短信验证码也存在着安全隐患

短信验证码也存在着安全隐患

在中国今年的支付发展中，短信验证码的地位毋庸置疑，但是也因为短信验证码的缘故，致使很多人上当受骗，今天就让艾派短信通为大家讲解一下短信验证码的原理和优缺点，以及从用户和支付机构的角度如何去使用的防护短信验证码的安全，进行分析和介绍。

这个年代的人，只要接触过互联网，几乎没有不知道短信验证码的。从移动互联网时代起，以手机作为帐号进行注册的机制开始流行。原因是手机使用率高，号码具有唯一性，还给出了企业联系客户的方式。那么使用手机号进行注册，一开始就必须确定你注册的这个手机号是你本人的。就如同你用电子邮件注册一定会给你发一份确认邮件，你从这封邮件里面点击链接，会链接到这个网站，从而使网站确认这个邮件地址确实是你本人的。而短信验证码也可以类似地确定手机号码是否为本人的，即注册的会员手机会收到一个随机的验证码短信，内容大多为：“尊敬的顾客，您在某某网站注册，验证码为：******，在半小时内使用。”会员填写该验证码来验证手机确实为本人所有，于是通过注册。如果注册会员在半小时内未收到验证短信或者未将验证码填入验证，那该验证码将会失效，可再次点击"发送验证码"按钮，系统将会发送第二个验证码到注册会员手机上，再一次进行验证。从而确定用户对手机号码的所有权。

随着第三方支付业务的快速发展，手机短信验证码又成为支付安全验证的利器。支付中校验短信的原理是让用户感知到此支付行为正在发生，给盗刷用户帐号的骗子提高门槛，因为骗子可能拿到了支付密码，却未必掌握了用户的手机。并且用户收到了莫名其妙的支付短信验证码，会对帐号可能被盗有所感知，进而提高了安全性。支付密码也有对短信验证码的互补保护作用。用户丢了手机，拾到手机的人可获取短信验证码，但是有支付密码的门槛还是不能盗取用户财产。支付密码和短信验证码，互相支持，互为补充，可以说是支付安全的神雕侠侣。在各项支付业务中，都可以看到这对神雕侠侣的大展身手。

但是短信验证码作为安全的中流砥柱，又有其突出的弱点：明文发送，在通信途中被拦截和转发即失去了安全性，还有各类用人因工程欺骗受害者泄漏验证码的骗局，针对的都是这个弱点。我们翻开任何一本通信协议安全的教科书，第一章就会告诉我们，通信双方是不能明文通讯的，因为攻击者一定是有能力在传播过程中对信息进行读取、拦截、修改或者重放的。短信走的是运营商的通道，现在并没有直接接收无线信号而拦截短信的案例出来，但是，到了手机上，短信验证码遭遇了手机木马的攻击。

手机木马是2014年春天开始崛起的，主要以安卓平台为主。安卓平台的发行应用的渠道比较混乱，又可以自行下载APK文件进行安装，这就给了黑客种植木马的好机会。木马是怎么进入用户的手机呢？最

重要的一个方式就是钓鱼短信。现在客户习惯了通过短信来接收诸如电信、银行、航空公司、支付企业的通知。这种对短信通知的信任又催生了钓鱼短信的大发展。而短信最要命的一点是单边验证，发的人能确保接收的人就是这个手机号，收的人说实话验证不了到底是谁发的短信。有各种修改显示号码的黑客软件，能发出显示成银行电信等服务号码的短信，内容就是各种官方口气的通知，诱使客户去点击链接。用户就点进去后有一个APK下载下来提示安装，安装后手机就中了木马。木马的传播是非常迅速的，中了木马的手机，会悄悄地给通讯录里面的人发送钓鱼短信，还会智能地按照通讯录里面的记录称呼，给儿子的短信可能就是儿子的小名，给爱人的短信可能就是很少有人知道的爱称，短信的内容大多是什么我最近拍了些照片，点击链接就可以看到这类的。这就大大增强了钓鱼短信的可信度，促使更多人中招。中招的手机继续向通讯录发短信扩散木马，这样一传十，十传百，木马迅速就传播开了。

木马种植到手机里面，就隐藏起来。它会专门监视各个支付平台的短信验证码和和银行的扣款通知短信，对短信验证码木马会自动转发到骗子控制的设备上，对于银行扣款的通知短信，木马悄悄删掉。这样用户根本感知不到支付行为的发生。骗子利用钓鱼网站收集过来的客户信息进行诈骗，验证中需要的支付密码的，骗子就用木马转发来的短信验证码填写就可以了。这样一来，短信验证码在安全上的防护作用就被彻底地破坏了。

和短信验证码相比，支付密码的保护就相应好一些。各个支付平台以及手机银行程序都会使用自己编写的控件来输入密码，这就很好地防止了木马窃取支付密码。而短信验证码的关键弱点是缺乏保护，在手机操作系统底层就有操控短信的API，任何应用都可以调取这些API，虽然安装时系统会提示该应用会需要开通读取短信权限，但是现在流行的应用几乎都是要一大堆莫名其妙的权限，用户早已经麻木这类提示，所以各类木马公然获得这些权限从而对短信验证码进行窃取。

从用户角度来说，一定要注意各类应用对读取短信有关的权限的说明，最好不要直接点击短信里面的链接，以防被钓鱼。另外对莫名其妙出来的的安装文件千万不要安装，并且注意要在手机上面安装杀毒软件，定期对病毒和木马进行查杀。最后一点，用户自己最好时刻监控账户的支付情况，不光包括各类支付帐号，也要包括银行卡里面的各类交易，

从支付企业的角度来说，应该充分意识到短信验证码的安全性缺陷，一定要查处自家产品的信任链，不能把各类安全业务如修改密码和改绑手机证书的最后条件全靠短信验证码，另外在多种验证方式来保护用户的安全，如安全问题、指纹识别、人脸识别都是可以和短信验证码互为补充来进行身份验证的。另外，各家支付机构和安全机构要同心合力，把木马和钓鱼网站信息共享，配合公安机关抓捕相关人员，

从根本上确保用户安全。

总而言之，短信验证码在推动电子支付快速发展的大潮中功不可没，但是现在在手机木马的猖狂进攻下，短信验证码的不足也暴露地越来越明显，可以预见到，在未来数年中，短信验证码在支付安全中还将扮演着一定的角色，但是越来越多的身份验证手段会更加紧密地配合，共同防护支付安全！