人民日報：給短信驗證碼加把安全鎖

8月14日，深圳龍崗警方宣佈打掉一個新型盜刷銀行卡犯罪團夥，抓獲10名嫌疑人，查繳偽基站等電子設備6套，帶破同類案件50余宗，涉案金額逾百萬元。據專家分析，嫌疑人通過“GSM劫持+短信嗅探”技術截獲受害人短信驗證碼，從而完成盜刷等操作。截至目前，這是全國該類案件中打掉涉案人數最多、金額最大的一起。

“基於短信驗證碼實現身份驗證的安全風險顯著增加。”全國資訊安全標準化技術委員會在《網路安全實踐指南——應對截獲短信驗證碼實施網路身份假冒攻擊的技術指引》中指出。

網友遇怪事

夢中收短信網銀被盜刷

7月30日淩晨5點，從夢中醒來的網友“獨釣寒江雪”發現了一件怪事：“手機一直在震，一看，接收了100多條驗證碼，支付寶、京東、銀行什麼都有。嚇得一下子清醒，去看支付寶，餘額寶、餘額和關聯銀行卡的錢都被轉走了。京東開了金條、白條功能，借走1萬多元。”

人在睡夢中，手機在身邊。是誰遠端偷看了短信驗證碼，還利用短信驗證碼完成了轉賬購物借貸等操作？據了解，這是不法分子通過“GSM劫持+短信嗅探”技術，實時獲取用戶手機短信內容，竊取用戶資訊，盜刷用戶賬戶。

“不法分子先使用偽基站獲取用戶手機號，再通過網上洩露的數據庫，根據手機號碼反查用戶的姓名、身份證號、銀行賬號等資訊。然後在某些網站啟動註冊或交易，並利用和用戶位置相近的特點竊取用戶短信驗證碼。”北京大學資訊科學技術學院副教授陳江説。

有業內人士形容，嗅探硬體“小的跟手機差不多，大得像行李箱，最低成本只用花一頓必勝客的錢”。騰訊守護者計劃安全專家周正介紹，目前絕大多數移動網際網路服務都採用以手機號和短信驗證為基礎的識別策略，但國內GSM的語音和短信業務鑒權和加密性偏弱。犯罪分子使用定制化、成本低、易攜帶的嗅探系統，獲取受害人的手機號和短信驗證碼，進而實施犯罪。

此前已有多地出現“GSM劫持+短信嗅探”盜刷案件。2017年底至2018年8月，騰訊守護者計劃安全團隊協助北京、福建、廣東等地警方打擊此類犯罪團夥5個，抓獲犯罪嫌疑人25人。

短信漏洞多

身份可偽裝內容易洩露

註冊新賬號，需要短信驗證碼；忘記密碼又想登錄網站，需要短信驗證碼；在網上轉賬提現，需要短信驗證碼……當前，使用短信驗證碼驗證用戶身份的技術，被廣泛應用於各類移動應用和網站服務。

陳江説：“短信驗證碼雖然方便高效、容易普及使用，但存在‘是否用戶本人使用本人手機完成驗證操作’這樣的漏洞，給不法分子偽裝受害者提供了機會。”

“短信驗證碼是賬號安全的核心，承擔著實名認證的任務，是保證資金安全的一把密匙，但目前的關注程度還不高。”中國政法大學傳播法研究中心副主任朱巍説。

通過短信驗證碼登錄賬號後，不法分子可以獲取用戶的快遞地址、消費記錄、通訊錄等隱私資訊，還可以通過“撞庫”“社工”等方式，“集齊”用戶的姓名、身份證、銀行卡號，實施資金盜刷、電信詐騙、敲詐勒索等活動。

除了被“偷窺”，洩露短信驗證碼的途徑還有很多。有的用戶點擊了非法連結，手機被安裝監聽木馬；有的不法分子偽裝銀行客服，直接索取驗證碼內容；還有運營商內鬼主動洩露，裏外勾結。此外，短信雲同步、自動填寫驗證碼等功能的初衷雖是方便用戶，卻也可能被不法分子利用。

安全待升級

改發送方式加生物識別

“改變短信設置，使用VoLTE技術（基於4G的語音傳輸技術），改用4G網路傳輸短信。”“關閉手機蜂窩功能，改用無線網路”“晚上睡覺時關閉手機或調整到飛行模式”……為了避免短信驗證碼被“偷窺”，不少媒體和熱心用戶給出了解決方案。

但是，這些方案並不能一勞永逸。比如，就算改用4G傳輸短信，不法分子也可能在4G網路薄弱的地區“監聽”，或用特殊手段把短信“逼”上不夠安全的2G通道。

全國資訊安全標準化技術委員會建議，網路平臺可以要求用戶主動發送短信用以驗證身份，使用語音通話傳輸驗證碼，將用戶常用設備和賬號綁定，採用指紋識別、人臉識別等生物特徵識別技術，同時隨機選擇多種方式進行驗證。

“用戶傳輸敏感隱私資訊時，應選擇安全性相對高的通信軟體，發現手機信號模式異常時應及時更換網路環境。網路平臺應增加多維度動態驗證機制，對賬號異常行為進行強校驗，採用生物特徵識別技術。運營商應提高4G網路覆蓋率和穩定性，推動VoLTE等高清數據傳輸方式的普及。”周正建議。

“第三方支付機構要注意資金安全，發現異常及時停止服務，避免用戶損失。同時，第三方支付也要和銀行開展配合，形成立體化風控體系。”朱巍説。

《人民日報 》（ 2018年08月16日 14版）