央視新聞報道了一起發生在去年的短信嗅探盜刷案件。2019年7月4日凌晨3點多，海南省三亞市宋女士的手機上突然收到了幾條短信驗證碼。不一會兒，手機又接到短信，顯示她的銀行卡被刷走了5萬元。

央視的報道再次讓“短信嗅探”進入大眾的視野。所謂短信嗅探技術，是通過特殊設備可以采集附近手機號碼和機主信息，實現不接觸目標手機，而獲得目標手機所接收到的驗證短信的犯罪手段。

有人認為短信嗅探盜刷是因為各大銀行、購物網站和移動支付App存在漏洞，但就作者來看，短信嗅探盜刷的本質是因為電信企業沒有做好數據全生命周期保護，而且這一身份認證手段是時候退出市場了。

短信驗證碼傳輸風險早有人提出

短信驗證碼主要用于用戶實名認證，在國內使用短信驗證碼已經成為了各大App、網站的基本操作。使用短信驗證碼可以完成登錄、更改密碼、轉賬、支付等諸多操作，從實質作用上，短信驗證碼已經變成安全口令：一個雙方約定好、只具有一分鐘生命的安全口令。

但是這個安全口令本身并不安全，事實上在2017年就有人提出了這個安全隱患：360 Unicorn Team的黃琳博士在阿姆斯特丹公開演示、驗證LTE重定向攻擊的可能性；中國海天集團有限公司創始人兼CEO Seeker在同年以如何利用LTE/4G偽基站＋GSM中間人攻擊攻破所有短信驗證為主題舉行了公開課。

Seeker認為，3GPP制定協議標準時，在考慮發生緊急情況、突發事件時可能產生大量手機業務請求，需要能及時調度網絡請求，轉移壓力，這時候大量的鑒權、加密、完整性檢查等安全措施可能導致網絡瓶頸，因此舍棄了部分安全措施，由此產生了安全漏洞。

也就是說，短信驗證碼被攔截是因為相關企業沒有做好數據全生命周期保護，在數據傳輸過程中出現了致命的漏洞。而這個漏洞由于屬于設計漏洞，因此修復難度大、成本高。

部分專家認為短信被嗅探并導致手機銀行被盜發生場景的概率是極低的，普通用戶無需過于擔心，更不需要在晚上睡覺時“主動關機”。

但實際上，這個漏洞的位置和用戶的位置正好位于不可觸及的兩端，用戶除了關機或打開飛行模式并沒有什么很好的防御方法。只要被攻擊，短信驗證碼肯定會被攔截，至于會不會被盜刷，主要看支付平臺風控做的如何，用戶完全無法控制。

是時候讓短信驗證碼退出市場了

2015年是短信驗證碼高速發展的時期，到2016年，短信驗證碼已經成為中國互聯網的標配。發展快速很大一部分原因是網信辦在2015年2月發布的《互聯網用戶賬號名稱管理規定》。

《規定》要求，互聯網信息服務提供者應當按照“后臺實名、前臺自愿”的原則，要求互聯網信息服務使用者通過真實身份信息認證后注冊賬號，且3月開始實施。由此，中國互聯網開始建立一個基于手機號碼綁定的實名制網絡空間。

短信驗證碼絕對不是完成網絡實名制最安全的辦法，但是在當時，這是最便捷的方法，限于技術、時間諸多因素，短信驗證碼的普及可以說是必然。近幾年有不少專業人士都希望可以推倒短信驗證碼，更換為其他實名認證手段，但同樣因為技術、時間等諸多因素難以實施。

但是現在，時代變了。隨著生物識別技術的普及和數字身份認證研究的進步，擺脫短信驗證碼的可能性出現在眼前。數字身份體系的逐漸普及或許可以讓短信驗證碼退出市場。

以公安三所研發的eID舉例，其簽發由公安部公民網絡身份識別系統完成，用戶身份認證通過生物識別技術完成，網絡身份認證通過用戶網絡身份應用標識編碼(appeIDcode)完成，安全性和隱私性可以得到充分保障，且eID已經可以載入幾乎所有國內主流手機品牌，普及性也可以得到保障。

公安一所研發的CTID雖然和eID采用了不同的技術路線，但是同樣可以做到相似的安全性、隱私性、普及性。隨著數字身份體系的發展，短信驗證碼在身份認證方面的應用在技術上完全可以被替代。

除了數字身份體系，兩步驗證也是頂替短信驗證碼非常有競爭力的選擇。谷歌已經開始啟用兩步驗證服務，使用一個專門的應用，在用戶的手機上保存動態密碼。Facebook和Twitter也開始使用不含手機號碼的兩步驗證。

去年3月，美國四大運營商還合力推出了移動驗證平臺以取代短信驗證碼。短信驗證碼一旦被取代，薅羊毛等黑灰產也將得到有效遏制。

現在應該怎么辦？

數字身份體系的發展和普及不可能一蹴而就，雖然近兩年已經得到了快速的發展，但是想要淘汰手機號+短信驗證碼建立的實名制體系還需要等待很長一段時間。在這一段時間內，用戶能做什么呢？

信安標委今年2月發布的《應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》中建議，各移動應用、網站服務提供商對業務系統中短信驗證碼的使用方式進行摸底，例如在用戶注冊、密碼找回、資金支付等環節的短信驗證碼使用情況，并評估相關安全風險，優化用戶身份驗證措施。建議采用多種方式組合，加強安全性。

這份指南同時強調，個人用戶應做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感信息的保護。在收到來歷不明的短信驗證碼等異常情況時，提高警惕，及時聯系相關移動應用、網站服務提供商。

換句話說，用戶能做的只有期望于盜刷不要發生在自己身上，在盜刷發生后第一時間報警，如果真的害怕，可將大額資金轉移到未綁定支付平臺的銀行卡，防止巨大損失。剩下的，就是等待，等待三大運營商修復漏洞，或者手機號+短信驗證碼實名制體系被頂替。

責任編輯：王煊