如今，

我們的手機裏充斥着個人隱私，

如果有人通過某些技術

獲取你手機裏的私密信息，

是不是很可怕？

30秒收29條驗證碼短信

“準空姐”小程曾經在不到30秒的時間裏，收到29條來自不同App的驗證碼短信。

與小程類似，去年7月30日，微博網友@-美年達芬奇發現，凌晨她的手機收到100多條驗證碼，包括支付寶、京東、銀行App等。據介紹，有人使用她的京東賬戶、支付寶等預訂房間、給加油卡充值，總計盜刷了1萬多元。

當時，多位業內人士懷疑並提及了一項名為“GSM劫持+短信嗅探”的技術。某黑產從業者表示：

通過一種短信嗅探設備，可以直接嗅探到電信用戶所有的手機短信。黑產從業者有專門的手機號採集裝備，利用採集到的手機號，可以在點卡網等實行找回密碼等操作，實現盜刷。但是，這種設備只能攻擊2G網絡條件下的手機。配合降頻設備，也可以強制讓覆蓋範圍內手機網絡狀態變為2G，從而實現降頻攻擊。

一名黑產設備賣家的QQ空間

值得注意的是，這項黑產技術生命力頗為頑強，雖被多地警方所關注並打擊，但仍在重拳整治下生存至今。

QQ羣內的交易信息

售價1000元的嗅探技術其實只要30元？

記者調查發現，短信嗅探設備易得、操作簡便，實際上為黑產從業者設立了相當低的門檻。一位業內人士告訴記者：

只需要一部摩托羅拉C118手機就可以實現短信嗅探，在網上可以很容易地買到。

記者調查後發現，硬件上，只需要購買一個不到30元錢的摩托羅拉手機，用幾個常用電子元件改裝便可；而軟件上，將修改過的OsmocomBB編譯進摩托羅拉手機裡面，就可以為手機添加嗅探功能。

一位安全圈人士發送給記者的配置好的摩托羅拉手機

只針對2G信號？從4G降為2G也要小心

去年9月17日，2018國家網絡安全宣傳周——網絡安全博覽會開幕，有展館展出了多種網絡黑灰產作案工具，其中便包括能夠悄無聲息偷走手機短信的“2G短信嗅探設備”。

知道創宇404實驗室副總監隋剛告訴記者：

但其實，手機在3G或4G時的特定情景下也有可能被監控到，原因是通過特殊設備壓制或者信號質量不佳導致信號降頻。

短信驗證碼安全嗎？

有關人士表示，現在手機驗證碼能做到的轉賬、實名等已經遠遠超出了它本身安全性的範圍。

據《2018網絡黑灰產治理研究報告》估算，2017年我國網絡安全產業規模為450多億元，而黑灰產已達近千億元規模；全年因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。而且電信詐騙案每年以20%至30%的速度在增長。

另據阿里安全歸零實驗室統計，2017年4月至12月共監測到電信詐騙數十萬起，案發資金損失過億元，涉及受害人員數萬人，電信詐騙案件居高不下，規模化不斷升級。2018年，活躍的專業技術黑灰產平臺多達數百個。

那麼，面對規模如此龐大的黑灰產，短信驗證碼是否已經顯得捉襟見肘了呢？對此，隋剛認為，雖然在嗅探的情景下，短信驗證碼並不安全，但是就目前來說，短信驗證碼仍是一個切實可行的方案。

就目前情況來看，如果將短信驗證碼換成其他的驗證方式，無形之中肯定會加大使用成本。安全是相對的，就看願意付出多大的代價。與便捷性相平衡，短信驗證碼相對合適。安全本身就是提升攻防雙方的成本，並沒有絕對的安全。

如何防範短信嗅探？

有專家建議，用戶可以要求運營商開通VoLTE功能，從而防範短信被劫持的可能。也就是說，不再使用2G網絡傳輸短信，而是讓短信通過4G網絡傳輸，從而防範無線監控竊取短信。也有專家認為，運營商應盡快替換掉2G網絡。通信運營商應考慮加快淘汰2G網絡技術，以更大程度確保信息安全。據介紹，在國際上，2G網絡已被諸多運營商所拋棄。

專家也建議，各移動應用、網站服務提供商優化用戶身份驗證措施，選用一種或採用多種方式組合，加強安全性：如短信上行驗證（提供由用戶主動發送短信用以驗證身份的功能）、語音通話傳輸驗證碼、常用設備綁定、生物特徵識別、動態選擇身份驗證方式等。

編審：劉志軍、李 銳

圖片來源於網絡，一併向作者表示感謝。