近年來，使用手機短信驗證碼驗證用戶身份的技術(shù)，被廣泛應(yīng)用于銀行金融、社交媒體、電子商務(wù)等各類移動APP服務(wù)。然而短信作為一種2G網(wǎng)絡(luò)的通信方式，其本身安全防護等級并不高。

　　就在近期，多地警方陸續(xù)破獲一種“偽基站2.0”犯罪案件。有犯罪分子利用GSM 2G網(wǎng)絡(luò)的設(shè)計缺陷，實現(xiàn)不接觸目標手機就能獲得手機所接收到的驗證短信，進而利用各大銀行、網(wǎng)站、移動支付APP存在的技術(shù)漏洞和缺陷，實現(xiàn)信息竊取、資金盜刷和網(wǎng)絡(luò)詐騙等犯罪。

　　工業(yè)和信息化部日前下發(fā)通知，部署開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全檢查工作，要求基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、域名注冊管理和服務(wù)機構(gòu)重點檢查安全防護體系系列標準符合情況，可能存在的弱口令、中高危漏洞和其他網(wǎng)絡(luò)安全風險隱患等。

　　相關(guān)業(yè)內(nèi)專家在接受人民網(wǎng)采訪時表示，“偽基站2.0”是極小概率的犯罪方式，手機用戶不需要恐慌，但這一事件也暴露了目前網(wǎng)上APP、支付等環(huán)節(jié)過于依賴“短信驗證”這一安全短板�；�于2G網(wǎng)絡(luò)的短信安全驗證猶如“沙灘上的堡壘”，便捷之外存有安全隱患，網(wǎng)上支付平臺、APP服務(wù)提供商應(yīng)盡快堵住這一安全短板，完善用戶身份驗證措施，以確保用戶個人信息和財產(chǎn)的安全。

　　新型盜刷方式引發(fā)輿論關(guān)注

　　根據(jù)媒體報道，廣州、南京、江寧等多地警方近期相繼破獲一種名為“GSM劫持+短信嗅探技術(shù)”的犯罪案件。犯罪分子通過特種設(shè)備，自動搜索附近的手機號碼，然后可以攔截短信。

　　據(jù)廣州日報報道，8月1日，網(wǎng)友“獨釣寒江雪”的手機在半夜連續(xù)接到100條短信驗證碼，她醒來發(fā)現(xiàn)不僅自己的支付寶、銀行賬戶被盜，還被貸了款。有人使用她的京東賬戶、支付寶等等，預定房間、給加油卡充值，總計盜刷了1萬多元。

　　這一案件經(jīng)媒體報道后馬上引發(fā)了輿論關(guān)注，甚至有報道建議手機用戶“晚上睡覺關(guān)手機”以防范。那這種“偽基站2.0”方式會否蔓延？用戶的網(wǎng)上資金安全如何來保障，對此，人民網(wǎng)IT頻道近期做了深入采訪和調(diào)查。

　　據(jù)360無線電安全研究院高級研究員黃琳介紹，基于“偽基站”的GSM短信嗅探是被動的，就是只“聽”，不發(fā)射任何非法的無線信號。攻擊者在利用手機信號劫持設(shè)備等工具非法截獲短信驗證碼、手機號碼的基礎(chǔ)上，并通過社工或黑產(chǎn)交易等方式獲取身份證號碼、銀行賬號、支付平臺賬號等敏感信息，侵入各類應(yīng)用實施犯罪行為。網(wǎng)友“獨釣寒江雪”的情況很可能就屬于這種。

　　據(jù)了解，這種被稱為“偽基站2.0”的攻擊手段早在2010年已出現(xiàn)，由于攻擊技術(shù)實施難度大，當時僅掌握在少數(shù)高級攻擊者手中，不法分子難以大規(guī)模利用。而且隨著這幾年國家對于偽基站的大力打擊，不法分子要用“偽基站”劫持用戶短信和手機信號，就會有很大幾率暴露自身位置，因此目前此類案例非常罕見。

　　同時，有通信行業(yè)資深安全人士表示，要實施“偽基站2.0”犯罪需要滿足四大條件：不法人員從黑產(chǎn)獲取了用戶個人身份信息“四大件”（賬戶名、密碼、身份證、銀行卡號）；不法人員在物理位置上和受害用戶相近；用戶手機當時駐留在2G網(wǎng)絡(luò)上；獲取用戶手機號碼并嗅探到用戶驗證碼短信；實施網(wǎng)絡(luò)轉(zhuǎn)賬或信用卡盜刷等行為。

　　上述四個環(huán)節(jié)為鏈條式操作，缺一不可，要滿足以上所有條件，攻擊者需要冒極高的風險，因此在日常操作中，短信被嗅探并導致手機銀行被盜發(fā)生場景的概率是極低的，普通用戶無需過于擔心，更不需要在晚上睡覺時“主動關(guān)機”。

　　網(wǎng)上支付依賴“短信驗證”存隱患

　　雖然實施“偽基站2.0”犯罪目前只是極小概率的事件，但是也給網(wǎng)上支付安全敲響了警鐘。

　　隨著移動支付的普及，“短信驗證”是目前最便捷的驗證方式，人們只需要在手機上操作，就可以便捷快速地完成開通業(yè)務(wù)、支付款項等活動。然而，科技的進步帶來的不僅是便捷，還有安全隱患。因此手機短信驗證碼已被廣泛應(yīng)用于各類移動應(yīng)用、網(wǎng)站服務(wù)。短信驗證碼可以幫助用戶進行修改密碼、修改綁定郵箱等敏感操作。

　　同時，短信驗證碼也能讓用戶不輸賬號密碼直接登陸。以用戶使用廣泛的微博手機APP來說，在掌握手機號碼的前提下，可以無密碼登陸，手機只要收到系統(tǒng)發(fā)送的驗證碼，就可以快速登陸。

　　對手機用戶來說，一旦遭遇GSM短信嗅探攻擊，或者因為其他原因短信驗證碼內(nèi)容被外泄，不法分子就可以利用獲取的用戶手機號碼和驗證碼登錄個人賬戶，用戶會面臨個人信息泄露甚至財產(chǎn)損失的風險。

　　人民網(wǎng)IT頻道在采訪過程中，多位來自通信、安全領(lǐng)域的業(yè)內(nèi)人士均表示，目前涉及到支付確認、修改支付密碼等高度涉及用戶資金安全的驗證時，如果僅僅是依靠短信驗證碼來確認用戶身份，具有一定的安全隱患，希望有關(guān)部門及網(wǎng)上支付平臺重視這個問題，尤其是網(wǎng)上支付平臺不能為了便捷而犧牲用戶的資金安全。

　　從技術(shù)上來說，2G的GSM網(wǎng)絡(luò)使用單向鑒權(quán)技術(shù)，且短信內(nèi)容以明文形式傳輸，該缺陷由GSM設(shè)計造成，且GSM網(wǎng)絡(luò)覆蓋范圍廣，因此修復難度大、成本高。

　　更重要的是，對于網(wǎng)上支付平臺來說，除了短信驗證之外，在涉及大額支付及修改用戶交易密碼等關(guān)鍵環(huán)節(jié)，增加新的驗證手段，比如引入人臉識別等方式，也刻不容緩。

　　互聯(lián)網(wǎng)廠商應(yīng)承擔更大安全責任

　　針對短信驗證帶來的安全隱患，全國信息安全標準化技術(shù)委員會在今年2月份聯(lián)合多家單位發(fā)布了《網(wǎng)絡(luò)安全實踐指南——應(yīng)對截獲短信驗證碼實施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》，明確指出了基于短信驗證碼實現(xiàn)身份驗證的安全風險現(xiàn)狀、困難點，并給出了目前專家們認為可行的方案。

　　《安全指南》建議，各移動應(yīng)用、網(wǎng)站服務(wù)提供商對業(yè)務(wù)系統(tǒng)中短信驗證碼的使用方式進行摸底，例如在用戶注冊、密碼找回、資金支付等環(huán)節(jié)的短信驗證碼使用情況，并評估相關(guān)安全風險，優(yōu)化用戶身份驗證措施。建議采用多種方式組合，加強安全性。

　　這份指南同時強調(diào)，個人用戶應(yīng)做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感信息的保護。在收到來歷不明的短信驗證碼等異常情況時，提高警惕，及時聯(lián)系相關(guān)移動應(yīng)用、網(wǎng)站服務(wù)提供商。

　　對此，黃琳認為，面對層出不窮的網(wǎng)絡(luò)攻擊技術(shù)，互聯(lián)網(wǎng)企業(yè)更應(yīng)該有所行動，加強風險防范，承擔最大的責任。

　　對于普通消費者而言,除了不泄露自己的短信驗證碼之外，GSM劫持+短信嗅探主要針對GSM 2G網(wǎng)絡(luò)用戶，建議此類用戶盡快升級到4G網(wǎng)絡(luò)，并開通VoLTE，或者使用支持防偽基站功能的手機，提高安全防御等級。

　　中國科學院院士梅宏在接受人民網(wǎng)記者采訪時也表示，從技術(shù)上，絕對避免這種事情的發(fā)生是有困難的。當新技術(shù)進入應(yīng)用以后，確實會有一些人利用當初設(shè)計上的缺陷或者是當初未考慮到的因素來非法獲利�！叭祟悮v史幾千年所有的技術(shù)進步都是兩面性的，沒有哪項技術(shù)的發(fā)展在給人們帶來便利的同時，沒有帶來別的負面因素的�！�

　　梅宏認為，我們要看在發(fā)展過程中，怎么減少這種發(fā)展給我們帶來的損失。在立法上，法律要有明確的界定，碰到這種問題一定要嚴厲打擊。要靠法律的威懾力加上技術(shù)的輔助，兩方面的協(xié)作。最重要的一點，是每一個用戶都要有安全防范意識。在信息化社會對于消息一定要有一個自我、獨立的判斷，沒有這些考量就很容易上當受騙。梅宏說，“要保證絕對的、全面的沒有人上當受騙，這很難通過技術(shù)實現(xiàn)，需要多方努力。”（趙超 楊波 沈光倩）