“短信保管箱”存在短信被洩露的安全隱患

　　廣州日報訊 （記者薛松）針對近期網上紛傳的“移動短信保管箱導致工行網銀被盜”事件，廣州日報記者昨日採訪了省內三大電信運營商後獲悉，目前廣東並沒開通此業務，本地手機用戶不需擔心。

　　由於意識到“短信保管箱”存在資訊安全隱患，有的運營商沒有在廣東開通此業務，有的推出後去年已取消該業務。

　　不法分子

　　通過“保管箱”盜驗證碼

　　引發用戶擔憂的是北京移動一款名為“短信保管箱”的業務。根據中國移動的官方介紹，短信保管箱是北京移動自有數據業務産品，可以自動將用戶發送、接收的短信同步備份存儲到雲端，用戶通過指定的網站進行查詢並管理短信內容。

　　令人沒想到的是，這種服務竟讓犯罪分子盜刷用戶的銀行卡變得異常簡單：讓用戶的手機開通“短信保管箱”業務，然後就可以在運營商的網站上直接查看他手機上收到的各種消費和轉賬的“短信驗證碼”，從而完成盜刷。

　　有專家説，這種作案方式不僅“新穎”還很恐怖！

　　因為犯罪分子只需掌握用戶“短信保管箱”的登錄資訊和銀行卡號，就可以隨意盜刷你的銀行卡了，而不論你怎麼設置和修改銀行卡的密碼，都沒有什麼用。

　　因此，有專家呼籲運營商直接取消這種服務。

　　廣東三大運營商

　　現已不再提供該業務

　　更有網友説，在運營商那裏只需要打個電話就可以開通這種“短信保管”業務了，開通很容易，但漏洞不小。而且，不光是中國移動，中國聯通和中國電信都在提供這種名為“短信保管箱”的服務，功能是可以將你手機收到的短信，即時自動同步到他們的伺服器上。

　　到底該業務有沒有安全隱患？運營商有沒有提供該業務？本報記者昨日在三家運營商網廳中，均沒有找到“短信保管箱”辦理入口，隨後記者向省內三大電信運營商了解，廣東移動方面表示：目前沒有開通這個業務，國內其他省市有沒有開通並不清楚。廣東電信方面表示，廣東地區沒有推出這項業務。廣東聯通方面表示去年已取消該業務，目前沒有提供。

　　內部人士説，該業務將用戶短信保存在雲端伺服器上，保密措施欠缺，確實存在一定的資訊安全隱患，因此大部分地區和運營商先後都停止提供該服務。

　　不過，仍有國內少數地區還在提供“短信保管”業務。獵豹安全專家李鐵軍説，微網志上另一個因移動短信保管箱導致工行網銀被盜的案例，轉發已超過4000次了，説明關注度很高。他懷疑，移動短信保管箱還有其他開通的通道，如果運營商不切斷相應的開通通道，受害者肯定還會增加。每個移動手機用戶都是潛在受害者，建議用戶不要在銀行卡活期賬戶留太多錢。

　　犯罪分子盜刷過程

　　讓用戶的手機開通“短信保管箱”業務；

　　即可在運營商的網站上直接查看手機上收到的各種消費和轉賬的“短信驗證碼”；

　　犯罪分子只需掌握用戶“短信保管箱”的登錄資訊和銀行卡號，就可以隨意盜刷銀行卡了。

　　提醒

　　短信驗證碼 不一定安全

　　短信驗證碼一定安全可靠嗎？不會被他人偷偷攔截嗎？答案是否定的。上月，廣州警方和騰訊等企業聯手破獲的10086積分詐騙案顯示，犯罪分子將含有木馬病毒的連結發短信給用戶，用戶不小心點擊後就被安裝了木馬病毒。該木馬病毒的作用是控制中毒用戶手機，截取轉發特定的短信。

　　據介紹，這種攔截短信的手段也在被打擊中不斷升級。例如早期的木馬會將用戶短信全部攔截，由於用戶一天內一條短信都收不到，容易被察覺。現在改進後的木馬程式，就只攔截發自銀行等金融機構的短信驗證碼。銀行發給用戶的短信驗證碼全部被悄悄截獲了，而用戶一點都不知情。