道客优

近日，中央电视台焦点访谈栏目播出了一个关于新型电信诈骗的案例。事实上，根据案例中的具体情节，这已经不算是"诈骗"了，因为整个过程，受害者几乎没有任何察觉，直到看到手机上收到银行卡扣款提醒时才惊觉，但大部分时候都已为时已晚，从这个角度看，已经不算是"骗"，而是"偷"。

"骗"和"偷"是完全不一样的，面对"骗"，普通民众只需要提高警惕，避免直接向犯罪分子透露个人信息，就能规避被骗的风险。但是，面对"偷"，普通民众似乎无能为力，什么事都做不了，因为等受害者反应过来，损失已经造成了。这是最让人担忧的地方。

那犯罪分子是怎么悄无声息地做到这一点的呢？事实上，从其犯罪过程来看，其作案手段称不上有多高明，技术也没有多先进，只是在传统电信诈骗的技术手段上进行了简单的升级，下了更多苦功而已。

传统电信诈骗中，犯罪分子一般都需要跟受害者进行接触，以套取其个人信息，比如银行卡卡号、身份证号码，甚至直接套取支付密码和提款密码，但经过了各种惨痛案例的教育和各方不遗余力的宣传之下，大部分民众对于传统传统电信诈骗已经有了一定的警惕心，一旦涉及其个人信息，就会意识到有问题，这样传统电信诈骗的犯罪分子就无法继续诈骗行为。

而新型的电信诈骗中，犯罪分子却无需跟受害者接触，而是通过一些技术手段嗅探受害者的短信验证码，然后经过一系列颇有耐心和技巧的操作，以获取受害者全套个人信息，从而达到侵害他人钱财的目的。

我简单还原一下整个作案过程：

第一步：犯罪分子在夜深人静的时候潜伏到居民区周围，通过简易的伪基站（摩托罗拉118作为天线，配套特定的软件系统）搜取附近用户的手机信息，包括手机号码。

第二步：犯罪分子通过一些网络干扰器，让受害人的手机信号回落到2G网络。为什么是2G呢？因为2G网络安全性较差，犯罪分子可以嗅探和破解受害者的信息，这一点后面详细说。

第三步：犯罪分子利用搜取到的手机号码，采取"手机号码+动态验证码"的方式去登陆一些存放钱财的APP，比如支付宝，或者各大银行的APP。但是，要实现转账需要集齐用户的姓名、身份证号码、银行卡号码、手机号码、动态验证码，现在犯罪分子手上只有手机号码和动态验证码，该怎么办呢？

第四步：犯罪分子利用手机号码+嗅探的动态验证码去登陆其他APP，比如，案例中犯罪分子通过登陆飞猪旅行，在旅行保险中可以获取到用户的姓名、身份证等个人信息。

第五步：最难搞的是银行卡号码，现在几乎所有APP都只显示银行卡的后四位，犯罪分子是怎么干的呢？这一步是有点技术难度的，犯罪分子通过充值中心等获取到银行卡的后四位和归属银行，然后通过专门的脚本结合其他信息来"跑"出完整的银行卡号。当然，这些在地下市场中已经有完整的产品和服务。

第六步：然后就直接开干了吗？不，犯罪分子也追求效率，他们会去分析手上每个人的经济能力，以挑选最合适（最有钱）的作案对象。比如，他们会去查受害者的银行卡账单、花呗/借呗/京东白条的额度、蚂蚁积分、淘宝消费记录等等，以此去评估谁更有钱。

第七步：选定好作案对象后，他们就开始通过免密支付的方式开始疯狂地转走受害者的钱财，一个动态验证码最多可以转走4999元，如果运气好的话，他们在几分钟内就能卷走受害者银行卡中所有余额。这就完了吗？还没有！银行卡卷空后，还有花呗、借呗、京东白条等等各大APP的类消费贷产品，分分钟让用户欠下巨额债款！

那到底谁应该为这样的骗局，准确来说是偷盗案件"背锅"呢？

我们分析一下全过程，会发现犯罪分子之所以能成功，主要是利用了两个关键的"弱点"：第一个是2G网络的安全漏洞；第二个是"手机号码+动态验证码"这个万能钥匙。

先说2G的问题，由于GSM只有单向鉴权加密，手机无法确认网络的合法性，导致伪基站有机可乘，这个问题在2G、3G时代为祸已久，而在4G网络已经基本基本解决， 4G网络通过增加基站和手机之间的双向鉴权认证、信令消息强制性完整性保护、增强安全算法和密匙等方式，基本上从技术层面解决了"伪基站"的问题。但道高一尺魔高一丈，犯罪分子通过重定向至2G伪基站攻击，通过伪基站进行网络干扰，迫使目标手机触发重定向请求，回落至2G网络，从而实现信息的嗅探和破解。

在这个事情上，电信运营商要背一部分的锅，毕竟网络的安全性应该是他们要确保的。不过，这更多的是GSM网络的技术问题，运营商只是网络技术的应用者，技术本身的缺陷，它们本身也是受害者。与此同时，近些年来运营商也已经在积极配合执法部门去打击伪基站问题。

另外一个层面，运营商通过不断升级网络去试图根治这个顽疾，比如，按照5G的技术体系架构，到5G时代将彻底解决这个问题：5G网络将实现基于网络和UE辅助的伪基站检测，主动发现并打击伪基站，通过5G终端侧和网络侧双向打击，伪基站将再无藏身之地。

再看"手机号码+动态验证码"这个万能钥匙。当前，大部分互联网公司为了方便用户，都会提供"手机号码+动态验证码"的方式来供用户快捷登陆，或者忘记密码后重新设置，但此举方便了用户的同时，也方便了犯罪分子。

互联网公司这个"锅"，其实它们背得不怨，至少在两个事情上，它们做得并不到位：第一，过分依赖、信任用户的手机号码，它们默认用户的手机一定是用户本人使用，但事实上，这是一种人为的误解，也是一种"懒政"，互联网企业有必要制定一套与"手机号码+动态验证码"相制衡的验证机制；

第二，互联网企业缺乏对用户私人信息的二次保护，比如只要登录app后，用户的一切信息都一览无余，从姓名、身份证号，到家庭住址、社交关系等等，都能够随意查询，就跟打开一座金库大门后，里面所有的金子都随地堆放着。

作为普通民众，面对"魔高一丈"的新型骗局应该怎么办？

其实在庞大的电信运营商和互联网企业建构的巨型网络面前，普通民众能做的自我保护措施其实非常有限，比如，你不提供个人的真实信息，你在互联网上根本寸步难行，开不了支付宝、实现不了网上购物、买不了机票/保险，等等，就跟一个石器时代的原始人来到了现代生活。

但一旦你为了享受便利而交出了你的个人信息，你就要面临你的全部信息随时有可能被不法分子掌握，进而侵害你的利益，这就如同一把双刃剑。