一般我不亂噴

最近有一個熱點事件挺可怕的，據網友爆料稱，手機在半夜收到了很多APP的驗證碼，自己手機裡涉及錢的APP賬號都被盜了，不但被盜，還把裡面的資金全部轉走了，把所有能借的款都借了一遍，不但錢沒了，還負債累累。簡稱：睡醒手機收到一百多條驗證碼，百萬身家一夜負債。

來來，先劃個重點，驗證碼。現在無論是進行大額交易，還是註冊賬號，登陸軟件都需要你的驗證碼。

以前的“驗證碼”可能是一個叫U盾，密鑰的東西，也有光盤形態的驗證碼，在你要用的時候放到電腦裡。平常只需要保管好它的安全就好了，除非它丟了，被盜刷的情況基本不存在。

但是對於大多數人來說，這小東西要是隨身帶吧，容易弄丟。放在安全的地方吧，怕用的時候，不方便拿。這就很矛盾了，就這樣矛盾到了智能手機的普及，短信驗證碼的方式得以普及。各家都用上了短信驗證碼，上到支付寶，下到貼吧都用上了短信驗證碼作為驗證方式。更加方便，人性化，不像以前的密保問題，又臭又長還難記。

短信驗證碼正是因為方便，才漏洞百出，暫時還不知道歹徒是通過哪種方式獲取受害者的短信。但我這裡整理了幾條可能是攻擊方式，和防範方式，可以作為參考瞭解一下。

破解雲備份

大家一定用過手機的雲備份吧，每次換同品牌的手機，資料通過雲端同步過來，又快又方便。每次用新手機，都不用擔心資料的問題，而且雲端還可以多設備同步，不但可以在你的手機上查看，電腦，平板都可以看。

很方便吧？那要是你的雲端被攻破了，你的資料就徹底的暴露，那個時候你還覺得這很方便嗎？有可能那個犯罪分子通過雲端同步新的短信來查看你手機裡的短信內容，從而拿到他想要的東西。

防範這個怎麼防？手機的雲服務安全保障主要還是要看手機廠商自己的維護，作為消費者如果真的介意這一塊。可以適當關閉部分安全內容備份：短信，通話記錄等，可以考慮關閉了同步，這樣就沒什麼可以擔心的。不過大多數時候短信備份也沒什麼用，默認關閉也是可以考慮的。

破解手機

電腦會被黑，手機也會被黑。

而大多數手機慘遭毒手的案例，大多數都是按照了病毒APP，囂張點的直接佔領你的手機，低調一點的後臺偷偷向服務器發送你的手機信息。但後果都是對你的資料和錢下手，所以手機裡才會有一個未知來源安裝提醒，這句話就是在側面告訴你，這東西沒經過官方認可，不安全出事了別怪我！

恰恰這一類是最好規避的，不要看不良網站，安裝應用只安裝手機自帶應用市場的。如果有外部應用提示安裝一定要點擊不同意。

當然這一類攻擊還有高級版的，比如發一個釣魚鏈接讓你點開，或者高仿一些官網讓你填寫信息。但是總結下來就是：來歷不明的東西，碰都別碰！

一旦破解了你的手機，不但手機資料淪陷了，你這手機還有可能被遠程操控，甚至遭到資料鎖威脅，到時候手機短信驗證碼什麼的，還不是手到擒來。

GSM攻擊

大多數手機的短信都是通過GSM通道收發，十分的不安全，要知道這個GSM是十幾年前的玩意，而且GSM被早就已經被破解了。早些年可能破解成本還比較高，但是科技越來越發達，現在想要破解GSM，做一個專門的設備成本已經不足千元。而且相關技術不斷髮展，到了今天破解難度還大嗎？

一旦你被探聽盯上，那你只能自求多福了，關機？沒用，你關機最多就是接受不到相關短信，你接受不到，不代表人家不發呀，發過來一樣被探聽到。這個時候只能從根源上解決問題，不讓自己的短信走GSM通道，嘗試使用更好更安全的LTE。

簡單點說就是開通VoLTE，不但能獲得更好的安全性和性能表現，還能讓你在通話的時候也能上網。

但是……

我又說但是了，但是這需要在VoLTE覆蓋的特別好的地方，結合現在4G都沒有覆蓋完全的情況下，想要嘗試VoLTE還是有點難的。

除非遭遇惡意攻擊，其實通過前期個人使用習慣的約束，這種情況還是能避免的。所以還是要保持一個良好的使用習慣，特別是來歷不明的網站不要看！

找靚機

作為專業通信研發工程師來回答你這個問題吧，首先說說“GSM劫持+短信嗅探”以及偽基站是怎麼回事兒，再來分析麒麟芯片有沒有用。

現在雖然大家都用4G的LTE網絡了但是還有大量的2G的GSM網絡存在，現在的GSM網絡主要是中國移動的用戶，中國電信沒有GSM網絡，中國聯通在清退GSM網絡，中國移動先清退的是3G 的TD網絡而不是2G的GSM網絡。GSM網絡有一個很大的缺陷就是有很多的偽基站存在，在說偽基站之前先說我們相互之間通信的過程。

我們打電話/發短信的過程是，手機信號是連接到離你最近的基站（BTS）然後進入RNC，MSC進行核心網的交換，再發給離對方最近的基站最後傳到對方的手機中。

如果這個時候你的手機接入的不是運營商的基站，那就危險了，這就相當於你進了“賊窩”了，這個不是運營商的基站就是偽基站。為什麼我們的手機會進入假的基站呢？這是因為GSM網絡的鑑權存在缺陷。在GSM網絡中手機接入網絡要鑑權驗證，簡單說就是運營商驗證你的手機是否是合法用戶，如果是就可以通信了，但是手機不會驗證接入的基站是不是運營商的正規基站，這樣即便接入了偽基站用戶也是不知道的，在3G、4G的網絡中會有這樣的鑑權驗證，比GSM網絡安全的多。

用戶的手機接入了假基站，人家就可以有很多種辦法來利用你這個手機了，包括收到偽基站發的詐騙短信，截取你的短信驗證碼等，這樣你就危險了，這個騙術很早就有，只是原來成本高，沒什麼做。

到了這裡你就知道了，其實是GSM網絡的問題，這點是任何手機廠家都無法改變的，包括華為。華為的麒麟處理器防偽基站只是在芯片層面做了過濾，比如通過協議附帶信息驗證基站的編碼等，好在2G基站已經停止增加了，所以在一定程度上做到了識別偽基站，但是在某些情況下還是有問題的，你不可能知道所有的基站信息，並不是所有的基站都是華為的。

總結就是“GSM劫持+短信嗅探”利用的是GSM的鑑權缺陷，這點運營商和手機廠商都無法從根本上解決，早點清退GSM網絡才是根本。華為的麒麟芯片通過一些協議附帶信息可以屏蔽很多的偽基站，但是絕對的屏蔽偽基站也很難做到，安全性比其它手機要高一些。

萌哈科技

本行業問題，我來回答。

其實這個"GSM劫持+短信嗅探"的最新騙術，說穿了就是一個個人隱私洩露以及短信驗證碼明文發送以及偽基站這三者結合起來的一種騙術。華為的防偽基站功能可以避免這種騙術的發生。

首先，被騙的人的個人隱私肯定是通過什麼途徑被得到了，至少他在銀行的銀行卡卡號、姓名、身份證號碼、預留的手機號這些基本或者是完全被不法分子得到了。

具體怎麼洩露的就不好說了，但是這些東西要是沒有被洩露的話，這個騙術基本是無法實現的，完全撞庫的難度和時間需要基本是不可能完成的任務，沒有任何電腦可以實現這個過程，尤其是還在短短的幾個小時內。

不法分子首先干擾區域信號，誘導用戶手機向2G切換。這裡就是目前全網通的手機必須支持LTE和GSM這2種制式，在4G收到干擾時，手機必須通過CSFB(電路域回落)向2/3G下切，誘導手機向2G(GSM下切)。

手機的芯片只要支持GSM,核心網支持CSFB,就會有這種下切進行，這個技術上很難避免，除非關閉CSFB功能，這樣一來，在沒有4G信號的區域，手機也就無法使用了。

這時不法分子使用你的賬號，發送修改密碼的請求，網站返回請求的短信息被偽基站截獲。這裡也可能是手機的自動雲端同步，被偽基站截獲。

這裡本人更傾向這個截獲過程是在手機上傳短信記錄這裡被截獲的，因為截獲基站空口的信令的難度要比使用偽基站後手機直接向偽基站發送短信同步被截獲的難度要大很多。

由於華為的麒麟芯片底層自帶防偽基站功能，手機不向偽基站註冊，所以這部分的安全就可以保障了，也就是說，不法分子無法讓手機註冊到偽基站，也就無法遠程獲取手機的短信。