手机里的钱是如何被转走的，没想到的是这么回事。

然而你有没有想过，短信验证码真的安全么？

笔者的这个疑问是来自豆瓣网友“独钓寒江雪”于8月1日发表的文章《新盗刷手法！手机里的钱一夜被转走，到底发生了什么？》，该网友称：她在7月30日凌晨5点多时迷迷糊糊发现手机一直在震。起身一看内容，吓出了一身的冷汗。手机上显示支付宝，余额宝以及绑定了手机银行的银行卡里的钱都被以消费的形式盗刷，总计18000多元。同时还被莫名的开通了京东金条，白条等功能，借走了一万多元。

这事听起来不寒而栗的同时也让人觉得十分诧异，为啥好端端手机就在身边。犯罪分子还能盗刷到我们的银行卡呢？这个事情在网上发酵了多日，目前看来最有可能的是犯罪分子利用了“GSM嗅探”的手段。

什么是“GSM嗅探”？

笔者并不是通讯专业出身，但作为一个稍有手机知识的爱好者。理解其“GSM嗅探”并不困难：

实际上不管是早年的2G/3G网络 还是目前的4G以及正在建设中的5G网络。手机间的通讯依赖的是运营商的网络基站。以通常通话为例，当我们拿出手机拨号以后，手机就会向当前所处的基站发出通话请求，基站会根据手机发出的请求将两个手机进行连接，这时我们就可以通话了。短信也是一样的道理只不过是不同的连接方式而已。

这里值得注意的是基站和手机是以无线电波的方式进行连接的。也就是说，在你所在的基站范围内所有的设备都能接受到你的手机验证码的短信。能保护你的短信的私密性的手段只有通过加密保护。“GSM嗅探”就是通过在同一基站下接收你的短信，并破解加密以后获取你的短信验证码。

基于2G的GSM的短信和通话是十几年前的技术，在技术更迭迅速的今天已经显得落伍。笔者看到基于2G技术的GSM协议实现方案osmocomBB，在2012年的时候已经完全开源了。在2013年已经出现了比较完整的“GSM嗅探”整套的中文教程在网络上出现。一套用户“GSM嗅探”的设备在淘宝和京东上都能买到，除了一台编辑所需的笔记本电脑，其余设备中成本合计不过50元。

我们应当如何预防“GSM嗅探”给我们带来的财产损失？

一.GSM应该尽早退网。淘汰落后的已经被开源的2G通讯技术。是解决“GSM嗅探”的最根本方法。不过这个做起来似乎远没有说起来容易。全国范围内还存在大量的2G基站，运营商要逐个淘汰升级并非易事。而对于用户来说如果用一部彻底淘汰了2G网络的手机。就会面临在很多地方没有手机信号的窘境。

当然对于联通和移动用户而言，也可以开通volte服务来让短信通过3G/4G网络传输。具有加密通道的3G/4G网络更加安全。然而不法分子同样可以通过干扰区域信号的方式来干扰用户的4G信号，让手机向2/3G网络下切。并再次去利用“GSM嗅探”。所以目前的现状下，“GSM嗅探”的方式暂时无法从技术升级手段根除。

二，软件服务商应该尽量利用多种验证手段结合的方式。我们看到微信登陆时，不仅需要手机验证码，还需要你指出自己的微信好友。而支付宝支付时需要指纹认证或者刷脸。都是为了进一步提升安全性。利用“GSM嗅探”的方式窃取用户账户资金案列是在今年才出现在公众视野中的。说明这项技术只是刚刚被不法分子利用。对于用户在平台上的财产损失，相信支付宝，京东金融也不会坐视不理。相信此后对于各大平台对于验证支付的安全性会进一步升级。

三.作为用户，我们自己在平时也要从细节注意自己的财产安全：看了以上文章内容我们应该知道，不法分子利用“GSM嗅探”作案。首先需要知道用户的手机号码，姓名等信息。所以平时在工作生活中尽量少泄露自己的个人信息。比如平时的快递盒子不要随手丢掉。一定要把面单撕下来再扔。

另外，介于此类盗刷事件一般都发生在深夜，受害人熟睡的时候。所以我们入睡以前随手把手机关机或者调成飞行模式。也可以预防此类盗刷事件。

四.后悔药，记得买份保险

事实上，前边所说的那位网友“独钓寒江雪”的事件发生以后，京东方面经过调查以后已经免除了她的还款责任。而支付宝方面也早就推出了“支付宝账户安全险”，购买了以后一旦有支付账户安全问题引起的财产损失，保险公司会第一时间赔付。所以在平台上买一份保证财产安全的意外险。也可以将万一发生了盗刷事件的损失降到最低。

其实单从此次豆瓣网友“独钓寒江雪”发表的事件来说。因为受害者使用的是iPhone，所以有安全专家指出：还有可能和iCloud有关。iCloud有自动备份短信功能，不法分子如果破解了这位朋友的邮箱，同样也可以达到获得验证码的目的。所以利用“GSM嗅探”作案只是网络上来自各方的猜测而已。具体是哪种情况，目前的显示材料还不得而知。

以支付宝和微信支付为首的互联网金融仅用了几年时间就改变了人们支付和存款的方式。便捷性和安全性本身就是一对矛盾，人们在享受移动支付的便利的同时也必须面对网络支付的安全性问题。这点不仅需要用户在平时提高移动支付的安全意识，更需要移动运营商和各大网络金融平台积极改进网络技术。才能确保移动支付的安全，让其进一步得以发展。