“保管箱”不等於“保險箱”，“短信保管箱”反而不保險！日前，微網志網友“公交姬”爆料自己因“短信保管箱”業務而遭遇的一場離奇的銀行卡被盜經歷，然而這並非孤例。據360手機安全中心最新發佈的2015年手機安全橙色預警顯示：智慧手機時代，網購、轉賬等對短信驗證碼的依賴程度更高，不法分子也意識到驗證碼在移動支付方面的重要作用，近來惡意利用短信託管服務竊取驗證碼，已成威脅最大的驗證碼攻擊手段。

　　“短信保管箱”

　　為“駭客”開後門

　　據微網志網友“公交姬”爆料：7月1日，當他正在家中玩電腦時，意外地收到了一條“短信保管箱”業務的訂購短信。這位反應迅速的網友立即聯繫客服，取消了這項業務，但之後手機又再次收到了“短信保管箱”業務的訂購短信。緊接著再就是開始收到數十條來自各個消費網站發來的短信，裏面是各種“短信驗證碼”，於此同時銀行卡也被不法分子盜刷，損失超過1萬元。

　　“短信保管箱”為何成為駭客“幫兇”？據悉，“短信保管箱”是一種源自功能機時代的短信託管服務，是把手機上收到的短信自動同步到運營商的伺服器上備份，機主可以通過運營商網站查看這些短信。未開通“短信保管箱”業務時，手機用戶在網站註冊或消費時，網站會通過通信網將驗證碼發送到用戶手機中，是一種將密碼驗證與短信驗證碼結合起來的“雙因子認證”方法；而開通“短信保管箱”業務後，網站發來的驗證碼短信，一方面經過通信網發送到用戶手機，另一方面則同時備份到Web端，通過攻擊Web端即可竊取驗證碼，無需直接接觸用戶手機，這樣反而降低了“雙因子驗證”的安全性。

　　“短信炸彈”輪番轟炸

　　讓人無暇顧及

　　受害者為何會收到大量驗證碼短信？無獨有偶，和“公交姬”一樣，還有幾位“短信保管箱”受害者在銀行卡被盜刷前，也都突然收到過大量各種驗證短信，提示自己在各種網站上註冊賬號的驗證短信。據360手機安全專家介紹，這是不法分子在利用“短信炸彈”類軟體的轟炸攻擊策略，把對用戶來説最重要的銀行發來的支付驗證短信淹沒在其他驗證短信當中，讓受害者無法第一時間發現銀行卡正被盜刷，為犯罪分子提供更充足的作案時間。

　　那麼，“短信炸彈”類軟體為什麼會通過註冊網站的方式來生成垃圾短信呢？一般來説，發送垃圾短信有很多種方法，但使用傳統方法發送垃圾短信會産生費用，為實現零成本攻擊駭客就愛利用網際網路註冊驗證機制來觸發垃圾短信，通過大量普通網站發送大量驗證碼短信以達到零成本“轟炸”的目的。 本報記者 胡曉晶

　　● 電信運營商在向網站同步用戶短信資訊時，應有意設定一定的延遲，從而使攻擊者即便從“短信保管箱”讀取了用戶的驗證碼內容，但這些驗證碼也已過期。

　　● 用戶如突然收到大量莫名其妙的垃圾短信或驗證碼短信，一定要仔細查看其中是否有銀行或第三方支付工具發來的驗證短信或轉賬、消費告知短信。如有，則應立即聯繫銀行考慮挂失銀行卡，或聯繫第三方支付平臺凍結自己的支付賬號；同時使用殺毒軟體查殺木馬、攔截釣魚網站，並通過支付保鏢隔離保護交易驗證碼短信。