网银支付、银行转账、注册账号、开通服务、找回账号密码……曾被作为人与人之间传情达意主要手段的短信已经时代舞台上退了下来，变成了各种验证码的聚集地，一些需要进行身份验证的个人金融服务尤其离不开短信验证码。

但短信验证码真的安全吗？

“这下一无所有了”

“100多条验证码，支付宝、京东、银行什么都有。”

7月30日凌晨5点，豆瓣网友“独钓寒江雪”被手机的震动惊醒，清醒之后他才意识到，不法分子已将他的支付宝、余额宝和关联银行卡里的余额转走，除此之外，还通过京东金条、白条功能借款10000多元人民币。

豆瓣网友发帖：一夜之间一无所有

该网友随即报警并联系手机运营商办理停机，由于涉事平台起初对当事人的情况并不了解，在索赔无果后，他将自己的经历整理成文发布在了豆瓣小组上。

“这下一无所有了。”这篇字里行间都透露着无助和绝望的文章发出后引来大量网友围观，就在人们惊魂未定之际，8月3日，微博网友“松ad江”一篇《记录一下支付宝，银行app被盗刷的情况》再度引发人们对“盗刷”的关注。

网友 @松ad江 的手机在盗刷过程中不停收到类似的验证码

在这个案件中，罪份子通过支付宝消费、贷款，买单吧消费，建设银行银行卡消费总计盗刷18696.29元，而这一切都发生在8月3号05:01到07:39这短短两个半小时之内。尽管这是一周内网络上曝光的第二起盗刷事件，但根据该网友事后前往派出所报案的反馈来看，类似的案件可能远不止这两起：“3号在派出所报案市公安局正好抓获了一位盗刷嫌疑人，跟我被盗的手法相似度很高。”

事实也的确如此，从上个月月底广州市公安机关召开的“打击新型违法犯罪战果”通报会上公布的数据来看，今年上半年，仅广州市内破获的电信诈骗案就同比增加了77.7%。这些电信诈骗案中，与本月初网络曝光的两起“盗刷”类似的不少——它们大都发生在深夜，受害人也都处于熟睡当中，对手机频繁收到各种金融、网贷业务验证码毫不知情。

那犯罪分子是如何获知受害人的短信内容的？类似的“盗刷”我们又该如何防范？

“GSM嗅探”：成本不到50元

 “对我们圈内人来说，这样的‘盗刷’手段其实一点都不新鲜，”带着疑问，我们与一位移动通信安全从业人士取得了联系，他告诉记者：“虽然目前还没有看到相关的声明和通报，但从案件细节来看，基本上可以确定与‘GSM嗅探’有关。”

何为“GSM嗅探”？

我们都知道，不管是早年的2G/3G、今天的4G还是正在铺路的5G，手机间的通讯很大程度上都要依赖运营商铺设的网络基站。以通话为例，当我们掏出拨打电话时，手机会向附近的基站发出通话请求，基站需要根据一定的识别凭据判断我们所处的基站覆盖范围，然后才能尝试与目标手机建立连接：如果对方与我们距离较近，通话数据只用在当地基站间传输，这就是本地通话；如果双方距离较远需要与其他基站进行连接，就需要进行传输距离长、过程更加复杂的长途通话了。

基站是连接移动设备的关键节点

值得注意的是，网络基站默认以无线电波的形式向四周发送信号的，在没有储存在SIM当中的IMSI识别码和通信协议的前提下，任何设备都能在基站覆盖范围内接收到该基站发送的所有信息。这同样也是伪基站垃圾短信的作案原理——只需借助一台大功率的伪基站设备，犯罪分子就能像四处派发小广告那样向伪基站附近的手机推送垃圾短信。

更重要的是，使用GSM协议的2G通道今天依旧没有完全被淘汰，而2G通道所使用的网络架构方式是完全开源的，进行传输数据时缺少必要的加密保护。毫不夸张的说，当下以2G为主要承载方式的短信内容，几乎是在空气中明文传输的。

收到大量验证码短信的同时，这些短信内容也被“GSM嗅探”方获知了

而没有加密的GSM短信传输也就给了不法分子可乘之机，借助一些特殊的监听设备，他们就能在GSM短信传输的途中读取这些短信内容。

这里的“特殊设备”看似高端，实则非常廉价。

据相关人士介绍，“GSM嗅探”技术早在2010年左右就已经趋近成熟。2012年，GSM协议实现方案osmocomBB完全开源后，稍有阅读能力的人都能在无需掌握复杂网络通讯专业知识的前提下对GSM协议和功能进行增删。目前主流的“GSM 嗅探”技术就基于osmocomBB开源项目。

在此基础上，“GSM嗅探”的相关中文教程也在2013年左右出现在了国内。根据这套教程，制作一套用于“GSM嗅探”的设备所需材料在淘宝、京东等常见电商平台上都能买到，一部10块钱左右、带数据线的二手摩托罗拉C118功能机，加上一个最便宜只要二三十元的USB转串口模块，总成本还不到50元。

制作“GSM嗅探”设备常用的摩托罗拉C118价格已跌破10元

在这些廉价设备的基础上，只需将修改后的osmocomBB固件编译并刷入手机，一台可用于监听附近短信内容的“GSM嗅探”工具就制作完成了。

防不胜防，2G“退休”迫在眉睫

既然“GSM嗅探”是早就已经成熟的技术，门槛也如此之低，为何与之相关的犯罪事件到最近才开始集中出现呢？

这里的原因主要有四点。

首先，软、硬件门槛正在不断降低，“GSM嗅探”的核心部件成本已经从五年前的二三十元降至现在的十元不到，与之相关的编译、刷机教程则跳出了最初的“极客圈”，稍有阅读能力和动手能力便能实操。

其次，近年来移动支付和电子商务的发展已经让手机成为“验明正身”的关键一环，网银支付、银行转账、注册找回账号这类与个人财产安全息息相关的行为也大多与手机挂钩。

再次，不管是社交媒体、在线支付平台还是网上银行，我们日常生活中所接触到的各种网络服务基本上都已实现实名制，不法分子通过伪基站“撞库”等行为即可轻松获取我们的隐私信息，进而借助“GSM嗅探”实施“盗刷”。

“GSM嗅探”教程如今更以“新手”难度呈现

最后，稍加留意其实不难发现，尽管目前各大运营商都在逐步“退休”2G网络，但距离2G完全退出历史舞台还为时尚早。市面上不少双卡双待手机依然采用的是“单4G”待机模式，喜欢“一张4G流量卡用来上网，一张2G通话卡用作日常联系”的朋友，更是直接暴露在了GSM短信嗅探的风险之下。

正因为如此，具体到“如何防范”这个问题上，我们可以实际操作的部分其实十分有限。虽然对移动、联通用户而言，开通VoLTE服务让短信通过3G/4G网络传输的方法就能有效增加短信监听的难度，但仅凭个体用户的努力效果显然十分有限，打击“盗刷”需要用户自身小心谨慎、需要公安机关加大惩治力度，更需要运营商加快推进VoLTE甚至是RCS融合通信业务。

那些挤满了短信收件箱的验证码所承载的其实早已超出其本身安全性所能承受的限度，让GSM短信早日“下岗”，早日完成2G退网才是防范“盗刷”的关键所在。

http://www.beefix.cn/article/67E7E416-A16D-C817-D921-DAECCC037B60/show

帖子原文：

手机里的钱一夜被转走，到底发生了什么？

https://www.douban.com/note/685364991/

这下一无所有了。

这是豆瓣网友“独钓寒江雪”于8月1日零点之后发表的文章标题。该网友称其在7月30日凌晨5点多醒来后发现手机一直在震，接收了来自支付宝、京东、银行等的100多条验证码，然后发现“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能，借走一万多”。

从其描述可知，该网友是家住深圳的一位女士，她说在发现上述情况后第一时间打电话报警、打移动停机、找支付宝报理赔，“这两天跑银行查流水、打110求受理、跑派出所录口供、打支付宝客服、京东客服、打苹果客服……各种心力交瘁，见识了各种推诿扯皮，不作为。”

事情的大体情况

她贴出了一些短信验证码、京东金融发来的短信提醒、交易记录等截图，时间都是在7月30日凌晨1点至4点之间。见下图：

同时，她也贴出来与京东金融交涉的图片，表示自己没有提供过开通京东白条的个人资料，但京东金融审核通过，并已欠了1万元。

毕竟是财产丢失，加上对个人信息泄漏的恐惧，“独钓寒江雪”说她现在“巨难过”。她这两天陆陆续续补充了一些最新进展，记录在了iPhone备忘录里：

“独钓寒江雪”后来再次进行了补充，显示是8月3日，其实应该是昨天（8月2日）：

今天京东打来2次电话，表示还是要我个人承担金条贷款。我表示还是这个答复就不要联系我了。打银监会电话反馈，没接，加上我一直在忙体检，他们也是2~5点工作时间才接听，就没有再打了。 中午打给派出所，询问立案没有，接电的问我谁给录的口供，我说不认识那个警官，他说那查不了，没权限；他说报案了就等通知吧。我说那受理回执什么的呢？他说不清楚，我问是不是录了口供就有凭证，然后那边又问了下后，说有的，过去再说。服。

这位“独钓寒江雪”（以下称“叶女士”）今天应该是拿到了深圳市公安局新城派出所的受案回执：

以上基本是事情的大体情况。

支付宝和京东的应对

叶女士在其帖子里附上了一个6月8日腾讯“守护者计划”公众号发布的一则《几条奇怪的短信，竟能卷走半辈子的积蓄，咋回事儿？》，猜测自己是不是遭遇了文中所描述的“GSM劫持+短信嗅探”。

在虎嗅昨天上午看到这个帖子后，立即向腾讯玄武实验室负责人TK咨询叶女士是不是遭遇了“GSM劫持+短信嗅探”。TK回应虎嗅：“即使假设她发的信息都属实且没有故意遗漏、假设她的描述准确无误，这个（其他的）可能性也比较多，没办法猜。”

他认为叶女士存在被黑客“GSM劫持+短信嗅探”的可能。但这也只是一种可能，可以通过很多方式实现用户手机一夜之间被盗刷，包括运营商里存在内鬼、手机中了木马等等。

与此同时，昨天（8月2日）我也联系了支付宝和京东金融的工作人员进行核实。

支付宝这边说：“了解到这个事情后，我们昨天凌晨（8月1日，也就是豆瓣帖子发出来的那个凌晨）成立了小组，正在追查这个case，查一查被盗刷原因以及拒赔的理由。”

后来支付宝经过初步了解，这位网友在支付宝上损失了900多块，“她支付宝这边的钱，其实不是单纯的盗刷，而是买了Q币”。目前支付宝不确定是哪种情况导致的，初步认为该网友存在比较彻底的信息泄露，不排除熟人作案的可能。

今天上午，支付宝向虎嗅透露了对这件事的进一步处理结果，认为可以对该用户进行代位赔偿。代位赔偿是指用户从支付宝领取到补偿款后，用户将与盗用者之间的侵权之债转让给支付宝，支付宝直接向盗用者主张权利，用户不再就上述款项主张任何权利。用户可以提供本人身份证、报案回执以及代位求偿函给支付宝，支付宝先行将款项补偿给到用户。此处@独钓寒江雪。

昨晚，虎嗅向京东金融了解这位网友反映的“京东方面让其个人承担金条贷款”的情况，京东金融今天上午给虎嗅发来了一份声明：

经过调查，这是不法分子通过GSM+短信嗅探的技术实时获取用户手机短信内容，进而窃取用户信息、盗刷用户账户进行的网络诈骗。短信嗅探的原理是不法分子可以在伪基站范围内获取到用户收到的的所有短信，而与此同时用户却毫无知觉。基于短信嗅探技术的新型黑产网络诈骗已经危及到了部分用户的财产安全，导致用户在各大银行、互联网平台都受到了不同程度的资金损失。 京东金融对此事高度关注，并设立了专门的盗刷案件处理通道，针对用户反馈的情况我们会第一时间对案件进行核实。秉承用户利益为先的原则，我们会对被确认盗刷的用户账户进行先行垫付，免除用户的还款责任。

也就是说，京东金融免除了叶女士被“借”走的这1万元，同时京东金融认为这是“不法分子通过GSM+短信嗅探的技术实时获取用户手机短信内容，进而窃取用户信息、盗刷用户账户进行的网络诈骗”的行文，跟叶女士贴的受案回执上的表述类似。

京东金融的工作人员上午对虎嗅说：“目前已经联系了对方，问题已经解决了。”

但支付宝方面根据技术人员的分析认为，这起诈骗事件不能简单地认定为是通过“GSM+短信嗅探”来实现的。对方认为iOS系统出现木马病毒的可能性相对较小，通过木马病毒只刷了900多块钱，这个成本太高了。

根据支付宝追溯的结果，该用户的支付宝在那晚进行了几笔交易，其中两笔是提现到了叶女士自己的银行卡里，只有一笔交易是消费交易，就是上面说的930多元，用来购买了Q币。

支付宝一开始判定这是正常的提现行为，所以就有了叶女士说的支付宝拒绝赔付。

支付宝在追溯的时候还发现一个问题，就是该网友的账户当时是在一个非常用手机上登录，而支付宝在非常用手机上登录需要层层验证，其中很重要的一个验证是手机验证码，而手机验证码是有实效性的（一般为60秒），盗刷的人是如何获取手机验证的……还有很多问题待解。

目前支付宝还没有给到虎嗅一个明确的结论。

TK在接受了虎嗅采访后，今天下午又在微博上说起了这事儿，给出了更详细的解析：

TK补充说：“受害人用的是iPhone，所以我本来想直接说也可能和iCloud有关，但怕被果粉喷，所以换了‘短信自动云端备份’这么一个说法。”

目前这起案件还存在诸多疑点，在警方没有给出结果之前，我们不好妄加揣测。但该案中，这位网友和支付宝、京东金融都是受害者。

该案如果真如叶女士所言，说明黑客的技术手段又进化了。就以本文频繁出现的“GSM劫持+短信嗅探”技术为例，黑客惯常在你睡觉之后对你的手机进行短信嗅探，让你毫无察觉。

怎么来杜绝或防范呢？腾讯守护者计划给出了阻止短信嗅探的方法，建议采纳：

1. 平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护； 2. 最简单的一招就是睡觉前关机。手机关机后就没有了信号，短信嗅探设备就无法获取到你的手机号； 3. 如果没有关机，早上起来看到奇怪的验证码短信，一定要想到可能是遇到短信嗅探攻击了，赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了，火速冻结银行卡，报警。

说到这儿，就得多说点儿了，打击黑产应该成为一种全民共识。随着中国移动支付越来越普及，无论是支付宝还是微信支付、各种银行手机App已经成为我们日常的支付工具，从目前来看，网络诈骗和黑客的手段越来越高明，已经脱离了短信诈骗的低级趣味。而打击网络黑产在过去两年已经成为各大互联网公司的共识，但这不是靠一己之力可以做到的，需要全社会形成联动，包括政府、公安、运营商、企业和个人都应该成为打击黑产的一部分。同时，各大互联网公司在打击黑产方面应该搁置竞争、共同协作。

今天早上，虎嗅试图联系叶女士，我在豆瓣上给她发了两次私信，但对方至今未回复。

就在今天晚上19:25，我看她在半个小时前发了条微博（账号：-美年达芬奇），她似乎对京东免除她的还款责任还有疑虑，而京东方面上午已经告知她免除她的还款责任了。

随后，我给她微博发了私信，问她京东、支付宝方面是否已经对其进行了赔付处理，以及警方是否已经立案调查。微博显示对方已读，但截至发稿，对方未给予回应。

一夜醒来，放在枕边的手机收到几十条银行短信。银行卡，支付宝里的钱全部被人转走，甚至还替你借了网商贷，不单止辛苦多年的积蓄全都没有了，还欠了银行一屁股债，这不是小说里的情节，最近这样的手机盗刷案件在国内频繁发生... 下一个没准就是你

本文篇幅有点长，但如果你不想辛苦打拼几十年的财产被人一夜盗走，请耐心看下去，并按文章末尾推荐的方式赶紧做好手机和资金账户的防范措施！

近日里，微博一位网友的真实经历引发了诸多人的担忧，在他8月4号的一篇博文《记录一下支付宝，银行app被盗刷的情况》里记录了这样一件让人匪夷所思的事。在2018年8月3日凌晨5:01-7:39分之间，该网友还在熟睡时，不法分子通过盗取它的支付宝和银行账户进行消费和贷款，总计盗刷了18696.29元。期间，该网友的手机就放在枕头边，而银行卡也在家里，银行密码什么的也没被别人知道，这到底是怎么一回事呢？

如果你本人曾经开通过支付宝或者手机网银，应该还有点印象，这些财务App的开通和登陆，都是用手机号+本人姓名+身份证号+银行卡作为验证方式的。曾几何时，这样的验证方式还算靠谱。毕竟手机是在自己手上对吧，当你接收从银行发过来只于60秒内有效的验证码，再填到验证框去，这一切看起来都哪么天衣无缝，以至于人们觉得足够安全后为了简便，很多App的登陆或绑定方式就简化为了手机号+验证码的方式。但这样一来，就给不法分子留下了可乘之机。

GSM劫持+短信嗅探是什么？不法分子是怎么通过该方式盗取我们钱财的

我们现在用的手机，无论你是用的华为小米，还是苹果iPhone，又或是支持什么4G、4G+网络的，其实通通都是由GSM制式走过来的。手机网络的发展是从 1.0（模拟通信）-> 2.0 （GSM）-> 3.0 (3G) -> 4.0（4G/4G+）。在手机网络2.0，也即是我们称之为GSM制式的时代，手机语音和短信第一次以纯数字信号的方式进行传输，由于年代久远加上当时的技术限制，GSM制式下手机的短信是单向鉴权并且是以明文方式传输的，什么意思？就是说如果今天你的手机收到一条短信，并且是在GSM制式下收发的话，基站（移动运营商端）只会验证手机是不是真（该网络运营商旗下的）的，但手机不会去甄别这个基站是不是真的（是不是真的该网络运营商的）。这个漏洞就造成了伪基站（一种犯罪分子打造的小型基站用以在小范围内代替运营商真基站并实施犯罪的设备）的兴起。在最开始，不法分子的脑袋还不是太灵光，他们只利用伪基站向附近的手机发送些垃圾广告内容，到后来这种短信自动被一些短信拦截App给屏蔽了，也就没人再用了。他们就开始升级到假扮运营商或者某些大网络公司的服务，用手机短信给你发一个网址从而盗取用户的隐私信息或向用户手机植入木马。时至今天，网络金融在中国得到了长足的发展，各种网络金融App，网上银行App及各种外卖和电商平台的盛行，给这些不法分子营造了绝佳的盗取资金的机会。

不法分子采用的短信嗅探软件显示界面

在当下的中国，个人隐私（包括手机号，姓名，身份证和个人头像，银行卡号）基本已经不是隐私了，在网络黑产那里可能只需要报个手机号加几十块钱，就能拿到以上的全套信息。这时候不法分子所需要利用GSM劫持+短信嗅探技术完成盗刷的基本条件都已经具备。首先，不法分子会利用网上购买或者按教程教授的方式组装的小型GSM劫持设备，游荡在你的周围（方圆500-1000米），收集附近的手机号（通过截获最近一段时间的短信及其内容，上面都会带有你的手机号码，用的什么网络软件，大概用了些什么服务），然后不法分子会通过短信截获的内容判断目标的价值，譬如那些经常转账，或者某某银行卡、支付宝到账的，会优先列入目标范围。然后他们就会想办法搞到这个手机号的联系人信息（包括姓名、住址、身份证号银行卡号等），这些信息可能泄露的途径有（各种外卖平台的信息泄露、快递信息泄露、网上注册某些网络贷款的信息泄露及电脑或手机中了木马的信息泄露），最后在目标名单里也从网上买到了隐私信息后，犯案就开始了。

不法分子使用的GSM劫持及短信嗅探设备

不法分子首先会挑一个凌晨（这样你就在熟睡中，手机也可能开了静音什么的），然后先利用像是饿了x/美x或者移动运营商服务这样的平台，输入你的手机号，让他们向你发送验证码。并用该验证码登陆你的饿了X账号或者移动网上营业厅，顺便也查一些信息，像是饿了X或者美X这种外卖平台，用手机号+验证码登陆后，能查看到你的家庭住址。如果再多过2-30分钟，仍然能用新修改的移动和通信密码登陆网上营业厅，则说明受害人熟睡或者不在手机旁，这时候犯罪分子就开始大胆操作了。他会先用“短信验证码登陆”方式登陆支付宝，然后修改支付宝支付密码，之后就先把支付宝里的余额通过转账或网上消费的方式进行盗取，这还不够可恨，由于现在支付宝属于很强势并且用户众多的手机App，很多银行都对此作了通道优化能让你比较便利的绑定名下银行卡，接下来犯罪分子会通过网上购买到你的银行卡信息，通过支付宝挂靠你的银行卡，开始用支付宝做网上购物或网银转账操作。如果银行卡里没钱，会通过支付宝开通网商贷或者借呗等先贷款到银行卡上，再进行透支消费。总之，一旦不法分子登陆了支付宝后，并且你没有做进一步的验证措施（支付宝也有增加验证强度的方式，但一般人都没有做，这个会在后文提到），那损失就会如微博那篇文章那样了。具体操作手法什么的就不便分析得太具体，以免让坏人有样学样了。

那我怎么防范GSM劫持+短信嗅探？

就目前来说，其实GSM劫持已经不是新鲜事了，这事情4-5年前随着伪基站的诞生就已经存在了，问题是中国幅员辽阔，而GSM手机制式（设备）也沿用了十几年，是中国也是现今世界上最大的一张手机网络，这里涉及的设备和系统千千万万。再加上GSM（2G）模式下的短信明文传输和单向鉴权都是协议上的漏洞。只要手机运行在GSM 2G网络下就一定能被利用，说白了就是米已成炊，于事无补，在运营商那边来说只能劝用户尽快升级到4G网络上去（2G全面退网），也就是说靠移动运营商层面来解决这个GSM劫持+短信嗅探问题不现实。

在网络金融和网银App方面防范这个GSM劫持+短信嗅探是有可能的，但这需要众多手机应用增加新的验证方式，并更新他们的App，这个需要一定的时间，但我相信负责任的大厂（像是支付宝其实已经有这样的功能了，但默认是关闭的）还有本应固若金汤的手机网银App会很快跟进。方法是 1）取消单纯的手机号+接收验证码即可登录甚至还可以修改支付密码等功能 2）在最后的支付环节或修改支付密码环节增加指纹或人脸识别步骤，并且该步骤开启后，需要指纹或人脸识别才能关闭。

但远水解不了近火，如果在这些软件更新前你就中招了，那怎么办？

一、首先你们要了解到，GSM劫持是因为手机使用了GSM制式下的2G网络，目前在中国只有中国移动和中国联通2G下是GSM制式，中国电信2G下是CDMA制式，是无法被短信嗅探的。因此，如果你是中国电信用户，或者有中国电信的手机卡（我知道最近很多开了中国电信家庭光纤宽带的，是附赠了无限手机流量套餐手机卡的），可以把支付宝或网银手机号临时改成中国电信的，这样100%就能避免被短信嗅探的问题。

二、网上有人说，晚上睡觉手机关机。的确，手机关机了，由于手机不在网络下，运营商不会向你发送短信验证码，自然不法分子后续的操作都无法实施，也是100%有效。但对于工作繁忙，或者有时候怕家里出什么事的人来说，一晚上关手机造成的损失可能比银行资金被盗取更大。所以这种方法也不太可取，那有没有不换手机号为中国电信，又或是晚上睡觉不关手机又能防范GSM劫持+短信嗅探的办法呢？答案是有的

中国移动和中国联通用户如何不关手机防范GSM劫持+短信嗅探

1）手机层面的加固。目前中国移动基本在国内全面开通了VoLTE服务，关于VoLTE（语音+短信全走4G网络）服务我们晚些会有篇文章专门说明。这里就简单说一下，当你的中国移动手机开启了VoLTE服务后，无论是语音通话还是手机短信，均会改用4G网络制式，而4G网络制式下手机短信是要双向鉴权的，也就此堵住了不法分子利用的漏洞。可问题是，VoLTE服务严重依赖4G网络，也就是你必须先给手机号开通4G服务，同时在4G网络信号不好或者没有4G网络的地方，手机仍然会自动降为2G网络（这样漏洞就会再次出现，你很难确保什么时候是什么时候不是）。此外，不法分子会利用自制的干扰器压制该区的4G信号，欺骗你的手机降级去连接2G网络，从而又落入GSM漏洞的圈套。再有，中国联通目前仅于部分省市开通了VoLTE服务（中国绝大部分城市都没开通）。所以单就手机启用VoLTE服务能起到一定的作用，但不能完全杜绝。

对于持有iPhone6及以上，或者这2-3年出产的OPPO，Vivo，小米或者华为手机，也是用中国移动网络的，我们当然是建议开启VoLTE服务。开通方法也很简单，向10086发送短信“KTVOLTE”（没有另外收费，不对现行资费套餐有任何影响），几秒内就生效。之后，iPhone用户需要在设置->蜂窝移动网络->蜂窝移动数据选项->启用4G（改为语音与数据），就算完整启用了。而安卓手机由于平台众多不能一一列举，你们也只需要在语音通话设置项里找一下，什么HD通话或者高清语音通话功能的，打开便是。

VoLTE服务成功开启后，苹果手机是没有任何提示的，但安卓手机一般会于手机顶部通知栏显示HD字样，意指高清语音功能开启。而如果你想甄别一下手机是否真的开启了VOLTE功能，可以试着用你的手机拨打任意电话，如果此时手机信号从4G降为2G，则说明VoLTE模式没有开启成功。如果打电话途中还是显示4G字样并且能正常上网的，那就是VoLTE开启了。

对于某些网上用户提议的开启安卓手机上的防伪基站功能，其实在短信嗅探环节里是不起作用的，就是说该功能对本次GSM劫持+短信嗅探攻击不起防护作用。你们别听到人家说开启了防伪基站功能或用了华为带防伪基站功能的手机后就高枕无忧了。

设置->蜂窝移动网络->蜂窝移动数据选项->启用4G（改为语音与数据）

2）支付宝开启高级验证。从上面不法分子的犯案步骤可以看到，他们都是用手机号+验证码方式登录支付宝，那有没有一种方法，能让现有的支付宝版本就能在手机号验证的时候多加一道安全验证措施呢？答案是有的。你先升级iPhone最新版的支付宝，然后找到于“我的”页面->右上“设置”->安全设置->安全中心->暗号。该功能会要求用户拍摄一张照片，或者自己画一张图片作为暗号，一旦用户于非常用设备（就是新设备）登陆支付宝，除了短信验证码外，还会要你从9个相似图片里找到这个暗号，只要你答错一次，支付宝的风控就会启动。但美中不足的是，这个暗号是把一张自己的图片+随机抽取的8张图片混在一起给你挑选，也就是说，不法分子随机挑选碰中的机会也有1/9。这方法是给不法分子增加了难度，但还是有一定几率被撞破，无法做到100%防护。

“我的”页面->右上“设置”->安全设置->安全中心->暗号

3）对你的资金账户投保。在开启了VoLTE功能，并于支付宝加设了暗号后，就像上文所说的，还是不能100%防范，所以我们还要继续加强保护。现在，返回到支付宝“我的”页面，进入“总资产”项，在最顶部你的ID旁边，有一个“账户安全险保障中”的，点击进去你能看到一个“支付宝账户安全险”外加“银行卡安全险”。“支付宝安全险”就很好理解了，在支付宝余额里的钱如果被盗刷了，100万以内支付宝会赔付。另外一个“银行卡安全险”如果你之前没开通过的，可以在我的银行卡底部找到这个开通连接。该保险的协议内容是你名下所有银行卡资金被盗刷的话，就赔，几十块钱保几万就够了。

4）睡觉时手机开飞行模式但打开wifi。如果家里人跟你同住，或者家里有座机的，在支付宝和各大网银App升级软件安全功能前，还是建议晚上睡觉时手机开飞行模式后，开wifi（这样手机信号是关闭的，但又不影响微信，iMessage或者一些网银App的通知，支付宝和网银那些一旦有资金变动现在都是第一时间有推送通知的，而推送通知只要手机能连上网便可收到）。

http://iphone.poppur.com/Apps/7953.html

NINGBOCAT: 我还要说一句，重要的资金可以不要用银行卡，而是用银行存单或是存折。限定取款时的条件：身份证+密码, 不能仅凭密码取款。当然，这个是对资金的流动性有巨大的影响，只是一种很无奈的，过时的方式。

说到底还是要所有银行或是购物网站不要只靠短信验证码就找回密码或是转走所有钱！！

现在支付宝的安全级别可以开得很多，一定要把的所有验证开起来，可以说还是绝对安全的！

像是：人脸识别，声音识别，暗号验证等。