7月30日凌晨5點，從夢中醒來的網(wǎng)友“獨釣寒江雪”發(fā)現(xiàn)了一件怪事：“手機一直在震，一看，接收了100多條驗證碼，支付寶、京東、銀行什么都有。嚇得一下子清醒，去看支付寶，余額寶、余額和關(guān)聯(lián)銀行卡的錢都被轉(zhuǎn)走了。京東開了金條、白條功能，借走1萬多元?！比嗽谒瘔糁?，手機在身邊。是誰遠程偷看了短信驗證碼，還利用短信驗證碼完成了轉(zhuǎn)賬購物借貸等操作？

據(jù)了解，這是不法分子通過“GSM劫持+短信嗅探”技術(shù)，實時獲取用戶手機短信內(nèi)容，竊取用戶信息，盜刷用戶賬戶。

“不法分子先使用偽基站獲取用戶手機號，再通過網(wǎng)上泄露的，根據(jù)手機號碼反查用戶的姓名、身份證號、銀行賬號等信息。然后在某些啟動注冊或交易，并利用和用戶位置相近的特點竊取用戶短信驗證碼?！?/span>

嗅探硬件“小的跟手機差不多，大得像行李箱，最低成本只用花一頓必勝客的錢”。守護者計劃安全專家介紹，目前絕大多數(shù)移動互聯(lián)網(wǎng)服務(wù)都采用以手機號和短信驗證為基礎(chǔ)的識別策略，但國內(nèi)GSM的語音和短信業(yè)務(wù)鑒權(quán)和加密性偏弱。犯罪分子使用定制化、成本低、易攜帶的嗅探系統(tǒng)，獲取受害人的手機號和短信驗證碼，進而實施犯罪。

短信漏洞多：身份可偽裝，內(nèi)容易泄露

注冊新賬號，需要短信驗證碼；忘記密碼又想登錄網(wǎng)站，需要短信驗證碼；在網(wǎng)上轉(zhuǎn)賬提現(xiàn)，需要短信驗證碼……當前，使用短信驗證碼驗證用戶身份的技術(shù)，被廣泛應(yīng)用于各類移動應(yīng)用和網(wǎng)站服務(wù)。

“短信驗證碼雖然方便高效、容易普及使用，但存在‘是否用戶本人使用本人手機完成驗證操作’這樣的漏洞，給不法分子偽裝受害者提供了機會?！?/p>

“短信驗證碼是賬號安全的核心，承擔著實名認證的任務(wù)，是保證資金安全的一把密匙，但目前的關(guān)注程度還不高。”

通過短信驗證碼登錄賬號后，不法分子可以獲取用戶的快遞地址、消費記錄、通訊錄等隱私信息，還可以通過“撞庫”“社工”等方式，“集齊”用戶的姓名、身份證、銀行卡號，實施資金盜刷、電信詐騙、敲詐勒索等活動。

除了被“偷窺”，泄露短信驗證碼的途徑還有很多。有的用戶點擊了非法鏈接，手機被安裝監(jiān)聽木馬；有的不法分子偽裝銀行客服，直接索取驗證碼內(nèi)容；還有運營商內(nèi)鬼主動泄露，里外勾結(jié)。此外，短信云同步、自動填寫驗證碼等功能的初衷雖是方便用戶，卻也可能被不法分子利用。

安全待升級：改發(fā)送方式 加生物識別

“改變短信設(shè)置，使用VoLTE技術(shù)（基于4G的語音傳輸技術(shù)），改用4G網(wǎng)絡(luò)傳輸短信?！薄瓣P(guān)閉手機蜂窩功能，改用無線網(wǎng)絡(luò)”“晚上睡覺時關(guān)閉手機或調(diào)整到飛行模式”……為了避免短信驗證碼被“偷窺”，不少媒體和熱心用戶給出了解決方案。

但是，這些方案并不能一勞永逸。比如，就算改用4G傳輸短信，不法分子也可能在4G網(wǎng)絡(luò)薄弱的地區(qū)“監(jiān)聽”，或用特殊手段把短信“逼”上不夠安全的2G通道。

全國信息安全標準化技術(shù)委員會建議，網(wǎng)絡(luò)平臺可以要求用戶主動發(fā)送短信用以驗證身份，使用語音通話傳輸驗證碼，將用戶常用設(shè)備和賬號綁定，采用指紋識別、人臉識別等生物特征識別技術(shù)，同時隨機選擇多種方式進行驗證。

“用戶傳輸敏感隱私信息時，應(yīng)選擇安全性相對高的通信軟件，發(fā)現(xiàn)手機信號模式異常時應(yīng)及時更換網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)平臺應(yīng)增加多維度動態(tài)驗證機制，對賬號異常行為進行強校驗，采用生物特征識別技術(shù)。運營商應(yīng)提高4G網(wǎng)絡(luò)覆蓋率和穩(wěn)定性，推動VoLTE等高清數(shù)據(jù)傳輸方式的普及?！卑踩珜＜医ㄗh?！暗谌街Ц稒C構(gòu)要注意資金安全，發(fā)現(xiàn)異常及時停止服務(wù)，避免用戶損失。同時，第三方支付也要和銀行開展配合，形成立體化風控體系。”

ice

收藏 海報分享