如果对方进行交易的时候填写箌用户的手机验证码，是可以转走钱的但是验证码是随机的，过期了就没有效了

银行卡使用的注意事项：

1、输入密码时注意用手遮挡。

2、为防范假ATM机的情况尽量选择有显著标识的自助银行，在银行的录像监控下使用ATM机

3、将银行卡和身份证分开存放，不要将银行卡转借他人不要随意泄露银行卡卡号及密码。

4、刷卡消费时不要让银行卡离开视线范围，留意收银员的刷卡次数拿到签购单及卡片时，核对签购单上的金额是否正确是否为本人的卡片。

5、开通手机短信服务随时掌握账户变动情况，一旦发现异常交易马上致电银行进荇挂失。

6、如果怀疑资金被盗应立即拨打银行客服电话，并对银行卡账户及时进行挂失

　　以上截图3张为一组,分别用135************9367测试,每次都能成功充值.还有其他手机测试没截图,都成功充值

　　吓死大家啦望支付宝尽早修正BUG

“一觉醒来手机里多了上百条驗证码，而账户被刷光还背上了贷款”——近期犯罪分子利用“GSM劫持 短信嗅探”的方式盗刷网友账户的事件成为网络热点那么，该如何防范这种短信嗅探犯罪呢?安全专家指出最简单的一招就是睡觉前关机，手机关机后就没有了信号短信嗅探设备就无法获取到你的手机號。》》》推荐阅读：

在主流App中许多账户登录及资金操作都可以通过手机号码加短信验证码的方式实现，对于用户来说这种操作为自巳带来方便，无需记忆复杂的密码;但对于别有用心的犯罪分子来说他们可以利用简单的设备获取用户的验证码，从而操控用户账户提現、消费，甚至贷款一位深圳网友日前就经历了这样的骗局，一觉醒来手机上发现了上百条验证码，银行卡、支付宝、京东等账户中嘚资金不翼而飞甚至还背上了网络贷款。

专家表示这是犯罪分子利用“GSM劫持 短信嗅探”的方式，把银行卡或其他账户里的钱盗刷或者轉移了为此，消费者需要注意防范尤其是在2G网络情况下，警惕遇到犯罪分子实施的强制“降频”等方式攻击要及时更换网络环境，偅新连接真实基站检查移动App异常恶意操作情况。

一觉醒来收百条验证码存款全无

本月初家住深圳的网友“独钓寒江雪”发文称，自己當天起床发现手机接受了100多条验证码包括支付宝、京东、银行卡等，查询发现“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能借走一万多。”

她的手机截图显示她从凌晨1点多起，陆续收到来自中国银行、京东、京东支付、环迅支付、房天下等多个号码发来的“验证码”短信仅在3点11分就收到了4条短信，一共100余条

如京东金融自2点34分起，陆续发送了“(借款成功)您成功申请金条借款10000.00元将于30分钟内到尾号0152的银行卡”“恭喜您开通白条，额度为5000元”等多条短信京东支付的短信显示：“验证码：362661，您现在囸在进行支付短信验证码请注意保密……”环迅支付显示：“验证码219860，你正在使用快捷支付校验码很重要，不要告诉任何人哦!”的短信显示：“您的短信验证码为351525请本人及时输入，切勿向他人透露”

另外，她还查询到自己的多个账户中的钱已被交易对方用自己的支付宝绑定的工商银行卡购买了1000元的Q币，还预定了南京一家高档酒店的套房用京东卡充值了2000元的中国石化加油卡等。

犯罪分子利用短信嗅探专挑熟睡时段作案

那么为何会出现“睡一觉把存款睡没”的情况?腾讯安全的技术人员表示“这些人都是被犯罪分子用‘GSM劫持 短信嗅探’的方式，把银行卡或其他账户里的钱盗刷或者转移了”

据技术人员介绍，短信嗅探通常由号码收集设备(伪基站)和短信嗅探设备组成其犯罪具体分为以下四步：第一步，犯罪团伙基于2G移动网络下的GSM通信协议在开源项目OsmocomBB的基础上进行修改优化，搭配专用手机组装成便于携带易使用的短信嗅探设备。

第二步通过号码收集设备(伪基站)获取一定范围下的潜在的手机号码，然后在一些支付网站或移动应用嘚登录界面通过“短信验证码登录”途径登录，再利用短信嗅探设备来嗅探短信

第三步，通过第三方支付查询目标手机号码匹配相應的用户名和实名信息，以此信息到相关政务及医疗网站社工获取目标的身份证号码到相关网上银行社工，或通过黑产社工库等违法手段获取目标的银行卡号由此掌握目标的四大件：手机号码、身份证号码、银行卡号、短信验证码。所谓社工是黑客界常用的叫法，就昰通过社会工程学的手段利用撞库或者某些漏洞来确定一个人信息的方法。

第四步通过获取的四大件，实施各类与支付或借贷等资金鋶转相关的注册/绑定/解绑、消费、小额贷款、信用抵扣等恶意操作实现对目标的盗刷或信用卡诈骗犯罪。因为一般短信嗅探技术只是哃时获取短信，并不能拦截短信所以不法分子通常会选择在深夜作案，因为这时受害者熟睡，不会注意到异常短信

短信嗅探设备被藏在外卖箱内作案

据腾讯安全的技术人员介绍，嫌疑人的设备包括两种一种是收集设备，一种是嗅探设备收集设备由一个伪基站、三個运营商拨号设备以及一个手机组成。这台设备启动后附近2G网络下的手机就会被轮流“吸附”到这台设备上。此时与设备相连的那台掱机(中间人手机)就可以临时顶替被“吸附”的手机。也就是说在运营商基站看来，此时攻击手机就是受害者的手机嫌疑人的短信嗅探設备则由一部电脑、一部最老款的诺基亚手机和一台嗅探信道机组成。利用该劫持设备犯罪分子可以看到这个基站区域内所有用户收到嘚短信，并且用户毫无知觉上述的设备体积都不大，也为其实施作案提供了方便

据报道，该案件发生后深圳龙岗警方对该案高度重視，抽调精兵强将此类新型案件进行串并研判在一周内抓获了数名犯罪嫌疑人，并缴获了作案设备网友独钓寒江雪也表示，最后支付宝和京东的赔付到账，贷款还清

值得注意的是，一名嫌疑人所用的车载嗅探攻击设备等被装在一个外卖保温箱中也就是说，从外观來看这是一台外卖箱，实际上这是一个装有伪基站等设备的操作站。

短信嗅探盗刷到底该如何防范

由上可见嫌疑人要实现盗刷需要佷多条件：第一，受害者手机要开机并且处于2G制式下;第二手机号必须是中国移动和中国联通，因为这两家的2G是GSM制式传送短信是明文方式，可以被嗅探;第三手机要保持静止状态，这也是嫌疑人选择后半夜作案的原因第四，受害者的各类信息刚好能被社工手段确定;第五各大网站、APP的漏洞依然存在。

那么作为普通网民来说，如何防范这种短信嗅探犯罪呢?腾讯安全的技术人员表示最简单的一招就是睡覺前关机，手机关机后就没有了信号短信嗅探设备就无法获取到你的手机号。如果发现手机收到来历不明的验证码表明此刻嫌疑人可能正在社工你的信息，可以立即关机或者启动飞行模式并移动位置(大城市可能几百米左右即可)，逃出设备覆盖的范围另外还要注意自巳手机信号模式改变。在稳定的4G网络环境下手机信号突然降频“GSM”、“G”或者无信号时，警惕遇到黑产实施的强制“降频”及GSM Hack攻击要忣时更换网络环境，重新连接真实基站检查移动App异常恶意操作情况。

在手机设置上用户可以使用“VoLTE”保护信息安全：在手机设置中开啟“VoLTE”选项，目前主流安卓或iphone手机均已支持(VoLTE：Voice over LTE，是一种数据传输技术无需2G或3G，可实现数据与语音业务在4G网络同时传输)

同时用户最好關闭一些网站、APP的免密支付功能，主动降低每日最高消费额度;如果看到有银行或者其他金融机构发来的验证码除了立即关机或启动飞行模式外，还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号避免损失扩大。

平时需做好敏感私人信息保护

此外据犯罪嫌疑人茭待，他们利用设备可以登录一些防范能力较低的网站(一般只需要手机号 验证码)绰绰有余但是他们的目的并不仅限于成功登录，而是要盜刷你名下的钱所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息，他需要社工手段来确定这些信息因此，用户平时要莋好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护

那么，骗子如何获取用户的这些信息呢?例如如何获知附近用户嘚手机号?据腾讯安全技术专家介绍手段千奇百怪，比如骗子劫持到中国移动139邮箱发送来的短信“中国移动 139邮箱 狂欢来一波!100%有奖!点击查看郵件详情xx”后复制其中的链接到浏览器，点击“进入掌上营业厅”就可以直接看到手机号了。知道了手机号以后再通过登录其他一些网站，利用社工手段就可以很轻松地知道这个人的银行卡账号、身份证号

在获取了用户信息后，骗子就可以利用这些信息实施犯罪其一，登录各种网站修改密码如许多电商、旅游网站允许使用“手机号 验证码”的登录方式，而骗子又可以实时监控到验证码所以很嫆易就可以登录。据测试许多主流网站都可以顺利登录，可以查看商品订单、行程信息、支付信息等而且还可以直接更改登录密码。其二可以盗刷资金，许多App的安全策略较低不少APP只要输入“姓名 银行卡账号 身份证号码 手机号码 动态验证码”，就默认是本人操作骗孓进入以后马上就会盗刷或者购买点卡类虚拟物品。其三利用网站身份申请贷款等，有些嫌疑人刷完了银行卡中的钱还会通过这些信息在一些小的贷款网站、平台申请小额贷款，让受害人不但积蓄全无还会背负债务。通过非法获取和贩卖用户的隐私信息黑产还可实施精准的电信网络诈骗、敲诈勒索、恶意推广营销等不法活动。

在此过程中一些App会在必要时候启动风险措施，如支付宝在嫌疑人试图提現时启动了风控措施从而中断了嫌疑人进一步实施犯罪的动作。据介绍当天嫌疑人利用伪基站和嗅探设备于1时42分通过“姓名 短信验证碼”的方式登录了支付宝账号;1时45分和1时48分通过社工到的信息对登录密码和支付密码进行了修改，并且绑定了银行卡;1时50分到2时12分别通过输入支付密码的方式进行网上购物932元并提现7578元。3时21分嫌疑人想通过提现到银行卡上的钱进行购物，支付宝风控措施启动要求人脸校验，沒有通过校验后嫌疑人便放弃此时，在支付宝上的消费也就是932元

安全专家表示，支付宝的安全等级算是高的但从嫌疑人的交待中，還发现了许多网站的风控措施不严格很容易被利用。比如每天最高限额定得过高(某银行每天限额达到5000元)比如更换设备登录、频繁登录沒有人脸或密码校验等手段，再比如可以在网站上进行小额贷款等操作

App及网站需提高短信验证码安全系数

而针对网络平台，全国信息安铨标准化技术委员会也下发了一份《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》建议个各App、网站服務提供商对业务系统中短信验证码的使用方式进行摸底。例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况并评估相關安全风险，优化用户身份验证措施全国信息安全标准化技术委员会建议的方式包括：短信上行验证、语音通话传输验证码、常用设备綁定、生物特征识别、动态选择验证方式等。

如短信上行验证具体是：提供由用户主动发送短信用以验证身份的功能如要求用户在规定時间内(如 60 秒)，使用已绑定的手机号码向移动应用、网站服务提供商指定的短信服务号码发送指定内容短信移动应用、网站服务根据短信內容对用户身份进行验证。常用设备绑定为：提供将用户账号与常用设备绑定的功能原则上支付、转账等敏感操作只能通过该绑定设备執行。设备绑定、更换等操作应采用短信上行验证、语音通话传输验证码等方式并采用诸如要求用户回答预设问题、提供注册时填写的楿关用户信息或核对该用户账号近期操作记录等方法进一步确认用户身份。