近日，网友“独钓寒江雪”发表一篇题为《这下一无所有了》的帖子，称其在7月30日凌晨5点多醒来后，手机便一直收到短信息，总共100多条，这些信息是分别来自支付宝、京东、银行等的短信验证码，然后发现“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能，借走一万多”。

据媒体报道，类似的案件已经在厦门、福州、泉州等地发生10余起，涉案金额10多万元。

警方介绍称，在破获的这些案件中，不法分子利用电子嗅探设备远距离非接触式盗刷他人账户。犯罪嫌疑人通过非法购买短信嗅探设备，在深夜利用GSM通讯协议漏洞，拦截用户手机信息，利用银行或其他APP手机短信验证码登陆受害人金融账户，秘密转走受害人资金。

那对于普通用户来说，这就无解了吗？相对而言，这是GSM协议中存在的bug导致的，要全面封堵还存在一些难题。不过个人若是一直能养成良好的手机使用习惯，减少可能被嗅探的风险也不算太难。

首先，这是基于GSM网络协议发起的攻击，GSM劫持是因为手机使用了GSM制式下的2G网络。在中国，目前只有中国移动和中国联通2G下是GSM制式，中国电信2G下是CDMA制式，所以可以天然免疫GSM嗅探这种攻击方式。因此，如果你是中国电信用户，可以把支付宝绑定手机号、网银预留手机号等改为中国电信的号码，这样100%能够避免被短信嗅探的问题。

其次，对于中国移动和中国联通的用户来说，想要一劳永逸，可以办理一张电信副卡专门用于接收短信验证码；除此之外，以下这些安全策略也可以有效防范GSM劫持+短信嗅探：

1、禁止手机终端连接GSM网络，开通VoLTE，移动使用“仅4G”，联通使用“仅3/4G”模式。

2、科学设定密码。为避免一个平台被盗引起多个平台被盗的情况，不要使用自己的手机号、姓名全拼或首字母、生日缩写。重要密码不要与常用密码相同或者相关，需要定期更换。

3、平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护。

4、晚上睡觉前关机或者打开飞行模式，这样手机不会连到伪基站，基站获取不到手机的状态信息就不会将验证码短信发送给手机，不法分子获取不到手机号码和验证码短信。

5、如果早上起来，看到半夜收到奇怪的验证码短信，要想到可能是遇到短信嗅探攻击了，赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了，火速冻结银行卡，保留短信内容，报警。

6、这种攻击需要借助 2G 网络，有时候不法分子会用伪基站让手机掉到 2G 来拦截语音短信和联网数据。当你的手机在平时信号很好的地方突然掉到 2G，就要小心附近是不是有伪基站和 GSM 嗅探了，并采取以上方式防御！

本次漏洞的关键是被不法分子嗅探出了短信内容，这也是突破点，如果我们能把这个漏洞封堵住，也就基本上算是躲避了危险。随着运营商2G退网行动的完成，这种攻击方法也会渐渐成为历史，但以后肯定还会有新的攻击方法出现。不过大家不必太过担心，记住，最关键的还是要保护好自己的个人隐私和密码。