2018-08-14 关于最近GSM劫持+短信嗅探问题的缓解办法

先上图

image.png

劫持原理与责任

目前媒体的报道避重就轻的几个点：

• 黑产的成熟度远超你的想象，获得家庭住址+姓名+手机号+注册邮箱其实非常容易，而且只要开始流通，会越来越容易
• 责任谁来负，目前的情况依旧为电信运营商不负责，平台运营商也不负责，两边踢皮球的情况
• 各个组织，一方面要求用户自己保护好隐私，一方面巴不得把用户上下十八代的信息都摸透

缓解方法

因为整个过程其实还是比较复杂的，我目前已经应用的策略为：

1. 申请一张电信卡，这张电信卡绑定了核心业务，如支付宝、网银等核心站点，买一个可以收短信的4G路由器，当短信接收机用，骚扰电话也打不进来，因为设备不支持，哈哈
2. 通过阿里小号购买一个号码，将非核心业务全部绑定到这个号码上，所有106开头的短信验证和骚扰电话都会被引流到这个app里，然后通过app进行拉黑和限制操作，基本上是把整个 外部拨打-〉内部的号码全部用阿里小号拦截下来
3. 花差不多2小时时间重新绑定常用app的手机验证信息
4. 已经暴露并且在市面上流通的手机号，可以考虑继续使用或者注销，因为被骚扰的机会和风险都已经通过上述的三个步骤降低了非常多

企业相关

起初遇到这个问题，我想到的第一点就是云服务的绑定手机号，刚好又是移动2G的早期设备，严重符合被技术攻击的标准，所以到公司提的第一个问题就是先买个电信号和电信手机，把各个重要平台的移动号全部换掉，免得夜长梦多。