凌晨，突然發(fā)現(xiàn)手機信號從4G降為2G，接收到來自銀行、支付寶和移動公司的各類短信驗證碼。隨后，銀行賬戶被轉空、支付寶余額被轉走、手機自動訂購了一堆無用的增值業(yè)務……這并非科幻電影中的場景，而是現(xiàn)實世界中短信嗅探設備對手機用戶實施不法侵害。

嗅探：犯罪分子“隔空取物”

今年8月，一位新浪微博網(wǎng)友向警方和相關金融機構報案：凌晨2時至5時，手機先后收到100余條來自支付寶、京東金融和銀行等金融機構的短信驗證碼，相關賬戶內的余額及綁定銀行卡內的余額全部“憑空蒸發(fā)”。

事后經(jīng)安全技術專家鑒定，認為這是一起較為典型的利用短信嗅探技術實施財產(chǎn)侵害的案例。據(jù)中國電子技術標準化研究院技術專家何延哲介紹，短信嗅探技術是在不影響用戶正常接收短信的情況下，通過植入手機木馬或者設立偽基站的方式，獲取用戶的短信內容，這其中就包括來自銀行、第三方支付平臺和移動運營商的短信驗證碼。

公開報道顯示，近期，全國已有多地破獲諸如利用短信嗅探技術使用他人金融賬戶購買虛擬物品實施銷贓的相關案件。

網(wǎng)售嗅探設備“包教包會”

記者在互聯(lián)網(wǎng)和社交軟件搜索，發(fā)現(xiàn)大量嗅探設備交易帖和交流群。記者添加了尾號為0960的QQ用戶。嗅探設備價格不菲，對方稱，可通過傻瓜式教程“包教包會”。

一位售賣設備的賣家告訴記者，他們有一個專門的工作室，有人負責制作硬件，有人負責軟件編程。

有賣家提醒記者，要遵守“行規(guī)”。例如，在盜取他人話費時，一天盜取的話費上限不能超過3000元。

還有賣家給記者發(fā)來了大量的照片和視頻錄像，證明所售賣的設備真實可靠。在一段視頻影像中，嗅探設備正在運行，對方還演示了如何操作軟件，并成功截獲了一條發(fā)自銀聯(lián)的短信驗證碼。

專家建議加快淘汰2G網(wǎng)絡

何延哲表示，在2G通道下進行的短信和通話信息使用明文傳輸。為成功劫持信號完成短信嗅探，不法分子有時還會干擾3G和4G信號，強制讓用戶“降維”到2G網(wǎng)絡狀態(tài)。

騰訊安全玄武實驗室負責人于旸建議，用戶可以要求運營商開通VoLTE功能（一種數(shù)據(jù)傳輸技術），讓短信通過4G網(wǎng)絡傳輸，防范無線監(jiān)聽竊取短信。

于旸表示，在網(wǎng)絡安全領域存在一個“不可能三角”，即無法同時實現(xiàn)安全、便捷和廉價三個要素。從短信嗅探技術盜刷他人金融賬戶的案例來看，目前，被多數(shù)金融機構采用的基于賬戶登錄密碼和短信驗證碼的“雙因子安全認證”雖然方便，但在該環(huán)境下有失效風險。

何延哲等業(yè)內專家建議，通信運營商應考慮加快淘汰2G網(wǎng)絡技術，確保用戶的短信和通話內容不被他人截獲竊取。此外，有關專家建議，在“雙因子安全認證”出現(xiàn)漏洞的情況下，包括銀行和第三方支付平臺在內的金融機構應加強安全因子的多重驗證，推出更為完善可靠的校驗手段。