短信验证码又被劫持，我们的账户到底还安不安全？

最近又出了一起短信嗅探的案件，详情可见：

其实18年就出现了类似的案件，上文也有提及。整个作案过程，简单来说分为三阶段：

阶段一：短信嗅探。

通过简易组装的设备，干扰附近的手机信号，使其信号降级为2G，在此模式下，可以通过短信嗅探将手机短信劫持，但是要求手机不能移动。

听起来很吓人，但是光拿到你的验证码并没有什么用，还需要其他信息才能完成套利。

阶段二：信息盗取。

要想获利，一般需要手机号，姓名，身份证，银行卡号等四要素信息。获取这些信息又有几种方式，理想状况是通过已有社工库寻找附近手机号的已泄露的信息，也就是说，附近抓到的手机号，以前已经在历次数据泄露事件中被泄露过了，可能包含姓名，手机号，邮箱，密码等，再通过邮箱和密码获取更多的信息，这个过程也可以叫做社工。当然，一般情况下，不会这么理想，只能通过短信验证码，不断地尝试获取其他信息，如忘记密码/重置密码，忘记卡号等等。

上面讲了这么多社工，其实都是指“社会工程学”这个词本来是美国顶尖白帽提出来的，指的是通过欺骗手段套取被害人主动提供敏感信息。发展到今天，通常意义上的电信诈骗和各类欺诈都可以归为此类。

阶段三：套现获利。

这年头，没人直接转账了，转了账就有目标账户，不管转几次，在银行系统内都可以追踪，而且总要取现，根据取现ATM地址顺藤摸瓜就会找到黑产的地址，然后人赃并获。现在通过虚拟商品变现的模式是主流，各种羊毛平台上买家卖家自由交易，各种黄牛负责收集和分发，这些虚拟物品来无影去无踪，可能最后充到千里之外的N个手机号或者视频会员上，难以追查。

先重置一下支付密码，购买各类虚拟商品套现，如手机充值、游戏点卡、各类视频会员，统一渠道半夜购买这类商品，肯定会被风控，因此黑产会从多渠道下单。

有人说，我卡里没钱啊，怎么购物，你借记卡没钱，信用卡总可以吧，支付密码都改了，想买什么买什么。

信用卡高频小额交易会触发银行风控，不着急，还有花呗呢，花呗用完了还有借呗呢，借呗也用完了，还有微粒贷。

持牌机构的借完了，还可以去借各种小贷，通过姓名身份证，用黑产工具可以获取到身份证照片，这些小贷通常贷前风控很弱，用PS的照片或者直接把身份证照片抠出来就能过人脸，还别说有的平台不用人脸。

网络借贷的便利，给了黑产更大的利润空间，那么我们如何防范呢？

如何防范？

先来说说金融机构们应该如何防范。有的银行借记卡做了一些安全功能，比如【夜间锁】、【异地锁】，在夜间或者异地是没法动账的，建议各家银行抄作业，特别建议各家银行的信用卡抄作业。

另外，整个安全体系需要动态立体的防护，任何一个安全工具都有可能被攻破的情况，因此，在一个完整的交易链路中，不允许一个客户只经过单一要素安全工具就能动账，比如从登录到查询到转账，全部只要几个手机验证码就搞定了。当然，可以根据手机客户端的特征来判断，一个常规登录的低风险设备和用户，并不需要用高安全级别的工具，只有当用户账户特征发生变化的时候，才需要启用高安全级别的工具，并且都要求双因素认证。

再来看看做为个人用户应该怎么防范，前面提到，嗅探是技术上关键的一阶段，但是成功率最低的是社工这一阶段，就是要能够获取你的四要素信息，飞行模式睡觉可以帮你杜绝第一步，但是总有忘记的时候，而且开了飞行模式，真有急事可能还是会影响正常生活。

我们看看怎么防住第二步，各类限额注意控制，各类的验证手段能选的不要单选短信验证码，选短信验证码+另一个验证手段的双因素验证手段，各类支付工具里不要绑过多的卡，一张主力信用卡，1-2张借记卡即可。

另外就是注意个人信息的保护了，这些在之前的隐私系列里有比较详细的论述，感兴趣的朋友可以看历史文章。总的来说，不必太慌张，但是一定要重视。

相关阅读：