浅析非接触式金融欺诈技术——“短信嗅探”

作者 | 中国银行科运中心（上海）湛卢工作室 俞学浩

摘要：目前，短信验证码验证用户身份的技术被广泛应用于网上银行、第三方支付等金融交易类场景中，而短信验证码依赖的GSM 通信无任何加密措施，攻击者可通过伪基站的方式截获用户短信内容。随着“短信嗅探”技术的成熟和泛滥，利用“短信嗅探”技术实施金融诈骗的案例屡见不鲜。非接触式金融欺诈技术“短信嗅探”已形成全链条化的黑色产业链，严重侵害用户财产安全和个人信息安全，甚至影响金融行业健康、持续发展。本文分析研究“短信嗅探”技术原理，在实验室环境进行测试验证，并从用户、金融机构、电信运营商三个维度提出网络安全相关的防范措施和建议。

关键词：短信嗅探、GSM、伪基站、网络安全

一、“短信嗅探”技术原理

“短信嗅探”是一种伪基站欺诈手段，一般采用“GSM劫持+短信嗅探”技术，通过一些特殊设备可以采集附近手机号码和机主信息，实现不接触目标手机，而获得目标手机所接收到的验证短信。进而利用各大银行、购物网站和移动支付APP的漏洞，实现信息窃取、资金盗刷和网络诈骗等犯罪。

“短信嗅探”技术一般由号码拦截设备(伪基站) 和短信嗅探设备组成。这种技术主要是利用了电信基站和 GSM(2G) 通信的缺陷，通过大功率的伪基站拦截、吸附手机号码，从而嗅探用户的短信内容。具体原理如下:

1、伪基站。伪基站一般由主机和笔记本电脑组成，利用 2G 移动通信网络的缺陷，伪、装成运营商的基站，冒用他人手机号码发送诈骗短信或木马链接实施欺诈。伪基站启动以后，会干扰和屏蔽一定范围内的运营商信号，吸附这一范围内的手机号加入伪基站，获取该地区的手机号码，劫持用户的正常手机通信。

2、短信嗅探。短信嗅探是指在不影响用户正常使用且不易被发现的情况下，利用特定的程序，拦截并且获取用户的短信内容。目前，用户在使用短信服务时均采用2G 信号，移动、联通用户采用 GSM 制式，电信用户采用 CDMA 制式。CDMA 为军转民网络，有多道加密措施，保密性较强，而 GSM 则是明文传输，没有任何的加密措施，所以其传输内容可以被嗅探到。由于目前3G、4G用户是国内主要的用户群体，因此黑客一般还会通过特殊设备强制干扰3G 和 4G 信号，使得用户设备降为 2G 信号，以便实施短信嗅探。

二、“短信嗅探”欺诈流程

在没有银行卡、身份证的非接触式情况下实施金融欺诈、盗刷等行为，需要知道用户的手机号、姓名、身份证号、银行卡号和验证码。在目前的技术条件下，一般通过四步即可达到目的：

1、利用GSM技术的单向鉴权体系漏洞，通过伪基站自动搜索附近（一般是周边几百米内）的潜在手机号码；

2、通过第三方支付查询目标手机号码，匹配相应的用户名和实名信息，并到相关黑产社工库等违法手段获取目标的身份证号码、银行卡号等信息。

3、通过短信嗅探设备，嗅探目标手机号码收到的验证码及运营商、银行所发短信。由此掌握目标的四大件：手机号码、身份证号码、银行卡号、短信验证码。

4、在网上银行或者移动支付平台，通过验证码登录、修改账户信息，进行账户支付、借贷等资金流转操作，如绑定银行卡、申请网络贷款、打白条等，实施盗刷和信用卡犯罪等犯罪行为。

这种金融欺诈手法主要针对2G手机的GSM信号，因此黑客常常会使用专业的设备干扰附近的基站通信，使手机信号从4G降级到2G，然后通过嗅探设备窃取手机短信等信息。同时，由于嗅探设备只能嗅探但不能拦截短信，因此黑客通常会选择在深夜实施嗅探，这时用户不易察觉。

三、实验室环境测试

本章节通过实际搭建短信嗅探设备，演示短信嗅探技术的危害。实验环境包括：摩托罗拉C118手机一部；USB转串口模块（FT232R）；C118 2.5mm耳机头转杜邦数据线；MiniUSB连接线；虚拟机，ubuntu12.04-i386。

在Ubuntu虚拟机中编译安装Osmocom-BB，Osmocom-BB平台实现了对2G网络短信的嗅探抓取功能。编译成功后，连接硬件，如果驱动正常，插上MiniUSB线后就能看到usb-serial:

接着利用Osmocom-BB加载Firmware到摩托罗拉C118手机raw中。手机屏幕显示“Layer1 osmocom-bb”字样就表示成功加载Firmware：

接着，即可利用改装的设备开始扫描附近的基站信息：

扫描结果中PWR为信号强度，绝对值越小说明信号越好，ARFCN为基站信道号，由于我们的设备比较简易，所以一次只能嗅探一个信道，而且只能抓取Downlink的数据包。

选择想要监听的信道号ARFCN，开始嗅探广播数据，并利用wireshark记录数据包，即可嗅探到明文短信，短信内容在wireshark TP-User-Data下。

以上实验室环境的成本只有几十元，即可实现一套简易的伪基站和短信嗅探设备，而在实际环境中，黑客往往有更加专业的设备，一旦短信被嗅探，会对个人信息安全造成严重危害。

四、防范措施和建议

虽然“短信嗅探”危害很大，但也有严格的利用场景，一般需要同时满足以下条件：

( 1 ) 用户手机在嗅探设备信号覆盖范围内；

( 2 ) 手机号必须是中国移动和中国联通，因为这两家的 2G 是 GSM制式，传送短信是明文方式，可以被嗅探；

( 3 ) 手机要保持静止状态，不能移动；

( 4 ) 用户泄露了身份证号等其他重要身份信息，刚好能被社工手段确定；

( 5 ) 各有关网站、APP 存在漏洞，更改支付只要密码，不要指纹或其它验证。

因此，我们了解原理后，可以从以下几个方面进行防范。

( 一 ) 用户防范层面

1、一般短信嗅探技术只是同时获取短信，并不能拦截短信，所以黑客通常会选择在深夜发起攻击，因为这时，用户不会注意到异常短信。有效的防范方法是夜间休息时，将手机调整为飞行模式或关机。

2、尽量避免使用手机银行预留的手机号码捆绑支付宝、微信等第三方服务；尽量减少银行卡数目和大金额银行卡的绑定；取消银行卡和支付类 APP 的免密支付；降低每日最高消费限额，采用指纹、人脸识别、U 盾等更为严密的密码手段保障财产安全。

3、平时不要访问不明网站、下载不明来历的手机应用，保护好手机号、身份证号、银行卡号、支付平台账户等敏感的私人信息；同时，定期修改金融支付软件的登录密码，不同软件需使用不同密码。

4、在收到非本人操作的来自银行或其他金融机构短信验证码等异常情况时，需提高警惕，及时联系相关移动应用、网站提供商，冻结或挂失账号。

5、这种攻击需要借助 2G 网络，有时候黑客会用专业的设备让手机降到 2G 来拦截语音短信和联网数据。当你的手机信号突然降频“2G”、“G”或者无信号时，警惕遇到黑产实施的强制“降频”及“短信嗅探”攻击，要及时更换网络环境，重新连接真实基站，检查移动 APP 异常恶意操作情况。

( 二 ) 金融机构防范层面

1、优化安全验证技术。短信验证码进行身份识别虽然方便高效，但仅利用手机号+短信验证码作为登录或支付验证的方式存在一定网络安全风险，容易被黑客利用进行犯罪活动。鉴于这种情况，2018 年，全国信息安全标准化技术委员会推出了《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》，提出了多种增强身份验证安全系数的建议。金融机构可采用多种方法优化用户身份验证，在用户登录、密码修改、转账消费等环节，随机采用两种以上验证方式，包括用户主动发送短信、指纹人脸识别、交易密码匹配、手机号与SIM卡标识信息匹配、通话方式发送验证码等技术。

2、提升交易风险防控能力。金融机构可以加强异常时间交易、异常地理位置交易、异常频率交易、陌生收款方式交易以及不符合用户正常行为交易的识别，适度强化交易拦截和二次确认措施。

( 三 ) 运营商防范层面

加快网络升级换代。黑客利用短信嗅探技术实施欺诈，正是利用了 2G 网络下信息无加密保护措施的缺陷。为从根本上阻止相关犯罪，通信运营商可以加快网络基础设施的升级，将目前数量庞大的 2G 用户迁移至 3G、4G 网络。另外，运营商可以考虑逐步淘汰 2G 网络，促进 4G、5G 通信技术的推广，使得用户的通信在更安全的通道传输，从根上解决短信嗅探问题。

参考资料：

[1]殷仁杰.《利用“短信嗅探”技术实施网络侵财犯罪初探》[J].山西省政法管理干部学院学报，2020,(33):98-101.

[2]央广网.网络专家揭秘短信嗅探市民要提高警惕但不必恐慌

[EB/OL].http://www.cnr.cn/hubei/yaowen/20180820/t20180820_524336283.shtml

[3]JenI's Blog.短信嗅探平台搭建. 

[EB/OL]. https://blog.jenisec.org/security/gsmsniffer-1.html

本文始发于微信公众号（湛卢工作室）：浅析非接触式金融欺诈技术——“短信嗅探”