8月14日，深圳龙岗警方宣布打掉一个新型盗刷银行卡犯罪团伙，抓获10名嫌疑人，查缴伪基站等电子设备6套，带破同类案件50余宗，涉案金额逾百万元。据专家分析，嫌疑人通过“GSM劫持+短信嗅探”技术截获受害人短信验证码，从而完成盗刷等操作。截至目前，这是全国该类案件中打掉涉案人数最多、金额最大的一起。

“基于短信验证码实现身份验证的安全风险显著增加。”全国信息安全标准化技术委员会在《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》中指出。

网友遇怪事

梦中收短信 网银被盗刷

7月30日凌晨5点，从梦中醒来的网友“独钓寒江雪”发现了一件怪事：“手机一直在震，一看，接收了100多条验证码，支付宝、京东、银行什么都有。吓得一下子清醒，去看支付宝，余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能，借走1万多元。”

人在睡梦中，手机在身边。是谁远程偷看了短信验证码，还利用短信验证码完成了转账购物借贷等操作？据了解，这是不法分子通过“GSM劫持+短信嗅探”技术，实时获取用户手机短信内容，窃取用户信息，盗刷用户账户。

“不法分子先使用伪基站获取用户手机号，再通过网上泄露的数据库，根据手机号码反查用户的姓名、身份证号、银行账号等信息。然后在某些网站启动注册或交易，并利用和用户位置相近的特点窃取用户短信验证码。”北京大学信息科学技术学院副教授陈江说。

有业内人士形容，嗅探硬件“小的跟手机差不多，大得像行李箱，最低成本只用花一顿必胜客的钱”。腾讯守护者计划安全专家周正介绍，目前绝大多数移动互联网服务都采用以手机号和短信验证为基础的识别策略，但国内GSM的语音和短信业务鉴权和加密性偏弱。犯罪分子使用定制化、成本低、易携带的嗅探系统，获取受害人的手机号和短信验证码，进而实施犯罪。

此前已有多地出现“GSM劫持+短信嗅探”盗刷案件。2017年底至2018年8月，腾讯守护者计划安全团队协助北京、福建、广东等地警方打击此类犯罪团伙5个，抓获犯罪嫌疑人25人。

短信漏洞多

身份可伪装 内容易泄露

注册新账号，需要短信验证码；忘记密码又想登录网站，需要短信验证码；在网上转账提现，需要短信验证码……当前，使用短信验证码验证用户身份的技术，被广泛应用于各类移动应用和网站服务。

陈江说：“短信验证码虽然方便高效、容易普及使用，但存在‘是否用户本人使用本人手机完成验证操作’这样的漏洞，给不法分子伪装受害者提供了机会。”

“短信验证码是账号安全的核心，承担着实名认证的任务，是保证资金安全的一把密匙，但目前的关注程度还不高。”中国政法大学传播法研究中心副主任朱巍说。

通过短信验证码登录账号后，不法分子可以获取用户的快递地址、消费记录、通讯录等隐私信息，还可以通过“撞库”“社工”等方式，“集齐”用户的姓名、身份证、银行卡号，实施资金盗刷、电信诈骗、敲诈勒索等活动。

除了被“偷窥”，泄露短信验证码的途径还有很多。有的用户点击了非法链接，手机被安装监听木马；有的不法分子伪装银行客服，直接索取验证码内容；还有运营商内鬼主动泄露，里外勾结。此外，短信云同步、自动填写验证码等功能的初衷虽是方便用户，却也可能被不法分子利用。