短信验证码攻击案频发一夜收到百余短信账户被刷光

一夜收到百余短信，账户被刷光可怕！短信验证码攻击案多地频发

伪基站。

扬子晚报紫牛新闻记者调查发现，近期遭受这类短信验证码攻击的人不在少数，此前的报道对于攻击方式的解释并不全面，而提出的“睡觉时关机”等防范建议也不一定有用。专家指出，连续发生的短信验证码攻击事件，是攻击工具产业化的标志。利用手机短信验证身份已无法保证安全，需要尽快改进，选择安全性更高的方式。紫牛新闻记者宋世锋

连续发生短信验证码攻击事件，多发生在深圳龙岗

8月1日，深圳市龙岗区的网友“独钓寒江雪”发帖说，“7月30日凌晨5点被尿憋醒，发现手机一直在震，一看，接收了100多条验证码，支付宝、京东、银行什么都有。吓得一下子清醒，去看支付宝，余额宝、余额和关联银行卡的钱都被转走了。京东账户被开通了金条、白条功能，借走一万多。”

手机收到的验证码和提示短信。

深圳市龙岗区还有一位更早的受害者，他告诉紫牛新闻记者说，5月27日夜间遭到短信验证码攻击，犯罪分子通过这种方式侵入招商银行一网通客户端，把他的信用卡额度从3万元提到4万元，然后全部盗刷走。由于他的农行卡也捆绑在招行的一网通里，所以这张卡的余额也被刷走一部分。第二天早上他打开手机，才发现接收到70多条短信验证码和扣款信息。7月5日夜间，他妻子遭到同样的攻击。

深圳市龙岗区虽然可能是多发区，但这类攻击并不局限于那里。武汉的受害者倩倩(化名)告诉紫牛新闻记者说，她在7月18日凌晨遭到这种攻击，建行网银被盗刷，京东账户遭到入侵，但因为银行卡余额只有300多元，所以实际损失不太多。

维权频频遭遇推诿，受害者经历“可以写一本书”

遭到攻击之后，受害者们维权的经历相当艰难。他们不得不去派出所报案立案录口供，到银行打流水账，查询账户的异常，联系支付宝客服、京东客服、各家银行客服，等待各种专员回复。

汤先生的损失主要出现在京东的平台上，他认为京东在识别用户账户的真实性方面存在严重不足，金条借款审核过程形同虚设，他说起初和京东人员多次沟通，但每次都是推卸责任。其他受害者和支付宝等机构交涉时，也经常遇到类似情况。

一些受害者无奈之下选择在网上曝光，而且网友“独钓寒江雪”的经历经媒体披露后，京东和支付宝等第三方支付平台的态度开始变得积极。

一两百元搞定攻击设备，手机短信安全性堪忧

这种短信验证码攻击事件曝光后，有人称这是“GSM劫持+短信嗅探”攻击，犯罪分子建立伪基站，获取周围的手机号码，再利用短信嗅探设备来嗅探短信。不过信息安全界资深人士说，并不能确定具体的攻击类型，目前有多种方法可以达到获取短信验证码的目的。

中国海天集团有限公司创始人兼CEO邹晓东(Seeker)在网络安全界享有盛誉，被称为“黑客炼金术士”，他在2016年就曝光了利用伪基站攻击短信验证码的漏洞。邹晓东告诉紫牛新闻记者，笼统说有4种攻击短信验证码的方法，其中两种不需要伪基站。更可怕的是，在4种方法里，有3种可以把短信拦截下来，不让受害者的手机接收到。如果看不到手机上出现莫名其妙的验证码和消费提示，受害者可能根本不知道账户遭到攻击。

邹晓东说，看起来最近这些受害者遇到的是最低级的一种攻击方法，而且全部攻击设备最低只用100~200元就能搞定。因为比较低级，难度不大，容易被黑色产业者掌握，产生较大社会影响。

早在2011年，手机通讯的GSM网络就已经遭到破解。GSM网络除了可以通话，还能传送短信。虽然现在手机通讯普遍升级到安全性更高的4G网络，但GSM网络还在同时发挥作用。

犯罪分子利用干扰器等设备把周围的手机驱赶到GSM网络，然后就可以侦听受害者的短信验证码。另外，现在个人信息泄露非常严重，个人用户的手机号、身份证号码、银行卡号、家庭和工作地址等等信息，几乎都能以非常低的价格买到，如果掌握了用户的手机号和短信验证码，对于攻击者来说，这样的用户基本上就等于透明的。

银行和第三方支付平台在验证用户身份时，如果只通过短信，对此类攻击者来说，就毫无安全性可言。有人建议用户晚上关掉手机，以此防范短信验证码攻击。对此邹晓东说，“关机或者飞行模式有用，但是别忘了开机时仍然会被攻击，而且有多种办法让受害者手机收不到或者不提示短信。”

专家说法

存在漏洞不及时改进商家应承担主要责任

邹晓东说：“从黑客角度看，没有谁家系统是百分百安全的，各家服务在设计的时候也不可能追求百分百安全，都为了易用性做了一定的折衷。用户和商家过去都享受了易用性带来的好处，只要安全风险控制在一定范围内，就不会去较真。当黑产的攻击威胁加大时，商家就应该及时响应，增加安全措施。同时，易用性过去给商家带来的好处多于给个体用户的好处，所以从道义上，就深圳这个事件，商家应该承担多数损失。”

知名法律博主“逻格斯logics”告诉紫牛新闻记者，“目前我国在银行卡盗刷案件中的裁判思路是比较明确的，就是倾斜保护储户的利益，严格要求银行尽到安全保障义务。”

他说上海有个案件被最高院选入保障民生典型案例，法官是这么认为的：银行更有条件防范犯罪分子利用银行实施的犯罪，故银行应当制定完善的业务规范，并严格遵守规范，尽可能避免风险，确保储户的存款安全。

“逻格斯logics”认为，对于短信验证漏洞导致的用户损失，法院可能会认定银行提供的手机网银服务未能抗拒类似的技术手段，属于未尽法律规定的“安全保障义务”，要求银行承担赔偿责任。

攻击工具或已产业化

该向短信验证码说“再见”

邹晓东告诉紫牛新闻记者，短信验证码确实比较脆弱，漏洞一直存在，解决方案也有，只是因为使用起来方便，才勉强作为一种身份认证方式。邹晓东认为，安全的系统都应该至少采用“双因子认证”，就是指结合密码以及实物这两种条件对用户进行认证的方法，两者都通过，才算通过身份认证。

事实上，对于“双因子认证”，央行早就提出了要求。2016年6月13日，中国人民银行就发出《关于进一步加强银行卡风险管理的通知》，要求各商业银行、支付机构、卡清算机构加强对支付敏感信息的内控管理和安全防护工作。

邹晓东指出：“如果连续发生多起短信验证码攻击事件，就是攻击工具可能产业化的标志。这种情况下，就更不能只依赖于短信验证码。”手机短信曾经有过辉煌的时候，2012年全国手机短信发送量达到惊人的8973.1亿条。随着通讯方式的变化，手机短信近年来迅速衰落，而接收验证码几乎成为它的一个主要功能。不过面对黑产的攻击，也许应该向手机验证码说再见了。