 

京东金融也表示，已设立专门的盗刷案件处理通道，并会对被确认盗刷的用户账户进行先行垫付，免除用户的还款责任。

移动支付还安全吗？

用户最关心的是，今后，移动支付还安全吗？如果密码和短信验证码都泄露了怎么办？

对此，支付宝表示，除短信验证码外，目前平台已增加多因子验证，如人脸验证。上述案例中，操作者先是利用短信验证码进行了一笔900多元的消费，但在尝试第二笔时，风控系统要求人脸校验，操作者校验失败。

 同样的，京东金融在开通激活白条或金条时，也需要完成实名认证、补充完善用户信息并签约授权服务协议，最后通过风险综合策略的审批，才可开通成功。在实名认证环节，会根据用户账户信用和风险等级动态选择通过银行卡信息、身份证信息、人脸识别、短信验证码等多维度交叉校验。

 类似的交叉认证也在很多银行类APP中得到应用：

江宁警方指出，更危险的犯罪手段则是重新定向手机信号，同时使用GSM“中间人”劫持验证短信，此类劫持和嗅探并不仅限于GSM手机，包括LTE，CDMA类的4G手机也会受到相应威胁。

移动支付在带来便利的同时，必须基于安全这一根本原则。综合蚂蚁金服、腾讯“守护者计划”等专业黑产战斗军团的防范措施，以及警方意见，小编建议大家：
 

（图片来源：腾讯“守护者计划”）

但这也不是万能，江宁警方就表示，有的手机可能被劫持后本身已无法接收到短信，较为明显的被攻击特征除了接收短信外还有手机信号可能在4G和2G间切换。而一旦你晚上关机或者开启飞行模式，也可能导致其他诈骗风险的上升或者重要事件时亲友无法联系你。

江宁警方建议，比较稳妥的办法是关闭手机的移动信号，只使用家中或办公室的WIFI，这样既能保持和大家的网络联系，也能略微提高被嗅探的难度。

还有就是坚持智能手机使用的基本原则，以下四点怎样强调都不为过：

1.  不给手机“越狱”、不乱装软件，谨防病毒软件

2.  不使用网吧或免费WIFI等公用网络上网（如果连接了黑客或不法分子架设的WIFI，那么你通过这个WIFI传输的所有互联网数据都可能被监听或窃取，如果数据没有被很好地加密，就可能被读取。） 

3.  不点击不明链接、二维码、图片，不安装不明文件，谨防手机木马（如果你点击不明链接后手机失去信号，收不到任何短信了，有可能是手机中了木马。此时请立即恢复手机出厂设置，避免手机木马盗取你的资料、账户等个人资产。）

4.  手机丢失或遭遇此类诈骗后，应立即报警，并保留好短信内容等证据。同时及时联系运营商和支付服务商进行挂失或账户冻结。

在培养用户安全使用习惯的同时，平台方与警方也共同呼吁：想要阻止短信嗅探犯罪，还需要各大运营商、通信管理部门以及企业的共同努力。移动应用和网站服务提供商需优化身份验证措施。如短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别等。