通信人家园

标题: 关于短信嗅探导致银行卡资金被盗的问题 [查看完整版帖子] [打印本页]

时间: 2022-4-28 10:32

作者: 375273130 标题: 关于短信嗅探导致银行卡资金被盗的问题

真实案例发生在身边，发生时间段均在凌晨，情况如下：半夜注册在GSM网络上的手机卡莫名其妙收到很多短信验证码信息，其中有将银行卡绑定在第三方小支付平台开通快捷支付的短信验证信息，被绑定后对方开始尝试使用第三方支付平台进行快捷支付进行付款，导致银行卡资金被盗。

个人分析，若要产生以上问题，嫌疑人是否必须满足以下条件才可进行资金盗刷？
1、知道被盗人的手机号码、身份证号码、银行卡号码以及被盗人手机凌晨所在的大致位置（用于短信嗅探）；
2、被盗人手机号码在收验证码时，手机处于GSM网络下；（若先前处于3G/4G/5G网络，是否有可能通过干扰等方式被迫向下注册至GSM）
3、被盗人无察觉，没有第一时间采取关闭手机、冻结银行卡等措施；

目前防范方法只想到一点，不知是否还有其它防范方式？
1、各银行、支付宝等软件绑定使用不具备GSM功能的手机卡；（如联通在本地已无GSM网络，电信无GSM网络）

时间: 2022-4-28 11:01

作者: 涛哥v5

夜里关机

时间: 2022-4-28 11:06

作者: Gratch

手机禁用gsm，除此之外别无他法

时间: 2022-4-28 11:07

作者: Gratch

哪怕运营商退了gsm只要手机支持依然有可能连接w基站。

时间: 2022-4-28 11:10

作者: 375273130

Gratch 发表于 2022-4-28 11:06
手机禁用gsm，除此之外别无他法

小米的手机如何禁用GSM？若通过4636设置 LTE ONLY 或者 WCDMA/LTE 的选项，重启或者是飞行之后又需要重新设置，无法保持。

时间: 2022-4-28 11:10

作者: tommmmmy

夜里都是飞行模式，免得有电话打进来

时间: 2022-4-28 11:11

作者: tommmmmy

还有一个更好的方案，就是2G退网，一阵见血

时间: 2022-4-28 11:37

作者: 马云的云

本帖最后由马云的云于 2022-4-28 11:38 编辑

Gratch 发表于 2022-4-28 11:07
哪怕运营商退了gsm只要手机支持依然有可能连接w基站。

SIM卡里网络列表里把GSM条目去掉就行。（同时关闭漫游功能）

时间: 2022-4-28 11:38

作者: 马云的云

tommmmmy 发表于 2022-4-28 11:11
还有一个更好的方案，就是2G退网，一阵见血

这是终端支持2G的问题，跟网络无关。

时间: 2022-4-28 12:17

作者: lszjyj

电信在这点上具备优势。

时间: 2022-4-28 14:16

作者: winnyterry

唉，又是一个矛盾转移的典型问题。事情的本质是银行或金融机构，在没有得到运营商及其主管部门同意下，私自把运营商的短信功能用作个人或企业金融级安全密保手段。然后由于短信功能的天然技术缺陷，令客户蒙受损失，结果让运营商背了锅。后面就是铺天盖地讨论如何让运营商的短信功能更加安全。这尼玛就是先偷换概念，然后搞乱了逻辑。运营商每个月收几块钱的甚至是送的短信功能，只是提供了最基础的民用通信功能服务，是没有义务或责任去保证你在银行几十万甚至几亿的资金安全的。

时间: 2022-4-28 15:10

作者: mimi.tk

winnyterry 发表于 2022-4-28 14:16
唉，又是一个矛盾转移的典型问题。事情的本质是银行或金融机构，在没有得到运营商及其主管部门同意下，私自 ...

讲的对

时间: 2022-4-28 15:24

作者: winnyterry

mimi.tk 发表于 2022-4-28 15:10
讲的对

要彻底防范，很简单，从根源上，禁止银行或者金融机构在没有征得运营商或其上级主管部门同意下，使用运营商短信平台作为金融级密保认证手段。解决问题了。至于银行或金融机构后面要用什么方法来代替，那是它们的事了。但不论如何，它们选用的认证方法，都要为客户的资金安全负责。

时间: 2022-4-28 16:15

作者: 375273130

winnyterry 发表于 2022-04-28 15:24:22 要彻底防范，很简单，从根源上，禁止银行或者金融机构在没有征得运营商或其上级主管部门同意下，使用运营商...

彻底解决的方法确如你说，但目前个人可以进行防范的方法不知还有什么？

时间: 2022-4-28 16:19

作者: winnyterry

375273130 发表于 2022-4-28 16:15
彻底解决的方法确如你说，但目前个人可以进行防范的方法不知还有什么？

晚上睡觉关机。

时间: 2022-4-28 16:24

作者: Fuv

375273130 发表于 2022-4-28 16:15
彻底解决的方法确如你说，但目前个人可以进行防范的方法不知还有什么？

换u盾或者密码器或者证书，然后把短信验证的限额减少或者关闭。

时间: 2022-4-28 18:56

作者: 通信人家院

winnyterry 发表于 2022-4-28 14:16
唉，又是一个矛盾转移的典型问题。事情的本质是银行或金融机构，在没有得到运营商及其主管部门同意下，私自 ...

听你这样说感觉运营商好可怜啊！真的是，本来就挣不了你多少短信费，甚至是送的短信，结果还要背锅！想想都想掉泪！！

时间: 2022-4-28 19:46

作者: ht_235

银行卡绑定专用的sim卡，该手机卡晚上关机。
一类卡，不要放太多现金，不要开快捷支付。
平时支付尽量用3类卡，或者信用卡。

时间: 2022-4-28 20:50

作者: 虚拟语气

375273130 发表于 2022-4-28 16:15
彻底解决的方法确如你说，但目前个人可以进行防范的方法不知还有什么？

农行关闭快捷支付，但没卵用，只能在无卡支付里面限额。
招行可以用专业版关闭。
工行好像可以关闭，最安全的还是开个卡，里面不放钱或者只放一点只搞网络支付，，平时用花呗或信用卡

时间: 2022-4-29 09:40

作者: chenshengqu

睡觉都飞行模式了，就不会被盗了吧

时间: 2022-4-29 09:52

作者: 88888888888

lszjyj 发表于 2022-4-28 12:17
电信在这点上具备优势。

所以我一直用电信CDMA手机卡绑定账号。

时间: 2022-4-29 09:54

作者: swindly

归根结底是银行把客户认证简化，简单的把短信认证当作客户授权。短信只是发送和展示文字信息的工具，就不应该承担起认证的责任，银行方应该以自己的U盾、APP人脸动态识别等方式验证客户操作真实性。

时间: 2022-4-29 10:04

作者: 加勒比海带6

375273130 发表于 2022-4-28 11:10
小米的手机如何禁用GSM？若通过4636设置 LTE ONLY 或者 WCDMA/LTE 的选项，重启或者是飞行之后又需要重 ...

参考我的帖子，在运营商配置文件中直接删除GSM参数，但是需要root

时间: 2022-4-29 10:13

作者: sola1217

感觉好不安全啊

时间: 2022-4-29 10:19

作者: winnyterry

swindly 发表于 2022-4-29 09:54
归根结底是银行把客户认证简化，简单的把短信认证当作客户授权。短信只是发送和展示文字信息的工具，就不应 ...

U盾、APP、短信，成本最低的又同时能转介责任的就是短信。银行精得很！！

时间: 2022-4-29 10:41

作者: uc浏览器

只要你在国内用手机。大数据窃取信息无所不在，无所不在。你的什么信息他们不知道。这是看你是不是那倒霉的一个。

时间: 2022-4-29 10:50

作者: Fuv

uc浏览器发表于 2022-4-29 10:41
只要你在国内用手机。大数据窃取信息无所不在，无所不在。你的什么信息他们不知道。这是看你是不是那倒霉的 ...

说得国外没有一样，棱镜计划了解一下

时间: 2022-4-29 13:32

作者: aller001

招行的快捷支付，只是在每次转账时打开，确实很麻烦，算是换个放心吧

时间: 2022-4-29 23:31

作者: zhangjijian

我2014以前支付宝的支付密码是21位数字字母大小写，结果那年被强制要求改为了6位数数字密M码，不改就不让用，我怀疑当年支付宝服务器的密码泄露了。

时间: 2022-4-30 11:05

作者: isa肆

感觉现在诈骗手段越来越广了

时间: 2022-4-30 20:27

作者: cp01

375273130 发表于 2022-4-28 11:10
小米的手机如何禁用GSM？若通过4636设置 LTE ONLY 或者 WCDMA/LTE 的选项，重启或者是飞行之后又需要重 ...

正解，LTE ONLY最帅，当然也可以选择一张电信卡，一劳永逸！

时间: 2022-4-30 22:34

作者: hkezh

运营商app早就应该给个人提供2g鉴权开关。要是我的话毫不犹豫关了

时间: 2022-5-2 02:53

作者: Vortex

无感知就是退2G 终端想用户自己切不现实

时间: 2022-5-2 08:12

作者: zlcdc

建议手机默认屏蔽GSM。有需要的人，自己手动打开。

时间: 2022-5-2 10:10

作者: zoucong123

被盗人是否丢失过手机、手机卡？以前有通过手机卡知道银行卡号码和身份证号码的漏洞，现在被封了。如果仅知道手机号码，然后劫持短信就可以知道银行卡号码，盗取金额的话。只能把金融类归集在一张手机卡上，然后不用时关机。

时间: 2022-5-2 20:36

作者: 老周部落

1. 应该是不需要那么复杂，知道手机号码完了直接挨个平台去尝试就行了。
2. 干扰器可以做到干扰 3G/4G/5G 网络，强迫终端注册 2G(GSM 和 CDMA) 网络。
3. 攻防不对称，冻结银行卡来不及，小贷不需要银行卡。

目前最好的防范方式就是终端侧设置为不要尝试在 2G 网络注册，但是目前没有终端支持一键关闭 2G 网络的功能。

时间: 2022-5-2 20:37

作者: 老周部落

lszjyj 发表于 2022-4-28 12:17
电信在这点上具备优势。

CDMA 1X 好像也是单向认证吧

时间: 2022-5-2 22:01

作者: monei

天津联通可以关闭2G

时间: 2022-5-3 22:58

作者: gazing

这就是银行的锅，
谁说手机短信验证码就能代表用户本人了？

这好比你用油条当做门锁一样，
银行和第三方支付公司如此设定，
就是流氓行为。

通信人家园 (https://www.txrjy.com/)