@上善若水，移动、联通的2G信号（GSM）可以被嗅探，3G/4G/5G嗅探不了。电信的2G（CDMA）嗅探比较难，但是也有可能。

此外，就算我们使用3G/4G/5G手机，作案者还是可以干扰3G/4G/5G信号，让附近的手机都降到2G来实现嗅探。

所以2G退网可能是解决这个问题的唯一方法。如果运营商没有2G信号，2G伪基站就只能给手机发垃圾短信，没办法做到嗅探短信验证码内容。3G/4G/5G目前都没有可供利用的嗅探（中间人攻击）漏洞。

当然，还有另一种解决思路，就是放弃使用短信验证码做为金融安全手段。

https://www.leiphone.com/news/201612/IP3S4Z9Z8VwLbfPr.html

这篇文章有这样几段话：

需要说明的是，LTE RRC 重定向，不止可以对接 GSM 伪基站，还可以对接 CDMA 伪基站，以及破解过的 3G、4G Femto Cell，同样可以实现中间人攻击。即使对接 GSM，某些情况下也可以不架设伪基站，直接对接现网 GSM 基站，然后使用半主动式方式来拦截短信，不用中间人攻击也达到同样的短信拦截效果。

……

我发现理论上可以把 LTE 重定向攻击和 GSM 中间人攻击这两者组合起来，形成一个广泛适用的，威力强大的攻击工具。以我对黑产的观察，这种工具迟早被黑产研发出来并加以利用。电信协议漏洞的时效性非常长，因为需要照顾现存的几十亿部手机终端。电信协议漏洞一旦被黑产利用，危害将广泛而持久。我个人预测，黑产将首先瞄准短信验证码这种已被证明不安全的认证机制，并先从手机银行和手机支付系统入手。各金融机构和网络服务商应充分警醒，早做准备，毕竟部署另一套身份认证系统需要不少时间。为了证明这种攻击不只理论上成立，而且很快会真实出现，让业界尽早放弃短信验证码，我编程实现了这种攻击组合，并在 8 月的 KCon 黑客大会上做了演讲《伪基站高级利用技术——彻底攻破短信验证码》。今天这次公开课，也是基于同样目的，就是再推一把短信验证码这个朽而不倒，很不容易推倒的认证机制，并提出替代解决方案。

遵循负责任披露（Responsible Disclosure）模式，我不会对外发布攻击源代码和实现的具体细节，避免被黑产从业者利用。但是我仍会披露足够多的信息，使各金融机构和网络服务商能充分重视，了解到安全威胁的严重性并准备替代解决方案。

……

黑产可能的利用方式（普通）：架高／车载／背包、大功率、大范围。影响很多人，属于无差别攻击。LTE 伪基站将能覆盖半径 300 米内 95% 的LTE手机，峰值性能每秒可重定向 15-20 部 LTE 手机。每台 LTE 伪基站，需要4-5台GSM伪基站和100-150部攻击手机来对接。GSM 伪基站以合适的参数和方式架设，覆盖范围非常大，LTE手机一旦被LTE伪基站吸引并重定向到 GSM 伪基站，其驻留时间将足以完成几十次短信验证码的接收。攻击手机因为是通过 UDP 协议与 GSM 伪基站协同工作，理论上可以分散在互联网覆盖的任何地方。一旦这样的一套攻击系统被黑产架设起来，最坏的情况，将能以每秒 20 个手机用户的速度血洗他们的所有银行帐户，最好的情况，是被黑产用来刷单，每秒可完成约 100 次帐户注册。这样的系统威力很强，已超越黑产过去所拥有的各种攻击手段。

文章的发布时间是2016年12月。现在再看楼主视频里的攻击方法，可以说全被他说中了。

可惜，3年过去了，金融机构的安全认证措施一点也没改，反倒是黑产有学有样，把他当年的设想全都实现了出来。

至于CDMA的伪基站和嗅探问题：

https://www.zhihu.com/question/22067503/answer/460016424

开启“防连伪基站”可能有一点防护效果，不过不能100%防护。

或者在*#*#4636#*#*里面选择没有GSM的网络模式（重启后需要重新选）

此外，黑客也可以直接对运营商设备发起攻击（需要找到有漏洞的设备，或者勾结内部人员），通过七号信令漏洞劫持你的短信。

开了国际漫游的用户更容易受到影响，所以目前这种攻击主要发生在欧洲。中国大部分用户都没有开通国际漫游，不容易受到影响。

攻击者利用7号信令（SS7）中的漏洞从德国银行偷取钱财：

https://www.freebuf.com/news/133865.html

这篇文章详细解释了七号信令漏洞是怎么形成的：

https://bbs.ichunqiu.com/thread-25983-1-1.html

甚至4G使用的“理应更安全”的Diameter协议也可以被攻击：

https://www.freebuf.com/articles/network/119635.html

国外某些运营商的4G VoLTE实施中具有更多漏洞，甚至可以泄露用户的IMEI和具体位置！（国内的情况不清楚，如果各位手机root了，可以尝试在VoLTE通话时抓包，看看有没有什么有趣的内容。可能得用tcpdump抓，不能用基于VPN的安卓app抓，因为VoLTE流量肯定不会经过VPN。VoLTE呼叫协议的格式类似HTTP。此外文章还提到，VoLTE呼叫协议甚至有潜力被用来免流）

https://www.freebuf.com/articles/wireless/137536.html

泄露被叫用户位置：

主叫号码伪造：

免流：

另一个关于免流的研究（http://blog.sina.com.cn/s/blog_63bea4cd0102vv2y.html）：

@炒鸡无敌蛋蛋，那是啥

@老虎会游泳，万能虎

@老虎会游泳，就是那种，可以自定义号码给你打电话

@炒鸡无敌蛋蛋，哦，这说明来电显示的号码是主叫手机主动发送的，然后运营商又没有仔细检查，放任了号码伪装。

后来运营商似乎会进行严格检查了，设置不属于自己的号码可能无法正常显示。

不过据报道，国外运营商在VoLTE来电显示上面又犯同样的错误了，有段时间他们的VoLTE来电显示可以任意伪装号码。国内的VoLTE有没有这问题我不清楚。