“一夜醒來(lái)，卡上存款不翼而飛。”近日，全國(guó)多地接連發(fā)生多起銀行卡被盜刷事件。深圳市龍崗警方歷時(shí)一個(gè)多月，打掉一個(gè)涉嫌全鏈條盜刷銀行卡的團(tuán)伙，抓捕10名嫌疑人，涉案金額逾百萬(wàn)元。

在此之前，鄭州、廣州、廈門(mén)等地警方也相繼破獲類似案件。這些銀行卡盜刷案件作案手段一致，均是利用手機(jī)2G網(wǎng)絡(luò)（GSM）不加密傳輸?shù)穆┒矗ㄟ^(guò)偽基站和短信嗅探器，在一定范圍內(nèi)獲取用戶手機(jī)號(hào)碼和短信驗(yàn)證碼。之后，再利用各大銀行、網(wǎng)站、移動(dòng)支付APP存在的漏洞和缺陷，實(shí)現(xiàn)信息竊取、資金盜刷。

“這種盜刷方式危害性很大。不同于以往電信詐騙需要受害人配合，而是在你不知不覺(jué)的情況下，就盜刷了。”深圳市公安局龍崗分局龍新派出所所長(zhǎng)占小明告訴新京報(bào)記者。

新京報(bào)記者了解到，由于嗅探設(shè)備、偽基站操作簡(jiǎn)單，以及各類APP身份驗(yàn)證方式簡(jiǎn)單，此類盜刷的門(mén)檻較低，存在較大的安全隱患。

對(duì)此，騰訊守護(hù)者計(jì)劃安全專家周正認(rèn)為，運(yùn)營(yíng)商應(yīng)該提高4G網(wǎng)絡(luò)覆蓋率和穩(wěn)定性，強(qiáng)制語(yǔ)音和短信業(yè)務(wù)也走4G通道；而各類APP應(yīng)用應(yīng)該通過(guò)常用設(shè)備綁定、賬號(hào)異常行為強(qiáng)校驗(yàn)、增加人臉識(shí)別驗(yàn)證等手段，增強(qiáng)APP身份驗(yàn)證的難度。

睡覺(jué)時(shí)，銀行卡被盜刷

7月6日凌晨五點(diǎn)半左右，家住深圳龍崗上垅塘的李天明（化名）在睡夢(mèng)中被持續(xù)的手機(jī)震動(dòng)聲吵醒。他起床發(fā)現(xiàn)手機(jī)連續(xù)收到了數(shù)十條短信驗(yàn)證碼和消費(fèi)通知。驗(yàn)證碼的平臺(tái)包括途牛網(wǎng)、瓜子二手車、支付寶、京東等。

“我當(dāng)時(shí)感到很驚訝，手機(jī)都沒(méi)動(dòng)，怎么會(huì)出現(xiàn)這種情況？”李天明告訴新京報(bào)記者，他通過(guò)短信消費(fèi)通知發(fā)現(xiàn)，其綁定在京東上的興業(yè)銀行卡正在被消費(fèi)。

李天明登錄京東查看情況，卻發(fā)現(xiàn)登錄密碼也已經(jīng)被重置。根據(jù)短信顯示，他的京東支付密碼和登錄密碼分別于當(dāng)天4時(shí)42分、5時(shí)32分被修改。“我趕緊打電話給興業(yè)銀行，進(jìn)行掛失，將賬戶凍結(jié)。”事后，李天明感到慶幸，由于處理及時(shí)，他的興業(yè)銀行卡只被盜刷了6000塊錢(qián)，而他那張卡余額有26000元。

不過(guò)，李天明的損失不止這些。盜刷者還替他開(kāi)通了京東金條，并成功借款1.1萬(wàn)元。“這筆借款是打到我的一張建行卡上。”短信信息顯示，李天明的京東金條借款于5時(shí)8分到賬。之后，盜刷者用李天明的手機(jī)號(hào)碼在招商銀行信用卡平臺(tái)——掌上生活注冊(cè)了一網(wǎng)通賬號(hào)，并開(kāi)始消費(fèi)。

在這次盜刷中，李天明總共損失了1.7萬(wàn)元。剛開(kāi)始，他找京東理賠遭到拒絕，因?yàn)橐磺行袨槎枷袷抢钐烀髯约涸诓僮鳌！八械牟襟E都需要短信驗(yàn)證碼，借款也是打到我自己的卡里。犯罪分子竊取我的信息后，在網(wǎng)上他就是我。”李天明說(shuō)。

網(wǎng)友“獨(dú)釣寒江雪”也遭遇了和李天明同樣的情況。8月1日，“獨(dú)釣寒江雪”在豆瓣上發(fā)帖《這下一無(wú)所有了》，講述自己被盜刷的經(jīng)歷。

根據(jù)上述帖子，7月30日凌晨5點(diǎn)，“獨(dú)釣寒江雪”發(fā)現(xiàn)自己的手機(jī)接收到了100多條短信驗(yàn)證碼，支付寶、余額寶里的余額、關(guān)聯(lián)銀行卡的錢(qián)都被轉(zhuǎn)走了。京東還被開(kāi)通了金條、白條功能，借款10000多元。

起初，支付寶、京東同樣拒絕理賠，原因也是認(rèn)為這是“獨(dú)釣寒江雪”本人操作。支付寶相關(guān)人士此前在接受媒體采訪時(shí)表示，從當(dāng)晚操作的狀態(tài)來(lái)看，登錄賬戶、修改密碼、購(gòu)物、提現(xiàn)的校驗(yàn)全部一次通過(guò)，像是賬戶本人或是熟人操作。

銀行卡被盜刷后，李天明到龍新派出所報(bào)案，“警察說(shuō)，最近已經(jīng)接到多起類似的報(bào)案，是犯罪嫌疑人通過(guò)短信嗅探作案。”

“這是一種新型的侵財(cái)犯罪行為，之前很少見(jiàn)。”龍新派出所一位辦案民警告訴新京報(bào)記者，最初接到報(bào)案的時(shí)候，連他們也不太相信會(huì)有這種情況發(fā)生，“當(dāng)時(shí)正好也是世界杯期間，我自己心里還以為事主是賭球輸了，沒(méi)法跟家人交代，編造的借口。”

2G網(wǎng)絡(luò)傳輸漏洞

接到報(bào)警后，龍新派出所開(kāi)始調(diào)查，了解到近期深圳及全國(guó)各地均有同類案件發(fā)生。“后來(lái)我們派出所也陸續(xù)接到了多起同類報(bào)案。”龍新派出所所長(zhǎng)占小明告訴新京報(bào)記者。

隨后，龍崗分局組織成立了專案組全面展開(kāi)偵查。龍崗警方發(fā)現(xiàn)，此案件中，犯罪嫌疑人是利用偽基站、短信嗅探器，在一定距離內(nèi)，盜取受害者手機(jī)號(hào)、短信驗(yàn)證碼，之后再實(shí)施針對(duì)移動(dòng)支付、互聯(lián)網(wǎng)金融、社交軟件等APP應(yīng)用的信息竊取、資金盜刷、網(wǎng)絡(luò)詐騙等。

今年三四月，此案中的犯罪嫌疑人譚亮（化名）在QQ群中看到，有人發(fā)布信息售賣短信嗅探設(shè)備。“一開(kāi)始覺(jué)得很好奇，別人的短信我都可以偷看到。”

譚亮此前在電子廠工作，大學(xué)期間，因愛(ài)好計(jì)算機(jī)技術(shù)，時(shí)常幫同學(xué)修電腦。他屬于“技術(shù)控”，經(jīng)常混跡在各種計(jì)算機(jī)技術(shù)討論群。

5月，譚亮購(gòu)買(mǎi)了一套短信嗅探設(shè)備。由于本身具備一定的技術(shù)基礎(chǔ)，譚亮很快就學(xué)會(huì)了這套設(shè)備的使用。不過(guò)，很快他便發(fā)現(xiàn)，只嗅探別人短信，除了偷窺隱私，沒(méi)有別的用處，“只看到了一堆短信，但是不知道是哪個(gè)手機(jī)的。”

“一開(kāi)始只是對(duì)嗅探技術(shù)好奇，但QQ群里，有人經(jīng)常在發(fā)信息，說(shuō)又盜刷了多少錢(qián)，慢慢就動(dòng)心了。”譚亮告訴新京報(bào)記者，后來(lái)他了解到如果要看到手機(jī)號(hào)碼，還需要“手機(jī)號(hào)碼采集器”。這一裝置主要組成部分是一個(gè)偽基站。

偽基站之所以能發(fā)揮作用，實(shí)際上利用的是2G網(wǎng)絡(luò)單向鑒權(quán)的缺陷。

所謂鑒權(quán)，是手機(jī)用戶與移動(dòng)通訊網(wǎng)絡(luò)之間的認(rèn)證機(jī)制，也就是，兩者之間要進(jìn)行身份識(shí)別。不過(guò)，根據(jù)中國(guó)移動(dòng)通信集團(tuán)公司研究院高級(jí)工程師粟栗2017年發(fā)表的《移動(dòng)通信網(wǎng)2G/3G/4G互操作風(fēng)險(xiǎn)分析與防護(hù)方案》，在2G網(wǎng)絡(luò)中，鑒權(quán)是單向的，即僅要求網(wǎng)絡(luò)對(duì)用戶進(jìn)行認(rèn)證，而用戶不對(duì)網(wǎng)絡(luò)的真實(shí)性進(jìn)行鑒權(quán)。因此，在2G網(wǎng)絡(luò)條件下，攻擊者可將偽基站信號(hào)強(qiáng)度放大，從而強(qiáng)制用戶接入。也就是說(shuō)，在2G網(wǎng)絡(luò)條件下，基站可以鑒定手機(jī)的合法性，但是手機(jī)無(wú)法鑒定基站的合法性。這也就使得假冒的基站（偽基站）可以與手機(jī)進(jìn)行連接通信。

“通過(guò)號(hào)碼采集器，就可以把附近2G制式下的手機(jī)號(hào)碼都吸附過(guò)來(lái)，形成虛擬撥號(hào)，撥到一個(gè)系統(tǒng)指定的手機(jī)上，這樣就能看到附近人的手機(jī)號(hào)碼。與短信嗅探器一起使用，就可以將手機(jī)號(hào)碼和短信驗(yàn)證碼進(jìn)行匹配。”譚亮說(shuō)。

“目前，絕大部分的移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)，都是以用戶手機(jī)和短信驗(yàn)證為基礎(chǔ)的安全策略。”騰訊守護(hù)者計(jì)劃安全專家周正告訴新京報(bào)記者，犯罪嫌疑人只要截獲用戶移動(dòng)通訊的核心信息：短信驗(yàn)證碼，即可盜刷。而國(guó)內(nèi)2G網(wǎng)絡(luò)的語(yǔ)音和短信業(yè)務(wù)單向鑒權(quán)、缺乏有效加密，且明文傳輸，通訊安全性較差，使得短信驗(yàn)證碼存在被劫持和嗅探的風(fēng)險(xiǎn)。

事實(shí)上，2G網(wǎng)絡(luò)信息嗅探技術(shù)在幾年前就已經(jīng)出現(xiàn)。據(jù)公開(kāi)信息，2009年，德國(guó)計(jì)算機(jī)工程師卡爾斯頓·諾爾就宣布，他已經(jīng)破解了GSM技術(shù)的加密算法，并將破解后的代碼放到網(wǎng)上供人下載。利用這些代碼，一臺(tái)個(gè)人計(jì)算機(jī)、一部無(wú)線電接收裝置就可截獲移動(dòng)電話用戶的語(yǔ)音信息。

此后，針對(duì)GSM協(xié)議的破解越來(lái)越成熟，衍生出了多個(gè)開(kāi)源項(xiàng)目。2010年，OsmocomBB項(xiàng)目誕生，可以控制并篩選周圍基站發(fā)來(lái)的一切信息。目前，這已成為網(wǎng)絡(luò)上針對(duì)2G手機(jī)監(jiān)聽(tīng)使用最多的開(kāi)源項(xiàng)目。而其硬件組成則十分簡(jiǎn)單——一部手機(jī)、一臺(tái)電腦和幾根串口線。

“本案中，犯罪團(tuán)伙就是利用OsmocomBB開(kāi)源技術(shù)，組裝搭建GSM劫持設(shè)備和環(huán)境。”周正告訴新京報(bào)記者。

而目前，網(wǎng)絡(luò)上很容易檢索到相關(guān)教程，這使得嗅探設(shè)備的搭建和使用門(mén)檻大大降低。“就算你不懂技術(shù)，不會(huì)搭建，也可以買(mǎi)整套設(shè)備，賣設(shè)備的人也會(huì)告訴你怎么使用。”譚亮告訴新京報(bào)記者。

利用網(wǎng)站、APP漏洞

有了號(hào)碼采集器和短信嗅探器，譚亮開(kāi)始嘗試著盜刷。他告訴新京報(bào)記者，拿到受害者的手機(jī)號(hào)和短信驗(yàn)證碼后，要實(shí)現(xiàn)盜刷，還需要滿足很多條件。最關(guān)鍵的是，要能夠通過(guò)多個(gè)平臺(tái)找到受害者的姓名、身份證號(hào)、銀行卡號(hào)等信息；此外，受害者銀行卡里還得有錢(qián)，或者有借貸資格。

“我聽(tīng)說(shuō)，也有人是先購(gòu)買(mǎi)了別人的各種信息，再有針對(duì)性地跑到別人家附近，通過(guò)信號(hào)干擾，將其手機(jī)號(hào)碼降頻到2G，進(jìn)行嗅探。”譚亮告訴新京報(bào)記者，這種作案方法叫作“精準(zhǔn)嗅探”，不過(guò)成功率很低，“并不是說(shuō)，你想攔截誰(shuí)，就能攔截誰(shuí)的。”

知名通信行業(yè)觀察家項(xiàng)立剛告訴新京報(bào)記者，當(dāng)手機(jī)連接的是4G網(wǎng)絡(luò)時(shí)，就不會(huì)成為短信嗅探攻擊的對(duì)象。但是，2G網(wǎng)絡(luò)發(fā)展歷史比較久，基站覆蓋面廣，信號(hào)較強(qiáng)，有些地方如果4G信號(hào)弱，手機(jī)也會(huì)自動(dòng)連接到2G，就可能被嗅探。此外，犯罪分子也可能通過(guò)技術(shù)手段干擾4G網(wǎng)絡(luò)，讓附近的手機(jī)自動(dòng)降頻到2G。

譚亮說(shuō)，他的作案方式是“廣撒網(wǎng)”。選擇人群密集的地方，打開(kāi)嗅探設(shè)備，將周圍能嗅探到的2G手機(jī)號(hào)碼和短信都攔截下來(lái)，再去搜查事主資料。目前能獲取到的事主個(gè)人信息多是利用網(wǎng)站、各類APP本身存在的漏洞進(jìn)行查詢。

譚亮記得，國(guó)內(nèi)某銀行的網(wǎng)頁(yè)只需要用戶手機(jī)號(hào)和短信驗(yàn)證碼就可登錄，登錄后，雖然用戶的銀行卡號(hào)部分?jǐn)?shù)字是隱藏的，但只要點(diǎn)擊頁(yè)面源代碼，就可以在代碼中尋找到完整的銀行卡號(hào)。

國(guó)內(nèi)某移動(dòng)支付平臺(tái)則是泄露用戶身份證號(hào)的主要渠道。“登錄該支付平臺(tái)，身份證號(hào)碼也是有隱藏的。但是，平臺(tái)上的一些合作企業(yè)服務(wù)號(hào)通常可以獲得授權(quán)，直接獲取用戶信息，就在這些服務(wù)號(hào)上泄露了身份證號(hào)碼。”譚亮告訴新京報(bào)記者。不過(guò)，8月14日，他應(yīng)警方要求，再次演示從該平臺(tái)獲取用戶身份證信息時(shí)，發(fā)現(xiàn)該漏洞已經(jīng)被堵上了。

除了技術(shù)漏洞，周正告訴新京報(bào)記者，在短信驗(yàn)證碼可以被截獲的情況下，一些網(wǎng)絡(luò)平臺(tái)、銀行網(wǎng)站，原本正常提供給公眾、政企的查詢接口也會(huì)被盜刷者所利用，進(jìn)行信息查詢，相互匹配，之后在金融平臺(tái)新注冊(cè)、開(kāi)通借貸服務(wù)、消費(fèi)變現(xiàn)。

譚亮的供述印證了上述觀點(diǎn)，“在某銀行的APP登錄后，只需要短信驗(yàn)證碼，就可以查看完整銀行卡號(hào)。”

“不同平臺(tái)可查詢到的信息可能不同，就得多個(gè)平臺(tái)的信息進(jìn)行拼湊。”譚亮告訴新京報(bào)記者，這也決定了此類盜刷的成功率很低，“有時(shí)候查詢不到完整的資料，或者有資料，但是賬戶沒(méi)錢(qián)。”

據(jù)譚亮說(shuō)，從今年5月份開(kāi)始作案，到8月份被抓，他總共盜刷成功5次，最大的一筆是5000元，盜刷的第一筆錢(qián)只有300元，是通過(guò)對(duì)方的京東白條給自己QQ充了Q幣。“當(dāng)時(shí)，事主的銀行卡里面都沒(méi)有余額，只有白條有300元的額度。”

全鏈條團(tuán)伙

譚亮認(rèn)為，他之所以盜刷金額不高，很重要的原因是他一直都是單干。此類盜刷，犯罪嫌疑人通常采取團(tuán)伙作案，各司其職，有的負(fù)責(zé)銷售設(shè)備、有的進(jìn)行嗅探作案，還有的進(jìn)行洗錢(qián)。

譚亮告訴新京報(bào)記者，在行業(yè)內(nèi)，負(fù)責(zé)盜刷的人被稱為“料主”，洗錢(qián)環(huán)節(jié)稱為“洗料”，通常的做法是“料主”把消費(fèi)所需要的手機(jī)號(hào)、驗(yàn)證碼提供給“洗料”的人；后者進(jìn)行銷售變現(xiàn)。“一般是買(mǎi)油卡、充Q幣這類虛擬商品，這樣可以不需要收貨地址，更安全。”

高浩波（化名）從今年5月份開(kāi)始幫此案中另一名犯罪嫌疑人劉某洗錢(qián)。他告訴新京報(bào)記者，他洗錢(qián)的手法，就是協(xié)助劉某將盜刷的錢(qián)充油卡進(jìn)行套現(xiàn)。

高浩波告訴新京報(bào)記者，劉某告訴他，有門(mén)路可以七折優(yōu)惠充油卡。高浩波將劉某的7折優(yōu)惠，轉(zhuǎn)手給他人8折優(yōu)惠，從中賺取10%提成。“到我被抓，總共賺了1000多塊錢(qián)。”

李天明在京東平臺(tái)上被盜刷的6000元興業(yè)銀行存款，也是用于購(gòu)買(mǎi)虛擬商品。“買(mǎi)了一個(gè)電視會(huì)員卡499.9元，四張加油卡，分別是兩張1000元，兩張1920元。”

據(jù)譚亮介紹，之所以需要“洗料”，除了將贓款洗白，還可以逃避各類電商平臺(tái)的風(fēng)控機(jī)制。“很多電商平臺(tái)，如果你消費(fèi)金額過(guò)大或頻次過(guò)多，系統(tǒng)認(rèn)為消費(fèi)異常，就會(huì)啟動(dòng)風(fēng)控機(jī)制，將賬戶凍結(jié)。這樣，就算盜刷了一大筆錢(qián)，也出不了。因此，就有人專門(mén)研究各種洗錢(qián)通道，幫助套現(xiàn)。”

在譚亮看來(lái)，受害者李天明的建行卡之所以會(huì)被綁定在其他平臺(tái)上進(jìn)行消費(fèi)，可能就是盜刷者在逃避京東的風(fēng)控機(jī)制。“把卡綁定在別的平臺(tái)后，可以在異地到各個(gè)不同的消費(fèi)場(chǎng)所或平臺(tái)去購(gòu)物，再套現(xiàn)。”

為了洗出更多的錢(qián)，犯罪分子還會(huì)鋌而走險(xiǎn)，購(gòu)買(mǎi)實(shí)物商品。“這種情況，一般是寄到外省，找一個(gè)沒(méi)有監(jiān)控的收貨地址，讓專人去收貨，并想辦法套現(xiàn)。”譚亮告訴新京報(bào)記者，之所以要選擇外省的地址，是因?yàn)槿绻慌e報(bào)，警方跨省調(diào)查手續(xù)更復(fù)雜，可以拖延時(shí)間。

李天明就發(fā)現(xiàn)，他的建行卡被綁定在掌上生活，并開(kāi)通一網(wǎng)通服務(wù)后，有人便開(kāi)始在福建泉州、河南濮陽(yáng)等地的商貿(mào)城進(jìn)行購(gòu)物。另一名住在龍崗的受害者也告訴新京報(bào)記者，她的銀行卡被綁定在交通銀行信用卡平臺(tái)——買(mǎi)單吧后，在廣東汕頭被進(jìn)行掃碼消費(fèi)。

新京報(bào)記者實(shí)測(cè)上述兩個(gè)信用卡平臺(tái)發(fā)現(xiàn)，在獲取驗(yàn)證碼的情況下，均可以用他人手機(jī)號(hào)進(jìn)行注冊(cè)，并綁定銀行卡。驗(yàn)證手段也是姓名、銀行卡號(hào)、身份證號(hào)碼、手機(jī)驗(yàn)證碼。

“他們手段太多，我怕合作后，越陷越深，最后失控。”譚亮告訴新京報(bào)記者，他一直都是自己嗅探、查資料、“洗料”，什么都懂一點(diǎn)，但懂得不多。“我自己沒(méi)有洗料通道，出不了錢(qián)，所以也就不可能盜刷很多錢(qián)。我只會(huì)充Q幣，包括最多的那筆5000元，也全充了Q幣。”

譚亮還告訴新京報(bào)記者，由于盜刷需要到各類平臺(tái)查詢事主各類信息資料，也衍生出了一些人專門(mén)幫忙查信息。

“還有人可能會(huì)通過(guò)黑產(chǎn)社工庫(kù)等違法手段獲取受害者的信息。”周正告訴新京報(bào)記者。地下“社工庫(kù)”掌握著眾多網(wǎng)站和網(wǎng)民的數(shù)據(jù)和信息。

不過(guò)，譚亮表示，據(jù)其了解，在目前的短信嗅探盜刷案件中，利用這類數(shù)據(jù)庫(kù)進(jìn)行查找用戶信息的較少，主要還是利用各類網(wǎng)站、APP本身的漏洞和缺陷。

有待提高的驗(yàn)證手段

8月14日-16日，新京報(bào)記者調(diào)查發(fā)現(xiàn)，許多平臺(tái)已經(jīng)提升網(wǎng)絡(luò)安全系數(shù)。開(kāi)通支付寶借唄需要人臉識(shí)別，開(kāi)通京東金條需要上傳身份證正反面。“京東金條的開(kāi)通，我是十幾天前（注：采訪日期為8月15日）才聽(tīng)說(shuō)開(kāi)始需要上傳審核資料的。”譚亮告訴新京報(bào)記者。

在李天明被盜刷的7月6日，犯罪嫌疑人輕易就開(kāi)通了他的京東金條進(jìn)行借款，“從短信驗(yàn)證碼看，是凌晨4點(diǎn)48分申請(qǐng)，4點(diǎn)49分就審核通過(guò)了，5點(diǎn)08分借款到賬。這肯定沒(méi)有人證合一的審核。”

新京報(bào)記者發(fā)現(xiàn)，相對(duì)來(lái)說(shuō)，微信在非常用設(shè)備上登錄時(shí)的驗(yàn)證是最復(fù)雜的，需要“回答安全問(wèn)題”、原設(shè)備“掃二維碼驗(yàn)證”、“邀請(qǐng)好友輔助驗(yàn)證”。此外，多個(gè)銀行的APP系統(tǒng)也在近期升級(jí)，登錄驗(yàn)證難度較高。

不過(guò)，新京報(bào)記者實(shí)測(cè)也發(fā)現(xiàn)，不少APP在非常用設(shè)備上登錄、修改密碼時(shí)，驗(yàn)證手段依然不夠安全。比如，支付寶在賬戶非常用設(shè)備上登錄、修改登錄密碼、修改支付密碼，進(jìn)而進(jìn)行轉(zhuǎn)賬、付款、提現(xiàn)，都可以通過(guò)“短信驗(yàn)證碼+身份證號(hào)+銀行卡號(hào)”實(shí)現(xiàn)。

在京東商城APP則可以通過(guò)“短信驗(yàn)證碼+歷史收件人姓名”進(jìn)行登錄，并通過(guò)“短信驗(yàn)證碼+銀行卡號(hào)+身份證號(hào)”重置支付密碼。蘇寧易購(gòu)也可以通過(guò)手機(jī)驗(yàn)證碼直接登錄，并使用“身份證號(hào)碼+手機(jī)驗(yàn)證碼”重置支付密碼。

在銀行APP方面，中國(guó)銀行、招商銀行，也是采用姓名、銀行卡號(hào)、身份證、驗(yàn)證碼的不同組合即可在非常用設(shè)備上登錄。

這就意味著，如果犯罪嫌疑人嗅探到用戶驗(yàn)證碼，并利用多個(gè)手段獲取身份證號(hào)、姓名、銀行卡號(hào)，即可在支付寶、京東、蘇寧易購(gòu)等平臺(tái)上進(jìn)行消費(fèi)。

不過(guò)，在網(wǎng)絡(luò)信息安全專家洪禾看來(lái)，目前國(guó)內(nèi)各大銀行APP，以及支付寶、京東、微信等平臺(tái)，安全級(jí)別還是很高，應(yīng)用本身并不存在危及用戶資金安全的明顯漏洞。“但是，加入一定的使用場(chǎng)景，情況就比較復(fù)雜了。比如，手機(jī)系統(tǒng)本身被破壞、短信被嗅探，或者別的渠道泄露信息，那這些APP本身再安全也可能面臨風(fēng)險(xiǎn)。”

事實(shí)上，短信嗅探帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題，已經(jīng)引起了業(yè)內(nèi)的注意。今年2月11日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織專家論證，發(fā)布《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對(duì)截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》，指出由于2G網(wǎng)絡(luò)存在單向鑒權(quán)和短信內(nèi)容無(wú)加密傳輸?shù)染窒扌裕叶绦沤孬@攻擊呈現(xiàn)工具化和自動(dòng)化趨勢(shì)，使利用此類威脅實(shí)施攻擊的門(mén)檻大幅降低，基于短信驗(yàn)證碼實(shí)現(xiàn)身份驗(yàn)證的安全風(fēng)險(xiǎn)顯著增加。

對(duì)此，上述技術(shù)指引建議，“各移動(dòng)應(yīng)用、網(wǎng)站服務(wù)提供商優(yōu)化用戶身份驗(yàn)證措施，選用一種或采用多種方式組合，比如通過(guò)短信上行驗(yàn)證、語(yǔ)音通話傳輸驗(yàn)證碼、常用設(shè)備綁定、生物特征識(shí)別、動(dòng)態(tài)選擇身份等驗(yàn)證方式，加強(qiáng)安全性。”

其中，短信上行驗(yàn)證是由用戶手機(jī)主動(dòng)發(fā)送指定短信內(nèi)容到各類應(yīng)用平臺(tái)進(jìn)行身份驗(yàn)證；常用設(shè)備綁定是指原則上支付、轉(zhuǎn)賬等敏感操作只能通過(guò)綁定的設(shè)備執(zhí)行；生物特征識(shí)別是人臉識(shí)別、指紋識(shí)別等。

龍崗警方提醒，如果手機(jī)收到來(lái)路不明的驗(yàn)證碼，有可能嫌疑人正在攻擊手機(jī)，這時(shí)候要立即關(guān)機(jī)，或啟動(dòng)飛行模式;睡覺(jué)時(shí)盡量關(guān)機(jī)或采用飛行模式。盡量關(guān)掉網(wǎng)站APP上的免密支付功能，或者降低每日、每筆最高限額。此外，如果看到銀行等金融機(jī)構(gòu)發(fā)來(lái)的驗(yàn)證碼，但不是本人操作，除了關(guān)閉手機(jī)，還要盡快凍結(jié)銀行卡，減少損失。