半夜收到百條驗證碼，賬戶里的錢都沒了！新型盜刷太可怕！

沒被打劫、沒被盜竊、沒被詐騙

一覺醒來

身無分文是什麼體驗？

不是拍電影

不是開玩笑

這是一種新型的電信詐騙手段！

準確地說

騙子沒打電話忽悠

受害人沒主動轉賬

連詐騙都不算……

網友@獨釣寒江雪發貼稱「凌晨醒來手機一直在震，竟然收到100多條驗證碼隨後發現自己的錢都被轉走，突然間就一無所有了……」

網友@我有你的本子啊也遇到了相同情況 ：我昨天也是，收到一堆驗證碼，然後學費全被轉走，現在哭都哭不出來，一萬五千多塊錢不翼而飛。」

此貼一出

立即引起網友熱議

支付寶、360等公司以及各大公安號

紛紛做出回應

對於這起案件

支付寶復原了這段時間該支付寶賬戶的動態：

這意味著

賬號的操作者需要掌握如下信息：

1.用戶的身份證賬號

2.用戶的手機號

3.用戶的銀行卡卡號

4.手機的簡訊校驗碼

在身份證號、手機號、銀行卡號

都被用戶不小心暴露的前提下

（一定要保管好自己的私人信息！）

手機驗證碼通常是我們最後一道保險關卡

一旦被不懷好意之人竊取

後果不堪設想

那麼

驗證碼是怎麼被竊取的呢？

360官方團隊表示

竊取驗證碼有以下幾種方法：

（*號表示攻擊難度）

0.偽基站垃圾簡訊*

1.嗅探GSM簡訊**

2.GSM中間人獲取手機號碼***

3.將從3G/4G降級到2G****

4.3G/4G中間人攻擊*******

0級攻擊 – 偽基站垃圾簡訊

偽基站發垃圾簡訊這種攻擊手法大家已經熟知。不法分子直接拉著大功率的偽基站出去，大把大把地撒垃圾簡訊，總有那麼一兩個中招的。

垃圾簡訊並不可怕，可怕的是釣魚詐騙簡訊中的惡意鏈接，若用戶不慎點擊，很可能會中木馬病毒。

1級攻擊 – GSM簡訊嗅探

GSM簡訊嗅探攻擊的原理是因為GSM簡訊沒有加密，所以不法分子可以用一些竊聽手法聽到簡訊內容。這種方法是被動的，就是只「聽」，不發射任何非法的無線信號。

2級攻擊 – GSM中間人獲取手機號碼

攻擊者只聽到簡訊，其實沒什麼用，簡訊驗證碼需要配合網站或者app的驗證過程才能起作用。所以，攻擊者必須要知道目標的手機號碼，可能還需要其他信息，例如身份證號，銀行賬號等等，其他這些信息可以通過「撞庫」，或者通過侵入某些應用的賬戶來獲得。

那麼攻擊者是如何獲得手機號碼的呢？

攻擊者需要一個2G偽基站+一個2G偽終端，讓目標手機接入2G偽基站，然後用2G偽終端冒充目標手機，接入運營商網路。

2G偽終端連上網路之後，會打給一部事先準備好的指定手機，通過指定手機的來電顯示就看到了手機號碼。

3級攻擊 – 強迫從3G/4G降級到2G

通常我們的手機都處在3G/4G網路中，但是攻擊者有辦法把手機降級到2G。最簡單的一種方法是發射強幹擾信號。

這種做法是通過暴力干擾掉所有的3G/4G通道，需要很大能量的，設備就會非常大，所以黑產（詐騙犯衍生出的黑色產業鏈）用起來會不太方便。

另外一種更高級一點的辦法，是再用一個4G偽基站，欺騙手機，「4G網路不能用了啊，到我這個2G網路來吧」，於是手機就乖乖的過去了。

4級攻擊 – 3G/4G中間人攻擊

要達到4級攻擊，難度非常大。360官方團隊認為目前掌握4級攻擊能力的團隊，全球應該在個位數！

據廣州日報報道

目前的黑產實力至少進化到了2級

連賬戶和密碼都可以更改盜取

讓人不寒而慄

那我們應該怎樣預防驗證碼被竊取呢？

被不法分子盯上就沒辦法了嗎？

九支「預防針」請收好！

「預防針」

1.平時做好手機號、身份證號、銀行卡號、支付平台賬號等敏感的私人信息保護；

2.三星和ios用戶可以選擇移動網路模式為「只用4G」；

3.檢測手機有沒有開通VOLTE業務，若沒有，請及時開通。開通後，電話和簡訊將選擇走4G網路；

4.電信運營商採用CDMA制式，自帶鑒權功能。聯通、移動運營商2G狀態下採用GSM制式，所以不管是2G/3G/4G，電信的手機相對是安全的（針對GMS劫持）；

5.關閉小額免密支付。不要把簡訊當成唯一的驗證方式，加上指紋支付、郵箱、安全問題等驗證方式；

6.不要點開簡訊里的陌生鏈接，很多鏈接會靜默安裝病毒木馬；

7.睡前關機或開啟飛行模式後使用wifi，也可以關移動網路；

8.如果收到奇怪的驗證碼簡訊，立即解除所有APP關聯銀行卡，重裝軟體並修改密碼為大寫+小寫+數字+符號形式（如Aa123$00）；

9.萬一發現錢被盜刷了，火速凍結銀行卡，保留簡訊內容。

特別鳴謝：360安全團隊

歡迎關注深圳市反電信網路詐騙中心

多一個轉發

就能少一個受害者~

信息來源 | 360安全團隊、支付寶知乎答疑

運營服務 | 晶報社

轉載請註明以上信息

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！