今天就发现一件轰动科技圈的大事：一个深圳的女士，在晚上5点多连续收到100多条验证码短信，手机Iphone7，之后支付宝，京东，银行卡盗刷1万多，京东白条1万借条，支付宝借贷5000元（这两笔黑客站尚无法盗走）。

那么就有意思了，手机就在自己手上，黑客要想盗取支付宝账号，必须接收手机验证码。用户没有泄露验证码，iphone也未中毒。而仅凭上图手机大小的伪基站就可以轻松截取用户短信验证码。实在恐怖！所以下面就来说说当年“有意无意”留下的后门。

GSM协议

全球移动通信系统Global System for Mobile Communication就是众所周知的GSM，是当前应用最为广泛的移动电话标准。全球超过200个国家和地区超过10亿人正在使用GSM电话。

GSM是一个蜂窝网络，和互联网协议（TCP/IP）类似，互联网协议由很多路由设备不断中转实现通信，GSM协议由很多基站不断转发进行信息通信。

国外2017年陆续停止GSM协议。而历史原因，国内还一直在使用GSM明文协议，毕竟几十亿移动设备，升级加密协议必然导致升级硬件。。。

OsmocomBB项目

这是一个破解GSM协议的项目，GSM协议居然明文传递，就像之前网络出现破解qq协议类似。编译安装该项目，就可以劫持附近用户手机，收发短信，甚至打电话。

收发短信就可以实现批量注册网站账号，薅羊毛。还可以收银行，支付宝等支付验证码，盗取用户资金。

打电话则更加可恶，通过控制用户手机号码给指定号码打未接电话，来统计附近的手机号码。

GSM劫持现状

着实可怕，黑客犯罪成本低，只要在附近开着设备，劫持用户手机号码后，通过用户手机号码+验证码登录支付宝等支付工具，之后更改支付密码，盗取资金，盗取其他个人信息。完全针对局部用户，个人进行精准攻击。也许后续支付宝登录更谨慎，但攻击其他账号，比如微博，qq，钉钉，12306等盗号，一个一个准！