卡在机在人在，一觉醒来钱没了！武汉已有多人中招……

手机放在家里，

银行卡和身份证也在身上，

没扫二维码，也没点链接，

一夜间却收到上百条扣款短信。

卡在机在人在！

钱没了！！！

这究竟是怎么回事呢？

1

7月28日，武汉徐东

女子8张卡中5万余元不翼而飞

事情虽然过去了半个多月，但至今回想起来，武汉市民张女士仍然惴惴不安。

7月28日早晨，家住武昌徐东的张女士醒来，她拿起手机，发现竟然有99条未读短信。经查看，这些短信有的是验证码，由翼支付、环迅支付、畅捷支付等平台发来；有的是扣款短信，涉及张女士在4家银行的8张银行卡，共产生了27笔交易。此外，她的名下还莫名产生了一笔1万元的网络贷款，而且也被转走。初步统计，张女士一夜之间损失了5万多元。

慌乱不已的张女士，来不及多想，逐一拨打银行客服和网贷平台的电话，挂失账号、反映问题，并向警方报案。期间，她的手机信号很不稳定，明显不如平时，通话中断了七八次。当晚，她无法入睡，一直看着手机，想不通到底发生了什么，生怕再收到提醒短信。此后几天，她冒着酷暑，多次跑银行、派出所，心力交瘁。

经过申诉，翼支付退还了张女士被盗刷的1000元；另一支付平台认定她当时的交易属于盗刷，赔付了3.4万元；一家互联网金融支付公司向她赔付了1万元贷款。

2

7月30日，深圳龙岗

网友一觉醒来发现自己一无所有

一系列盗刷事件引发全国关注，源于一个《这下一无所有了》的网帖。

近日，深圳市龙岗区豆瓣网友“独钓寒江雪”发帖说：“7月30日凌晨5点被尿憋醒，发现手机一直在震，一看，接收了100多条验证码，几个支付平台和银行的付款信息都有。吓得一下子清醒，去看支付平台和关联银行卡的钱，都被转走了。甚至还开通了借款功能，借走1万多。”

最初，这一事件被各方判定是这位用户自己的行为。因为从当日凌晨1时42分开始，包括登录支付账户、绑定银行卡、网上购物等一系列操作中，需要用到用户姓名、短信验证码、用户名下银行卡号、身份证号、手机号。如此多的安全检验程序，操作者均一次验证通过。操作者修改了支付密码后，将多笔款项转到了用户名下的银行卡中。

事件发生后，一家支付平台表示，从用户权益保障出发，在未确认被盗事实成立的情况下，保险尚无法理赔，支付平台将先行全额补偿用户在平台上的损失，然后全力配合警方调查。另一支付平台也表示，已设立专门的盗刷案件处理通道，并会对被确认盗刷的用户账户进行先行赔付，免除用户的还款责任。

3

8月1日，深圳龙岗

银行卡和身份证在身上但钱没了

河南周口的王女士，也有同样的经历。7月20日，王女士一家三口去深圳旅游，几天后她和老公去了越南，女儿留在深圳龙岗实习。出发前，王女士将自己的一个手机卡装在女儿的手机上，方便接听国内的重要电话。

8月1日，王女士得到一个匪夷所思的消息：女儿一觉醒来，看到手机收到上百条短信验证码，银行卡被盗刷。“身份证和银行卡都在我的身上，怎么会被盗刷呢？”王女士说。她偶尔网购，但从未注册过某知名电商的账户，但此次却收到该电商支付平台的大量短信验证码，共产生1.46万元消费，还申请了1000元贷款并被转走，还有一张银行卡中的720元余额也不知去向。

当天，翼支付客服人员致电王女士，称发现她的账户凌晨注册并绑定银行卡后，转账存在异常，系统已主动拦截2.1万元的转账交易，待核实清楚后，会将这笔钱退还王女士。

8月8日，王女士回到深圳。去派出所报案时，她一小时内就看到四五个人前来反映类似遭遇，被盗刷金额从数千元到上万元不等。

银行卡离奇被盗刷，

究竟是如何发生的？

原来，

他们遭遇了短信嗅探，

所以资金被盗刷。

在国内，类似事件近期时有发生。

最新进展

全国多地破获短信嗅探盗刷案

深圳警方告诉王女士，短信嗅探盗刷是一种新型作案方式，当地接到多起类似警情。经过抽调精兵强将串并侦查，警方一周内抓获9名犯罪嫌疑人，并缴获了作案设备。侦查发现，武汉的张女士出现在受害人名单中，犯罪嫌疑人盗取张女士账户后，购买了Q币、加油卡等物。

记者搜索公开报道发现，短信嗅探盗刷案件，已在国内多地发生，情形与上述案件相似。有的受害人除了账户资金损失，网上银行APP登录账号、密码等也被更改，损失十分惨重。

6月26日凌晨　

郑州警方接到报案，杨女士在睡梦中被手机铃声吵醒，她发现账户中1万多元被盗刷。接着，另一位女士也报警反映遇到同样的情况，两人距离很近。7月3日，警方抓获一名利用2G短信嗅探设备窃取通信基站短信，进而对该基站覆盖范围的手机用户银行卡进行盗刷的犯罪嫌疑人，并缴获作案设备。

7月26日　

广州警方破获一个短信嗅探盗刷作案团伙，抓获三名犯罪嫌疑人。该团伙通过劫持GSM手机短信信息，用短信嗅探技术对受害人银行卡实施盗刷，自6月以来，先后作案16起。

8月1日至2日

厦门警方接到三名受害人报案，称早晨起床后，发现手机收到多个验证码，银行卡中资金莫名消失。经侦查，警方很快确定犯罪嫌疑人身份，于8月3日抓获准备潜逃的犯罪嫌疑人林某，同时缴获9部手机、10张银行卡、2套短信嗅探设备及U盾等一批作案工具。

在没有受害人身份证、银行卡的情况下，犯罪嫌疑人是如何利用短信嗅探技术实施盗刷的呢？

民警介绍，嫌疑人通过“GSM劫持+短信嗅探技术”，可实时获取受害人的手机短信内容，进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷，实现信息窃取、资金盗刷和网络犯罪等犯罪。

那么，如何防范这种新型犯罪？楚天都市报记者采访了相关专家和业内人士。

案件揭秘

短信嗅探盗刷案大多发生在凌晨

国内网络安全界知名的“黑客炼金术士”邹晓东（Seeker）介绍，通常情况下，要想在没有银行卡、身份证的情况下实施盗刷，需要知道受害人的手机号、姓名、身份证号、银行卡号和验证码。

在目前的技术条件下，通过四步即可达到目的：

一，利用GSM技术的单向鉴权体系漏洞，通过伪基站自动搜索附近（一般是周边几百米内）的潜在手机号码；

二，通过查询地下出售的个人隐私数据，或登录第三方支付平台、网上银行等，碰撞查询到目标手机号码对应的身份证号码、银行卡号等；

三，通过短信嗅探设备，嗅探目标手机号码收到的验证码及运营商、银行所发短信；

四，在网上银行或者移动支付平台，通过验证码登录、修改账户信息，进行账户支付、借贷等资金流转操作，如绑定银行卡、申请网络贷款、打白条等，实施盗刷和信用卡犯罪等犯罪行为。

邹晓东进一步解释，这种犯罪手法主要针对2G手机的GSM信号，因此犯罪分子常常会干扰附近的基站通信，使手机信号从4G降级到2G，然后通过嗅探设备窃取手机短信等信息。由于嗅探设备只能嗅探但不能拦截短信，因此犯罪分子通常会选择在深夜作案，这时受害人大多在酣然入睡，不会注意到短信异常。

专家建议

金融机构通讯及验证系统应升级

盗刷案件的发生，与系统漏洞有着直接的关系。邹晓东告诉记者，2011年，手机通信的GSM协议就遭到破解，有多种方式可以获取用户的短信验证码，只是这些技术一直没有被犯罪分子所掌握。最近的案例表明，部分犯罪分子已经掌握其中一种技术。

邹晓东认为，连续发生的短信验证码攻击事件，可能是攻击工具产业化的标志。利用手机短信验证用户身份，已无法保证用户信息和资金安全，金融机构需要尽快改进，选择安全性更高的身份认证方式。同时，用户也不必过于担心，因为使用伪基站和短信嗅探，必须接近受害人，而警方很容易利用监控录像排查定位犯罪分子。随着公安机关快速破案，这种犯罪会越来越少。

邹晓东介绍，2016年6月，央行明确规定：各商业银行、支付机构、卡清算机构，要加强对支付敏感信息的内控管理和安全防护工作；各商业银行基于银行卡与支付机构、商业机构建立关联业务时，应严格采用多因素身份认证方式，直接鉴别客户身份，并取得客户授权；身份鉴别应使用数字证书、交易密码、动态令牌设备等方式至少组合两种认证；针对批量或高频登录等异常行为，应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别，及时采取附加验证、拒绝请求等手段。

如何防范

增加支付登录关卡降低被盗风险

记者了解到，要满足盗刷需要的所有条件，不是一件容易的事。深圳警方抓获的一名犯罪嫌疑人供述，他一个晚上虽然能嗅探到很多手机短信、捕获到很多手机号码，但盗刷成功的并不多。原因是很多金融公司风控很严，即使盗刷，单笔金额也不大。

武汉极意网络科技有限公司网络工程师许伟告诉记者，黑色产业者的攻击方式很多，但最终的关键还是要获取受害人的身份证号、银行卡号、手机号码等。缺少其中一环，他们都不可能成功。

对于消费者来说，为了防止个人财产被盗，需要保护好敏感的私人信息。同时，微信、支付宝、京东等个人账号，可以通过定期修改登录密码，或增加登录和支付“关卡”来降低被盗风险。银行、高校等单位，应该保护好消费者、学生群体的身份证、银行卡等信息不被泄露，还要不断完善平台的风控体系建设，优化风控策略方案。只有安全意识增强了，犯罪分子钻空子的机会才会越来越小。

许伟表示，目前传统的验证方式，有短信验证、字符验证等。短信验证步骤繁杂，容易被盗取；而一些字符验证码越来越扭曲，体验感差，也容易被一些图像识别技术识别。验证码未来的发展趋势，应该在充分保证安全性的基础上，做到零打扰、无感化。

大额资金账户

建议不要开通网银

湖北银行业纠纷调解中心主任宋心鹏介绍，利用短信嗅探获取银行客户信息，进而盗取资金，在技术上有一定难度，在侵害对象上具有随机性。目前，该中心尚未接到类似投诉举报，但是中心已经关注到这类案件的动向。公众对此既要高度警惕，又不必过于恐慌。

宋心鹏建议，用户要加强防范意识，做到以下几点：

一、保护好个人手机号、身份证号、银行卡号、支付平台账号等私人敏感信息。

二、存有大额资金的个人银行账户，建议不要开通网银功能。网上支付账户应设置支付限额，支付密码与取款密码要有区别。

三、对不明来历的短信、微信、验证码链接，不点、不收、不回复。对自行发起的转账和支付短信，一定要分辨清楚。

四、睡觉前，可将手机关机或设置为飞行模式，防止被短信嗅探设备探测。

五、如账户遭遇攻击，应立即查看自己的银行卡和支付应用，一旦确认资金被盗刷，要立即冻结相关账户并报警。