一觉醒来钱没了！短信验证码真的安全么

有个恐怖故事：小A一觉醒来钱没了，手机上还出现了很多条验证码。可是他明明什么事都没做，没丢手机也没丢卡，没点链接也没扫码……据报道，近期多地警方陆续接报一类蹊跷案件，很多人早上起床后发现手机收到多条验证码和银行扣款短信，网上银行APP登录账号和密码也被篡改，损失惨重。

不是盗取银行密码，也不是或是银行系统出bug，而是利用伪基站实施”GSM劫持+短信嗅探”的网络身份攻击技术。用这种技术让你一夜回到解放前只需三步——

1. 通过设备自动搜索附近手机号码，用该号码登录一些网站或应用，然后用”短信嗅探技术”拦截网站和应用发给用户的验证码。

2. 通过登录其他网站，从中碰撞用户的身份信息，此种方法称为”撞库”（即多个数据库之间碰撞）从而将用户的身份信息匹配出来，包括身份证、银行卡号、手机号、验证码等信息。

3. 在一些平台开通账号并绑定事主银行卡，冒充事主消费或套现，盗取事主银行卡资金。

对于用户而言想要保护个人财产，防止被”黑”需要注意这些问题——

1. 平时要做好手机号、身份证号、银行卡号、支付平台账号等私人信息保护；

2. 睡前关机或设置飞行模式，亦可关闭手机的移动信号，只连接WIFI，以提高被嗅探的难度；

3. 提高警惕，如果早上起来，看到半夜收到奇怪的验证码短信，立刻查看自己的银行卡和支付应用。若发现钱被盗刷，火速冻结银行卡，保留短信内容并报警；

4. 对于具有安全防护功能的APP，开启常用设备管理，设置夜间不可交易，防止财产损失；

5. 如果发现手机信号突然变成2G，要立刻意识到自己可能正遭遇短信嗅探攻击，并采取以上方式防御！

而对于产品来说，则更需要探索能保护用户防止被嗅探的方式。比如选用一种或采用多种方式组合（语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份等验证方式）。比如采用运营商独有的通信网关取号技术，在登录过程中准确识别用户手机号码直接达成验证。可帮助各移动应用、网站服务提供商应优化用户身份验证措施，加强安全性。

因为使用了通信网关取号技术，秒验的安全性已达到GSMA（全球移动通信系统协会）安全认证3级，仅次于银行级账号安全。而短信验证已日渐成为黑客截取用户信息的一个缺口，比如遭到GSM劫持等问题。两者相比而言，免密登录做的就是把风险从源头降到最低。

未来的身份验证必然是提升用户体验的、更安全、更加快速方便的，免密验证或许不是终点，但是它的诞生将带来一种新的操作体验，也将成为新一代主流的注册登录验证方式。关注MobTech秒验，获得更安全快捷的身份验证方式，再也不用担心短信验证带来的安全隐患。

去年今日运营文章

1. 2022:  『三节课』App的MVP设计(0)
2. 2022:  为什么要做工作分解结构（WBS）？(0)
3. 2018:  月薪3万的营销人如何利用消费者的七宗罪（嫉妒 & 傲慢）(0)
4. 2018:  我们常常讲引流，究竟在谈什么(0)
5. 2018:  在营销策略中，如何利用消费者的七宗罪(0)