今日推上热烈讨论GSM劫持短信验证码而导致银行卡被盗刷的新闻。想起前几年伪基站还只是能够发假冒短信,现在都能直接劫持了吗?
骗子作案的手法是先拿到受害者的基本信息,甚至还撞出受害者的敏感网站密码,然后通过伪基站劫持验证码短信。环环相扣,缺一不可。这其中, GSM 协议本来是一种很老的设计,据说身份鉴权上是单向鉴定的,从设计上来讲,很难防止不被劫持, 那更大的问题不应该是出在用户隐私泄漏上吗? 如果不是大规模的泄漏,骗子能做这么复杂精密的事?
我觉得解决问题还是得从隐私泄漏,盗库等根源做起。

来自cnbeta