邱元陽

在“新四大發(fā)明”中，移動(dòng)支付占據(jù)了重要一席。通過手機(jī)完成支付功能，極大地方便了人們的生活，在很大程度上甚至減少了現(xiàn)金盜竊行為的發(fā)生，但移動(dòng)支付本身的安全性也不能忽視。

所有的移動(dòng)支付，都是基于賬號(hào)和密碼的交易過程，因此賬號(hào)和密碼的泄露，就會(huì)威脅到資金安全。為了防止密碼被盜，人們發(fā)明了各種安全綁定的手段，綁定手機(jī)，綁定指紋，綁定面部識(shí)別，并配合密保驗(yàn)證手段，全方位保護(hù)交易過程和密碼安全。

然而這各種手段，最后的核心都會(huì)集中到手機(jī)設(shè)備上。因?yàn)楦艽a被盜對(duì)應(yīng)的，還有正常的修改密碼和找回密碼，這一正常操作顯然需要進(jìn)行身份驗(yàn)證，而最常用的驗(yàn)證方法，就是短信驗(yàn)證碼。

不僅僅是修改密碼的時(shí)候，有時(shí)大額資金的交易、普通的涉及安全的操作，都需要用到短信驗(yàn)證碼。這樣一來，短信驗(yàn)證碼就成為非常重要的安全手段，也是各種電信詐騙和網(wǎng)絡(luò)詐騙行為想方設(shè)法想要獲取的目標(biāo)。而短信的接收端，正是手機(jī)，保護(hù)手機(jī)，同時(shí)也是保護(hù)驗(yàn)證碼。那么問題來了，如果手機(jī)丟失了呢？

密碼可以設(shè)置得足夠強(qiáng)大，但手機(jī)卻可能輕易丟失或被盜。手機(jī)丟失之后，最重要的不是修改支付密碼，也不是掛失和凍結(jié)銀行卡，而是馬上掛失手機(jī)SIM卡。只有這樣，才能迅速切斷短信驗(yàn)證碼的接收通道。如果手機(jī)沒有丟失，密碼也沒有泄露，是否就很安全了呢？那也未必。

2018年5月，河南多地的手機(jī)用戶在手機(jī)沒有丟失的情況下發(fā)生資金被盜刷的情況，且都是在深夜或凌晨進(jìn)行的，當(dāng)時(shí)手機(jī)上收到了驗(yàn)證碼，但是機(jī)主處于睡夢(mèng)中都沒有查看。排除手機(jī)被木馬遠(yuǎn)程操控的可能性后，經(jīng)調(diào)查，發(fā)現(xiàn)是有人非法使用信號(hào)采集設(shè)備采集手機(jī)號(hào)碼，并用短信嗅探設(shè)備截獲相應(yīng)手機(jī)號(hào)碼的短信驗(yàn)證碼，以此盜刷微信、支付寶和銀行卡。這些短信嗅探設(shè)備的有效距離能達(dá)到三公里，在這黑色三公里的范圍內(nèi)，用戶的手機(jī)完全處于裸奔狀態(tài)，所收到的短信、輸入的字符都能被非法截獲，簡(jiǎn)直匪夷所思，恐怖至極。

這種非法操作之所以選擇在深夜進(jìn)行，就是怕驚動(dòng)用戶，因?yàn)榉欠ú僮餍枰尿?yàn)證碼會(huì)發(fā)到用戶手機(jī)上，用戶收到就會(huì)生疑，可能會(huì)采取相應(yīng)措施終止通信。

“黑色三公里”的漏洞危害非常嚴(yán)重，而且在移動(dòng)運(yùn)營(yíng)商這邊也很難杜絕。目前的GSM網(wǎng)絡(luò)使用單向鑒權(quán)技術(shù)，且短信內(nèi)容以明文形式傳輸，這種缺陷是由當(dāng)初GSM的設(shè)計(jì)造成的。由于GSM網(wǎng)絡(luò)覆蓋范圍廣，要修復(fù)這種漏洞不僅難度大，而且成本高。好在現(xiàn)在移動(dòng)通信網(wǎng)絡(luò)已發(fā)展到4G時(shí)代，幾乎所有的手機(jī)都支持4G網(wǎng)絡(luò)，部分運(yùn)營(yíng)商開始關(guān)閉2G網(wǎng)絡(luò)的服務(wù)。仍在使用2G的，如果發(fā)現(xiàn)手機(jī)信號(hào)在網(wǎng)絡(luò)正常的情況下忽然由4G降為2G，就有可能是受到嗅探攻擊了。這個(gè)時(shí)候可以打開飛行模式來停止網(wǎng)絡(luò)通信。

如果沒有相關(guān)驗(yàn)證操作卻收到不明的短信驗(yàn)證碼，排除他人輸錯(cuò)手機(jī)號(hào)碼的可能性，那么就可能是遭受到嗅探攻擊了，應(yīng)迅速凍結(jié)支付綁定的銀行卡。這種攻擊并不是盲目的，操作過程需要手機(jī)號(hào)碼和相應(yīng)賬號(hào)以及其他個(gè)人信息的對(duì)應(yīng)，因此保護(hù)個(gè)人隱私信息尤為重要，輕易不要參與需要輸入個(gè)人信息的宣傳活動(dòng)，快遞包裝不隨意丟棄。

對(duì)于這樣的黑科技，在技術(shù)上沒有很好的解決方案之前，只能依靠法律力量，斬?cái)嗪谏骀?，從源頭上杜絕非法設(shè)備的生產(chǎn)。