邱元陽

在“新四大發(fā)明”中，移動支付占據(jù)了重要一席。通過手機完成支付功能，極大地方便了人們的生活，在很大程度上甚至減少了現(xiàn)金盜竊行為的發(fā)生，但移動支付本身的安全性也不能忽視。

所有的移動支付，都是基于賬號和密碼的交易過程，因此賬號和密碼的泄露，就會威脅到資金安全。為了防止密碼被盜，人們發(fā)明了各種安全綁定的手段，綁定手機，綁定指紋，綁定面部識別，并配合密保驗證手段，全方位保護交易過程和密碼安全。

然而這各種手段，最后的核心都會集中到手機設備上。因為跟密碼被盜對應的，還有正常的修改密碼和找回密碼，這一正常操作顯然需要進行身份驗證，而最常用的驗證方法，就是短信驗證碼。

不僅僅是修改密碼的時候，有時大額資金的交易、普通的涉及安全的操作，都需要用到短信驗證碼。這樣一來，短信驗證碼就成為非常重要的安全手段，也是各種電信詐騙和網(wǎng)絡詐騙行為想方設法想要獲取的目標。而短信的接收端，正是手機，保護手機，同時也是保護驗證碼。那么問題來了，如果手機丟失了呢？

密碼可以設置得足夠強大，但手機卻可能輕易丟失或被盜。手機丟失之后，最重要的不是修改支付密碼，也不是掛失和凍結(jié)銀行卡，而是馬上掛失手機SIM卡。只有這樣，才能迅速切斷短信驗證碼的接收通道。如果手機沒有丟失，密碼也沒有泄露，是否就很安全了呢？那也未必。

2018年5月，河南多地的手機用戶在手機沒有丟失的情況下發(fā)生資金被盜刷的情況，且都是在深夜或凌晨進行的，當時手機上收到了驗證碼，但是機主處于睡夢中都沒有查看。排除手機被木馬遠程操控的可能性后，經(jīng)調(diào)查，發(fā)現(xiàn)是有人非法使用信號采集設備采集手機號碼，并用短信嗅探設備截獲相應手機號碼的短信驗證碼，以此盜刷微信、支付寶和銀行卡。這些短信嗅探設備的有效距離能達到三公里，在這黑色三公里的范圍內(nèi)，用戶的手機完全處于裸奔狀態(tài)，所收到的短信、輸入的字符都能被非法截獲，簡直匪夷所思，恐怖至極。

這種非法操作之所以選擇在深夜進行，就是怕驚動用戶，因為非法操作需要的驗證碼會發(fā)到用戶手機上，用戶收到就會生疑，可能會采取相應措施終止通信。

“黑色三公里”的漏洞危害非常嚴重，而且在移動運營商這邊也很難杜絕。目前的GSM網(wǎng)絡使用單向鑒權(quán)技術(shù)，且短信內(nèi)容以明文形式傳輸，這種缺陷是由當初GSM的設計造成的。由于GSM網(wǎng)絡覆蓋范圍廣，要修復這種漏洞不僅難度大，而且成本高。好在現(xiàn)在移動通信網(wǎng)絡已發(fā)展到4G時代，幾乎所有的手機都支持4G網(wǎng)絡，部分運營商開始關閉2G網(wǎng)絡的服務。仍在使用2G的，如果發(fā)現(xiàn)手機信號在網(wǎng)絡正常的情況下忽然由4G降為2G，就有可能是受到嗅探攻擊了。這個時候可以打開飛行模式來停止網(wǎng)絡通信。

如果沒有相關驗證操作卻收到不明的短信驗證碼，排除他人輸錯手機號碼的可能性，那么就可能是遭受到嗅探攻擊了，應迅速凍結(jié)支付綁定的銀行卡。這種攻擊并不是盲目的，操作過程需要手機號碼和相應賬號以及其他個人信息的對應，因此保護個人隱私信息尤為重要，輕易不要參與需要輸入個人信息的宣傳活動，快遞包裝不隨意丟棄。

對于這樣的黑科技，在技術(shù)上沒有很好的解決方案之前，只能依靠法律力量，斬斷黑色利益鏈，從源頭上杜絕非法設備的生產(chǎn)。