真相！手机里的钱都是怎么不翼而飞的？

移动支付现在几乎成了每个人的支付习惯，大家手机里多多少少都会放些钱。不过最近经常有新闻爆出用户在毫不知情的情况下，移动支付APP里的钱全部被盗刷一空。不知不觉就可能身无分文，这也太可怕了吧！可是这些钱是怎么不翼而飞的？面对这种情况我们该怎么办？


本期将讨论的话题包括：


为何会出现不知不觉资金被盗刷的情况？

　　A：犯罪分子利用了 “2G GSM基站劫持+短信嗅探”技术，可以获得用户手机的短信内容，进而利用移动APP存在的技术漏洞，实现用户信息的窃取，进而进行资金盗刷等犯罪行为。


为什么会出现在2G GSM上？

　　A：在3G和4G的网络下用户手机和基站之间采用的是双向鉴权的方式，也就是说要在基站和终端都验证对方为合法之后，才会建立连接，而在GSM网络下，基站和用户设备之间采用的是单向鉴权的模式，也就是基站会认证用户设备的合法性，而用户设备没有途径来认证基站的合法性的，这就给某些不法分子提供了可趁之机，他们首先会设置一个伪基站来嗅探得到用户手机的相关信息，包括用户识别码等等，然后利用这些信息，通过某些作案工具可以接收来自银行等服务商下发的验证码短信。有些网站安全防范意识差，只需要手机号和验证码就可以登录，不法分子可以通过这样的网站获取更多的用户信息，进而进行一系列的操作。


有什么办法规避短信劫持的风险？

　　A：获取个人信息只是犯罪分子的第一步，第二就是资金的盗刷，有些APP只要输入“姓名、银行卡账号、身份证号码、手机号码、动态验证码”，就默认是本人操作，不法分子进入以后马上就会盗刷或者购买点卡类虚拟产品；第三，犯罪分子也可以利用一些网络贷款平台进行贷款等违法行为。　　当你看到奇怪的验证码和短信，要马上意识到可能已经被劫持攻击了，要立刻联系短信所属的移动应用或网站服务提供商。　　在操作网上银行的时候尽量使用U盾，在进行快捷支付的时候要设定单笔限额和单日限额，并且线上线下使用的银行卡要区分开来，不需要开通线上支付的卡（比如还房贷的卡、保险公司扣款的卡）尽量关闭快捷支付的功能。　　不要所有的应用都用相同的密码进行登录，并且拒绝使用“可用短信验证码重置密码”的所有涉及资金的业务。


使用手机过程中有哪些经常触碰的安全雷区？

　　A：绑定重要服务的手机号最好独立出来，和平时使用的手机号分开。最好做到不同安全等级的应用使用不同的手机号，比如移动支付等重要账号的两步验证专门用一个，平时生活、工作的手机号用另外一个。另外，不要乱下载App，不要乱给人投票、抽奖、砍价，学会保护自己的隐私。对于安卓手机，建议安装权限管理工具。