隔空取物短信嗅探犯罪揭秘

凌晨，突然发现手机信号从4G降为2G，接收来自银行、支付宝和移动公司的各类短信验证码。随后，银行账户被转空、支付宝余额被转走、手机自动订购了一堆无用的增值业务……这并非科幻电影中的场景，而是现实世界中短信嗅探设备对手机用户实施不法侵害。

近期，全国多地发生利用短信嗅探技术窃取钱财的案件，有的涉案金额逾百万元。记者调查发现，一些不法分子通过社交网络兜售相关技术及设备。

[可怕]

一觉醒来收百条验证码支付宝银行卡存款都没了

今年8月，一位新浪微博网友向警方和相关金融机构报案：凌晨2时至5时，手机先后收到100余条来自支付宝、京东金融和银行等金融机构的短信验证码，相关账户内的余额及绑定银行卡内的余额全部“凭空蒸发”。

家住深圳的网友“独钓寒江雪”发文称，查询发现，“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能，借走一万多。”

该网友的手机截图显示，她从凌晨1点多起，陆续收到来自中国银行、京东、京东支付、环迅支付、房天下等多个号码发来的“验证码”短信，仅在3点11分就收到了4条短信，一共100余条。

事后经安全技术专家鉴定，认为这是一起较为典型的利用短信嗅探技术实施财产侵害的案例。

据中国电子技术标准化研究院技术专家何延哲介绍，短信嗅探技术是在不影响用户正常接收短信的情况下，通过植入手机木马或者设立伪基站的方式，获取用户的短信内容，这其中就包括来自银行、第三方支付平台和移动运营商的短信验证码。

一位业内人士介绍，除了盗取用户金融账户内的资金外，短信嗅探技术还可以截获移动运营商给手机用户发送的验证码，用来办理各类增值扣费业务，从而盗取手机用户的话费。

公开报道显示，近期，全国已有多地破获相关案件：7月，河南新乡公安机关破获一起利用短信嗅探技术使用他人金融账户购买虚拟物品实施销赃的案件，抓获犯罪嫌疑人10名；8月，厦门警方破获一起利用短信嗅探技术盗刷他人金融账户的案件，抓获犯罪嫌疑人1名，涉案金额十余万元；同样在8月，深圳警方打掉一个全链条盗刷银行卡团伙，抓获10名犯罪嫌疑人，查缴伪基站等电子设备6套，带破同类案件50余宗，涉案金额逾百万元。

[暗访]

社交网络售卖嗅探设备软件声称“包教包会”

这些非法设备从何而来？记者在互联网和社交软件搜索，发现大量嗅探设备交易帖和交流群。

在一个名为“嗅探吧”的百度贴吧中，不少卖家除了介绍嗅探功能，留下QQ、微信等联系方式外，还时常分享一些拦截短信成功的截图，诱导他人购买相关设备。

根据一篇交易帖的指引，记者添加了尾号为0960的QQ用户。对方称，只需要8500元即可将盗取话费的全套设备软件卖给记者，盗取支付宝账户余额的相关设备则需 2万元。为打消记者的顾虑，对方甚至还表示可以通过快递公司“货到付款”，在快递网点开机现场验证设备性能后再付款，并承诺将通过傻瓜式教程“包教包会”。

一位售卖设备的卖家告诉记者，他们有一个专门的工作室，有人负责制作硬件，有人负责软件编程。

有卖家给记者发来了大量的照片和视频录像，证明所售卖的设备真实可靠。在一段视频影像中，嗅探设备正在运行，对方还演示了如何操作软件，并成功截获了一条发自银联的短信验证码。

[支招]

加快淘汰2G网络技术金融机构加强多重验证

安全技术专家何延哲表示，在2G通道下进行的短信和通话信息使用明文传输。为成功劫持信号完成短信嗅探，不法分子有时还会干扰3G和4G信号，强制让用户“降维”到2G网络状态。

腾讯安全玄武实验室负责人于旸建议，用户可以要求运营商开通VoLTE功能（一种数据传输技术），让短信通过4G网络传输，防范无线监听窃取短信。

于旸表示，在网络安全领域存在一个“不可能三角”，即无法同时实现安全、便捷和廉价三个要素。从短信嗅探技术盗刷他人金融账户的案例来看，目前，被多数金融机构采用的基于账户登录密码和短信验证码的“双因子安全认证”虽然方便，但在该环境下有失效风险。

何延哲等业内专家建议，通信运营商应考虑加快淘汰2G网络技术，确保用户的短信和通话内容不被他人截获窃取。此外，有关专家建议，在“双因子安全认证”出现漏洞的情况下，包括银行和第三方支付平台在内的金融机构应加强安全因子的多重验证，推出更为完善可靠的校验手段。

对于个人来说，如何防范这种短信嗅探犯罪呢？安全专家指出，最简单的一招就是睡觉前关机，手机关机后就没有了信号，短信嗅探设备就无法获取到你的手机号。

[延伸阅读]

短信嗅探盗刷如此实施

据介绍，嫌疑人利用短信嗅探实现盗刷主要流程如下：

犯罪团伙基于2G移动网络下的GSM通信协议，搭配专用手机，组装成便于携带易使用的短信嗅探设备。

通过号码收集设备（伪基站）获取一定范围下的潜在的手机号码，然后在一些支付网站或移动应用的登录界面，通过“短信验证码登录”途径登录，再利用短信嗅探设备来嗅探短信。

通过第三方支付查询目标手机号码，匹配相应的用户名和实名信息，以此信息到相关政务及医疗网站社工获取目标的身份证号码，到相关网上银行社工，或通过黑产社工库等违法手段获取目标的银行卡号。所谓社工，是黑客界常用的叫法，就是通过社会工程学的手段，利用撞库或者某些漏洞来确定一个人信息的方法。

通过获取的四大件（手机号码、身份证号码、银行卡号、短信验证码），实施各类与支付或借贷等资金流转相关的注册/绑定/解绑、消费、小额贷款、信用抵扣等恶意操作，实现对目标的盗刷或信用卡诈骗犯罪。

（综合新华社、《北京青年报》等报道）

新闻推荐

清官难断家务事？家事审判有妙招！

记者张顺林通讯员彭林10月16日，鹊桥小区居民姜女士和崔先生来到雨山法院，为法官送上锦旗，感谢该院化解夫妻矛盾，让他们破镜重...