相信很多童鞋的朋友圈最近都在传播这么一则消息：多地警方陆续接报一类蹊跷案件，很多人早上起床后发现手机收到很多验证码和银行扣款短信，甚至网上银行APP登录账号和密码也已被篡改，损失惨重。

相关民警介绍，上述案件是一种最新型的诈骗手法。黑客通过“GSM劫持+短信嗅探技术”，可实时获取用户手机短信内容，进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷，实现信息窃取、资金盗刷和网络诈骗等犯罪。

今天，CFan就和大家聊一聊关于GSM短信劫持的那些事儿。

为啥隐患这么大？

无论是用户自己图方便，还是整个行业的刻意引导，如今各种APP都需要使用手机号码注册和登录，无论是微信、支付宝、银行客户端、现金贷还是微博论坛都是如此。如果你安全意识不高，这些APP都用了相同的密码……

此外，短信验证码可以帮助用户进行修改密码、修改绑定邮箱等敏感操作，某些APP甚至还支持动态短信验证码直接登陆。

因此，黑客只需拿到了你的手机号码+GSM短信劫持，一个手机号就能威胁到和其绑定的所有支付宝、银行卡和具备支付或贷款功能的APP。

反正现在小编无比怀念起可以随意用个性昵称或邮箱地址随意注册的年代了……我会告诉你我的昵称就叫“忘记密码”吗？

黑客怎么玩？

GSM短信劫持是一种比伪基站更高端的技术。简单来说，黑客会使用专业设备自动搜多附近的手机号码，拦截如运营商、银行发送的短信，劫持对象主要针对2G信号（GSM信号），窃取短信信息后通过其登录一些网站，从中碰撞机主身份信息，称之为“撞库”（即多个数据库之间碰撞），试图将机主的身份信息匹配出来，包括身份证、银行卡号、手机号、验证码等信息，继而在一些小众的便捷支付平台开通账号并绑定事主银行卡，冒充事主消费或套现，盗取事主银行卡资金。

还好，黑客往往只是随机作案。如果你已经被黑客刻意盯上，对方提前获知了你的姓名、手机号和身份证号码，通过SIM卡劫持（又称SIM卡克隆）或GSM短信劫持+找回密码认证，后果不堪设想。

最令人无奈的是，黑客们大多选择凌晨作案，在你睡得最深沉之际就完成了既定目标。当你白天醒来之后，一切就都晚了。

此外，短信验证码的安全缺陷是由GSM设计造成，且GSM网络覆盖范围广，因此修复难度大、成本高，对于普通用户来说基本上是无法防范。

一些大家关心的问题

小编在网上搜到了不少网友与GSM短信劫持方面的问答，截取一些和大家分享，里面涉及到技术方面的不一定正确，仅供参考。

问：联通现在都是4G和3G，还有危险吗？

答：攻击不需要运营商有真实2G网络，而是利用基站的机制让你的网络不管是3G还是4G都强行降级到GSM。除非你的手机自身就不允许切换到2G网络，否则都会面临GSM短信劫持的隐患。

问：CDMA手机咋降到GSM？

答：CDMA理论上向下兼容GSM，再加上上面的原因，所以同样存在威胁。

问：手机自带伪基站识别功能有用吗？

答：这次的案件原理是利用GSM通信协议漏洞，识别和屏蔽伪基站功能指望不上。

问：手机开通了VoLTE功能，通话都是4G，还害怕吗？

答：现在的GSM短信劫持原理是强制你的手机重新定向到GSM伪基站，所以如果黑客选择高成本的暴力干扰3G/4G信号而强制让信号回落到2G的方式，那VoLTE功能也救不了你。