存款被盗调查:伪基站控制手机验证码

全国多地发生多起银行卡被盗事件，嫌疑人利用嗅探设备和伪基站作案。

李天明收到的各种验证码。受访者供图

警方缴获的工具。嫌疑人通过伪基站和嗅探设备获取手机号码和短信验证码。新京报记者陈京寿摄

“一夜醒来，卡上的存款不见了。”最近全国很多地方发生了多起银行卡被盗刷事件。深圳龙岗警方历时一个多月，打掉一个全链条涉嫌盗刷银行卡的团伙，抓获犯罪嫌疑人10名，涉案金额逾百万元。

在此之前，郑州、广州、厦门等地警方也相继破获类似案件。这些银行卡盗刷案件作案手法相同，都是利用手机2G网络(GSM)不加密传输的漏洞，通过伪基站和短信嗅探器获取一定范围内用户的手机号码和短信验证码。之后再利用各大银行、网站、移动支付app的漏洞和缺陷，实现信息窃取和资金窃取。

“这种盗刷方式危害很大。不像以前的电信诈骗需要受害者的配合，在你不知情的情况下被盗。”深圳大众龙岗分局龙新派出所所长詹晓明告诉新京报记者。

新京报记者了解到，由于嗅探设备和伪基站操作简单，各类app认证方式简单，此类盗刷门槛低，存在重大安全隐患。

对此，腾讯守护者计划安全专家周政认为，运营商应提高4G网络的覆盖和稳定性，强制语音和短信业务走4G通道；各类APP应用要通过常用设备绑定、账户异常行为强验证、增加人脸识别验证等手段，增强APP认证难度。

睡觉时银行卡被盗。

7月6日凌晨5点半左右，家住深圳龙岗上龙塘的李天明(化名)在睡梦中被手机持续的震动声惊醒。起床后，他发现自己的手机接连收到几十条短信验证码和消费通知。验证码的平台有Tuniu.com、瓜子二手车、支付宝、JD.COM等

“当时我很惊讶。我的手机没动。怎么会这样？”通过短信消费通知，李天明告诉新京报记者，他发现绑定JD.COM的兴业银行卡正在被消费。

李天明登录JD.COM查看情况，却发现登录密码已经被重置。短信显示，他的京东支付密码和登录密码分别在4点42分和5点32分被修改。“我赶紧给兴业银行打电话挂失，冻结账户。”事后，李天明庆幸自己的兴业银行卡被盗刷仅6000元，但由于处理及时，卡内余额为26000元。

然而，李天明的损失还不止这些。小偷还为他开了JD.COM金条，成功借了11000元。“这笔贷款是打到我的一张建行卡上的。”根据信息，李天明的JD.COM金条贷款是在5: 08支付的。之后，小偷用李天明的手机号在招商银行的信用卡平台——掌上生活注册了一个网通账户，开始消费。

在这起盗窃案中，李天明共损失17000元。起初，他拒绝向JD.COM寻求赔偿，因为一切似乎都是李天明自己操作的。“所有步骤都需要短信验证码，贷款也发到我自己的卡上。犯罪分子窃取我的信息后，他就是网上的我。”李天明说。

网民“一个老人在冰冷的河水中钓鱼-雪”也遭遇了和李天明一样的情况。8月1日，“一个老人在寒江钓鱼——雪”在豆瓣上发帖“什么都没有了”，讲述了自己被盗的经历。

上述帖子称，7月30日凌晨5点，“一个在寒江钓鱼的老人——雪”发现自己的手机收到了100多条短信验证码，支付宝、余额宝里的余额以及关联银行卡里的钱都被转走了。JD.COM还开通了金条和借条功能，借款一万多元。

起初，支付宝和JD.COM也拒绝理赔，因为他们认为这是“一个老人在寒冷的河雪中钓鱼”自己。支付宝相关人士在接受媒体采访时表示，根据当晚的操作状态，账户登录、密码修改、购物、提现的所有验证都是一次性通过，比如账户本身或者熟人的操作。

被盗刷的银行卡被盗刷后，李天明向龙新派出所报案。“警方说最近接到很多类似报案，嫌疑人通过短信嗅探作案。”

“这是一种新型的侵财犯罪，以前很少见。”新派出所一名办案民警告诉新京报记者，即使刚接到报案时，他们也不相信会发生这种事。“当时正好是世界杯期间，我心里就想着受害人赌输了，没法跟家人解释，编了个借口。”

2G网络传输漏洞

接到报警后，龙新派出所开始调查，了解到近期深圳及全国各地都有类似案件发生。“后来我们派出所也陆续接到很多类似的举报。”新派出所所长詹晓明告诉新京报记者。

随后，龙岗分局组织成立专案组，进行全方位调查。龙岗警方发现，在该案中，嫌疑人利用伪基站和短信嗅探器，在一定距离内窃取受害人手机号码和短信验证码，进而针对移动支付、互联网金融、社交软件等APP应用实施信息窃取、资金窃取、网络诈骗等。

今年三四月份，本案犯罪嫌疑人谭亮(化名)在QQ群里看到有人发布信息出售短信嗅探设备。“一开始我很好奇。我可以偷别人的短信。”

谭亮过去在一家电子工厂工作。当他在大学的时候，他经常帮助他的同学修理电脑，因为他喜欢电脑技术。他属于“技术控”，经常混迹于各种计算机技术讨论组。

5月，谭亮购买了一套短信嗅探设备。有了一定的技术基础，谭亮很快学会了如何使用这套设备。但是，他很快发现，只嗅别人的短信，除了偷窥隐私，没有任何用处。“只看到一堆短信，不知道是哪个手机的。”

“刚开始只是对嗅探技术好奇，但在QQ群里，经常有人发消息，说自己偷了多少钱，慢慢的就动心了。”谭亮告诉新京报记者，他后来了解到，如果你想看到手机号码，你还需要一个“手机号码采集器”。这个设备的主要部件是一个伪基站。

伪基站之所以能起作用，其实是2G网络单向认证的缺陷。

所谓认证，就是手机用户与移动通信网络之间的认证机制，即要求他们之间的身份识别。然而，根据中国移动通信集团公司研究院高级工程师李肃2017年发表的《移动通信网络2G/3G/4G互通风险分析及防护方案》，在2G网络中，认证是单向的，即只要求网络对用户进行认证，而用户不对网络的真实性进行认证。因此，在2G网络条件下，攻击者可以放大伪基站的信号强度，从而迫使用户接入。也就是说，在2G网络条件下，基站可以识别手机的合法性，但手机无法识别基站的合法性。这也使得伪基站(伪基站)能够与手机进行通信。

“通过号码采集器，可以把附近2G标准下的手机号码全部吸收，形成虚拟拨号，拨到系统指定的手机上，就可以看到附近人的手机号码。配合短信嗅探器使用，可以将手机号与短信验证码匹配。”谭亮说。

“目前绝大多数移动互联网应用服务都是基于用户手机和短信认证的安全策略。”腾讯守护者计划安全专家周政告诉新京报记者，犯罪嫌疑人可以窃取用户移动通信的关键信息:短信验证码。而国内2G网络的语音和短信业务都是单向认证，缺乏有效加密，明文传输导致通信安全性差，使得短信验证码被劫持和嗅探。

其实2G网络信息嗅探技术早在几年前就出现了。公开资料显示，2009年，德国计算机工程师Carleston Noel宣布，他已经破解了GSM技术的加密算法，并将破解后的代码放在互联网上供人们下载。有了这些代码，一台个人电脑和一台无线电接收机就可以截获手机用户的语音信息。

此后，GSM协议的破解越来越成熟，产生了一批开源项目。2010年，OsmocomBB项目诞生，它可以控制和筛选周围基站发送的所有信息。目前，这已经成为网络上应用最广泛的2G手机监听开源项目。它的硬件很简单——一部手机，一台电脑，几个串口。

“在这种情况下，犯罪团伙正在使用OsmocomBB开源技术组装和构建GSM劫持设备和环境。”周政告诉新京报记者。

目前在网上很容易检索到相关教程，大大降低了搭建和使用嗅探设备的门槛。“即使你不懂技术，造不出来，你也可以买整套设备，卖设备的人会告诉你怎么用。”谭亮告诉新京报记者。

利用网站和应用程序漏洞

有了号码收集器和短信嗅探器，谭亮开始尝试偷刷。他告诉新京报记者，拿到受害人的手机号和短信验证码后，还需要满足很多条件才能实现盗窃。最重要的是通过多个平台找到受害人的姓名、身份证号、银行卡号等信息。另外，受害人必须银行卡里有钱或者有贷款资格。

“听说有人先买了别人的信息，然后有针对性地跑到别人家，通过信号干扰把自己的手机号降频到2G，然后进行嗅闻。”谭亮告诉新京报记者，这种作案手段被称为“精准嗅探”，但成功率很低。“不是说想拦截谁就能拦截谁。”

通信行业知名观察人士项立刚对新京报记者表示，手机连接4G网络时，不会成为短信嗅探攻击的目标。但2G网络发展历史悠久，基站覆盖广，信号强。有些地方如果4G信号弱，手机会自动连接2G，可能会被嗅到。此外，不法分子还可能通过技术手段干扰4G网络，让附近的手机自动降频到2G。

谭亮说他的工作方式是“撒网”。选择一个人多的地方，打开嗅探设备，截取周围能嗅到的2G手机号码和短信，然后搜索受害者信息。目前能获取到的受害人个人信息，多是利用网站和各种app的漏洞查询到的。

谭亮记得，国内一家银行的网页只需要用户的手机号和短信验证码就可以登录。登录后，虽然隐藏了用户银行卡号的部分数字，但是点击页面源代码就可以在代码中找到完整的银行卡号。

国内某移动支付平台是泄露用户身份证号的主要渠道。“登录支付平台时，身份证号也是隐藏的。但平台上的一些合作企业服务号，通常可以授权直接获取用户信息，身份证号就泄露在这些服务号上。”谭亮告诉新京报记者。然而，8月14日，在警方的要求下，当他再次演示如何从平台获取用户ID信息时，发现该漏洞已经被堵住。

除了技术上的漏洞，周政告诉新京报记者，在短信验证码可以被拦截的情况下，一些网络平台、银行网站，以及正常提供给公众、政府、企业的查询接口，也会被小偷利用，进行信息查询，相互匹配，然后在金融平台上重新注册，开通贷款服务，实现消费。

谭亮的供述印证了上述观点，“一个银行的APP登录后，只需要短信验证码就可以查看完整的银行卡号。”

“不同平台能查询到的信息可能不一样，所以我们要把多个平台的信息拼凑起来。”谭亮告诉新京报记者，这也决定了这类盗刷的成功率很低。“有时候你找不到完整的资料，或者你有资料，但是账户没钱。”

据谭亮交代，从今年5月到8月被抓，他盗窃成功5次，最大一次金额5000元。第一笔被盗的钱只有300元，他通过对方的JD.COM欠条，用q币充了自己的QQ。“当时受害人银行卡里没有余额，只有借条上有300元的额度。”

全链条帮派

谭亮认为，他偷画笔的重要原因是他一直在独自工作。在这类盗窃中，犯罪嫌疑人通常是团伙作案，各司其职，有的贩卖设备，有的嗅吸作案，有的洗钱。

谭亮告诉新京报记者，在业内，负责盗刷的人被称为“料主”，洗钱环节被称为“洗料”。通常的做法是，物主向“洗”的人提供消费所需的手机号和验证码；后者进行销售变现。“一般就是买油卡、q币之类的虚拟物品，这样没有收货地址更安全。”

高浩波(化名)于今年5月开始帮助本案另一名嫌疑人刘洗钱。他告诉新京报记者，自己洗钱的方法是帮刘把偷来的充值卡套现。

高浩波告诉新京报记者，刘告诉他，有一个办法可以让加油卡打7折。高浩波把刘的三折交给别人打八折，从中赚取一成佣金。“被抓的时候，一共赚了1000多块钱。”

在李天明JD.COM平台上被盗的6000元兴业银行存款也被用于购买虚拟商品。“我买了一张499.9元的电视会员卡和四张加油卡，两张1000元，两张1920元。”

按照谭亮的说法，之所以需要“洗料”，不仅是为了洗脏钱，也是为了规避各种电商平台的风控机制。“在很多电商平台上，如果你消费过多或者过于频繁，系统认为消费异常，就会启动风控机制，冻结账户。这样，小偷就算刷了一大笔钱，也出不来。所以有人专门通过各种洗钱渠道帮助套现。”

在谭亮看来，受害人李天明的建行卡之所以绑定其他平台消费，可能是小偷在规避京东。COM的风险控制机制。“将卡绑定到其他平台后，可以在异地或异地平台购物，然后套现。”

为了洗出更多的钱，不法分子会铤而走险，购买实物。“这种情况一般都是寄到外省，找个没有监控的收货地址，让专人收货，想办法套现。”谭亮告诉新京报记者，之所以选择外省的地址，是因为如果被举报，警方的跨省调查程序会比较复杂，可能会耽误时间。

李天明发现他的建行卡被绑在他的手掌上，开通网通服务后，一些人开始在福建泉州和河南濮阳的商贸城购物。另一位住在龙岗的受害者也告诉新京报记者，她的银行卡绑定了交通银行的信用卡平台——买单后在广东汕头扫码消费。

新京报记者实际测量了上述两个信用卡平台，发现在获取验证码的情况下，都可以用别人的手机号注册，绑定银行卡。验证手段也是姓名，银行卡号，身份证号，手机验证码。

“他们有太多的手段。我怕合作之后，他们越陷越深，最后不可收拾。”谭亮告诉新京报记者，他总是自己去嗅，自己去查资料，自己去“洗料”，什么都懂一点，但不多。“我自己没有洗的渠道，所以我付不起钱，所以我偷不了很多钱。我只能充q币，包括最大的一笔5000元，我都充q币了。”

谭亮还告诉新京报记者，由于盗刷需要去各种平台查询受害人的各种信息，所以也衍生出一些人帮忙查信息。

“有人可能通过黑产社工库等非法途径获取受害者信息。”周政告诉新京报记者。地下的“社工库”掌握着很多网站和网民的数据和信息。

但谭亮表示，据他所知，目前短信嗅探、窃取的案例中，利用这类数据库查找用户信息的较少，主要是利用各种网站、app本身的漏洞和缺陷。

验证手段有待改进

8月14日至16日，新京报记者发现，不少平台都提高了网络安全系数。开通支付宝贷款需要人脸识别，开通JD.COM金条需要上传身份证正反面。“JD.COM金条开业，十天前才听说要上传审核材料(注:面试日期是8月15日)。”谭亮告诉新京报记者。

7月6日，当李天明被盗时，嫌疑人轻而易举地打开了他的JD.COM金条借钱。“从短信验证码来看，凌晨4点48分申请，4点49分审批，5点08分贷款到账，肯定不存在人证合一的审核。”

新京报发现，相对而言，微信在非使用设备登录时的验证最为复杂，需要“回答安全问题”、“扫描原设备二维码验证”、“邀请好友协助验证”。此外，近期多家银行的APP系统升级，导致登录验证困难。

但新京报记者实测也发现，很多app在非正常设备上登录并修改密码时，验证手段仍然不够安全。比如支付宝可以用异常账户登录设备，修改登录密码，修改支付密码，然后转账、支付、提现，都可以通过“短信验证码+身份证号+银行卡号”实现。

在JD.COM商城APP中，可以通过“短信验证码+历史收款人姓名”登录，通过“短信验证码+银行卡号+身份证号”重置支付密码。Suning.cn也可以直接通过手机验证码登录，使用“身份证号+手机验证码”重置支付密码。

银行APP方面，中国银行和招商银行也是使用姓名、银行卡号、身份证、验证码的不同组合登录非使用设备。

这意味着，如果嫌疑人嗅探到用户验证码，采用多种手段获取身份证号、姓名、银行卡号，就可以在支付宝、JD.COM、Suning.cn等平台上消费。

不过，据网络信息安全专家洪河介绍，目前国内各大银行的app、支付宝、JD.COM、微信等平台的安全级别还是很高的，应用本身并没有明显的漏洞危及用户的资金安全。“但是，在某些使用场景下，情况会更复杂。比如手机系统本身被破坏，短信被嗅探，或者从其他渠道泄露信息，那么这些app本身可能就有风险，不管它们有多安全。”

事实上，短信嗅探引发的网络安全问题已经引起业界关注。今年2月11日，国家信息安全标准化技术委员会组织专家论证，发布了《网络安全实践指南——对拦截短信验证码实施网络身份假冒攻击的技术指南》。指出由于2G网络单向认证、短信内容不加密传输等局限性，以及短信拦截攻击工具化、自动化的趋势，使得利用此类威胁实施攻击的门槛大大降低，基于短信验证码的身份验证安全风险显著增加。

对此，上述技术指南建议，“各移动应用和网站服务提供者应优化用户认证措施，选择一种或多种方式组合使用，如短信上行认证、语音通话传输验证码、通用设备绑定、生物特征识别、动态身份选择等多种认证方式，加强安全性。”

其中，短信上行验证是用户手机主动将指定的短信内容发送到各个应用平台进行身份验证；常用设备绑定是指原则上支付、转账等敏感操作只能通过绑定的设备进行；生物识别包括人脸识别、指纹识别等。

龙岗警方提醒，如果手机收到不明验证码，有可能是嫌疑人在攻击手机。这时候就需要立即关闭手机或者开启飞行模式。睡觉的时候尽量关掉手机或者使用飞行模式。尽量关闭网站APP上的免密支付功能，或者降低每日最高和每次支付限额。另外，如果看到银行等金融机构发来的验证码，而不是自己发来的，除了关掉手机，还要尽快冻结银行卡，减少损失。

新京报记者陈静寿实习生李易川

(编辑:龚宇)