伪基站（短信嗅探）盗刷银行卡是怎么实现的？手机用户真的只能坐以待毙吗？

把生命浪费在美好事物上提问于 2018-11-13 16:40

• 叁叁肆2018-11-13 16:48

  关于这个问题，首先来了解一下短信验证码的原理：

  短信验证码：网站或者客户端应用需要接入短信验证码（手机验证码）的功能，可以实现注册用户的手机号码正确性校验，确保用户填写的手机号码的真实性。现在已经完全融入了大家的日常生活，成为其中不可或缺的一部分。

  
  

  实现原理:发送短信的服务一般是由第三方短信服务商提供的，系统先生成一个验证码，调用第三方服务商的短信接口，发送到手机方，手机方输入验证码，再由系统去校验是否符合，符合则说明手机真实有效。

  
  

  技术核心是：后台下发一条随机码X，网页客户端通过算法将用户信息和随机码X合并，生成一条字符串Y，并返回给后台；后台用同样的算法处理这条随机码X和后台存储的用户信息，得到一条字符串Z。后台比对来自客户端的字符串Y和自己生成的字符串Z，如果两者一致，则确认用户身份。

  
  

  了解完了短信验证码的原理，我们来看一看伪基站（短信嗅探）盗刷银行卡是怎么实现的，供大家警示。
  

  “伪基站”即假基站，设备一般由主机和笔记本电脑或手机组成，通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息，利用2G移动通信的缺陷，通过伪装成运营商的基站，冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

  
  

  骗子的实施步骤如下：

  1. 骗子通过特种设备自动搜索附近的手机号码，用你的号码登录一些网站或应用，然后用“短信嗅探技术”拦截这些网站、应用发给你的验证码；
  2. 骗子通过登录其他一些网站，就会从中碰撞你的身份信息，称之为“撞库”（即多个数据库之间碰撞），将你的身份信息匹配出来，包括身份证、银行卡号、手机号、验证码等信息；
  3. 骗子在一些平台开通账号并绑定事主银行卡，冒充事主消费或套现，从而盗取事主银行卡资金。

  
  

  然后一觉醒来，你就会是“一无所有了”。

  
  

  以上来自网易云社区博文《还有人不认识通讯诈骗，短信验证码带你认识一下》

  感兴趣的同学可以看看网易云易盾在防止短信诈骗上是如何实现的，点击可试用网易云安全（易盾）行为验证码。