所有第三方支付平臺(tái)和不少移動(dòng)端網(wǎng)絡(luò)應(yīng)用，在進(jìn)行用戶身份驗(yàn)證時(shí)都很依賴手機(jī)短信驗(yàn)證碼。而只要在規(guī)定時(shí)間內(nèi)正確輸入短信驗(yàn)證碼，甚至可以立即重置重要的登錄或支付密碼。那么，短信驗(yàn)證碼究竟能否當(dāng)此大任？23日，西安電子科技大學(xué)的三位碩士研究生和記者一起做了一個(gè)實(shí)驗(yàn)。

實(shí)驗(yàn)驗(yàn)證

惡意程序盜取短信驗(yàn)證碼，難嗎？

●實(shí)驗(yàn)時(shí)間：2015年4月23日16：00~17：00

●實(shí)驗(yàn)人員：西安電子科技大學(xué)計(jì)算機(jī)學(xué)院碩士研究生李鑫、王濤、張鵬，記者

●實(shí)驗(yàn)顧問：西安電子科技大學(xué)計(jì)算機(jī)學(xué)院博士、教育部信息安全團(tuán)隊(duì)骨干成員楊超、李興華

為了做這次實(shí)驗(yàn)，三位碩士研究生使用了一個(gè)特殊的安卓手機(jī)軟件，這是一個(gè)惡意程序，起名“釣魚攻擊”。

實(shí)驗(yàn)?zāi)M的情境是，李鑫使用的一部安卓手機(jī)已中招，惡意程序一直在后臺(tái)運(yùn)行。該軟件預(yù)先設(shè)置的黑客手機(jī)號(hào)碼，是一起做實(shí)驗(yàn)的記者的一部手機(jī)。

實(shí)驗(yàn)開始，李鑫打開手機(jī)“支付寶”進(jìn)行登錄。而實(shí)際上，他打開的只是一個(gè)釣魚界面。但中毒手機(jī)的機(jī)主很難注意到，所以輸入的賬號(hào)、登錄密碼都是真的。

就在李鑫登錄“支付寶”的瞬間，記者的手機(jī)收到了一條短信，內(nèi)容就是李鑫所用的支付寶賬號(hào)和登錄密碼。如果充當(dāng)黑客角色的記者，此時(shí)立即打開自己手機(jī)上真正的支付寶應(yīng)用，輸入短信中的用戶名和密碼，完全可以登錄并使用李鑫的支付寶賬戶。

如果黑客使用支付寶過程中，需要短信驗(yàn)證碼怎么辦？這個(gè)驗(yàn)證碼，支付寶可不會(huì)直接發(fā)給黑客。

別急，按照程序設(shè)計(jì)，中毒手機(jī)在使用支付寶的過程中，只要收到含有“支付寶”三個(gè)字的短信，就會(huì)自動(dòng)把短信內(nèi)容轉(zhuǎn)發(fā)給黑客手機(jī)。

為驗(yàn)證這一點(diǎn)，另一位實(shí)驗(yàn)人員王濤將自己手機(jī)中存的支付寶過期短信驗(yàn)證碼轉(zhuǎn)發(fā)了一條給李鑫。幾乎同時(shí)，記者的手機(jī)就收到了同一條短信。如果這就是黑客需要的驗(yàn)證碼，后果可想而知。重置密碼、改綁手機(jī)，凡是黑客在操作中需要填短信驗(yàn)證碼的環(huán)節(jié)，中毒手機(jī)都會(huì)自動(dòng)在需要的時(shí)候通過短信轉(zhuǎn)發(fā)過來。所以，幾分鐘甚至幾十秒這樣的時(shí)間限制，并不是問題。

就這么一個(gè)小小的程序，不但破解了支付寶賬戶名和登錄密碼，而且在操作中凡是需要短信驗(yàn)證碼的時(shí)候，都會(huì)自動(dòng)發(fā)給黑客。讓記者看得目瞪口呆。

李鑫說，為研究如何加強(qiáng)安卓系統(tǒng)防木馬和釣魚軟件的功能，他們?cè)O(shè)計(jì)了一個(gè)新的安卓操作系統(tǒng)。為驗(yàn)證該系統(tǒng)防護(hù)性能，才專門制作了這樣的“釣魚攻擊”軟件。其實(shí)這樣的釣魚軟件并不罕見，甚至在網(wǎng)上花一二百元就能買到。這類惡意軟件通常會(huì)和熱門軟件捆綁，或者偽裝成游戲掛件等，用戶很難辨別真假。一旦安裝并運(yùn)行了這樣的軟件，不僅用戶在支付寶等第三方支付平臺(tái)的賬戶名和密碼會(huì)被偷偷發(fā)給黑客，有些軟件還會(huì)讓用戶無法收到支付寶發(fā)來的短信。

實(shí)驗(yàn)總結(jié)

僅靠短信驗(yàn)證 無法確保支付安全

西安電子科技大學(xué)計(jì)算機(jī)學(xué)院博士、副教授楊超介紹，傳統(tǒng)的銀行賬戶實(shí)行實(shí)名強(qiáng)驗(yàn)證，也就是本人拿著身份證去當(dāng)面驗(yàn)證，必要時(shí)輸入驗(yàn)證密碼。網(wǎng)絡(luò)支付方式為突出便利性，降低了驗(yàn)證門檻，一般采取密碼驗(yàn)證和短信驗(yàn)證相結(jié)合的方式，被稱為“雙因子驗(yàn)證”。但現(xiàn)在出現(xiàn)了兩個(gè)問題：一是手機(jī)短信驗(yàn)證用過頭了，被當(dāng)做主要驗(yàn)證方式，用它可以去重置登錄密碼或支付密碼，也就是說用短信驗(yàn)證去否決密碼驗(yàn)證，這樣的設(shè)計(jì)是不合適的。二是手機(jī)短信驗(yàn)證有天然缺陷，在傳播過程中可以被截獲，實(shí)驗(yàn)也說明了這樣的問題。所以，短信驗(yàn)證碼是不能單獨(dú)擔(dān)當(dāng)主要驗(yàn)證權(quán)限大任的。

專家解讀

遠(yuǎn)程身份驗(yàn)證以后可能靠“刷臉”

所有的第三方支付平臺(tái)，幾乎都賦予了短信驗(yàn)證碼重要的驗(yàn)證權(quán)限，可誰知道能獲取短信驗(yàn)證碼信息且在平臺(tái)上進(jìn)行操作的就一定是機(jī)主本人？第三方支付平臺(tái)和移動(dòng)端網(wǎng)絡(luò)應(yīng)用，該如何來解決短信驗(yàn)證碼難當(dāng)遠(yuǎn)程身份驗(yàn)證大任的尷尬？

楊超認(rèn)為，解決遠(yuǎn)程身份驗(yàn)證難題還有兩類辦法：

1.增加驗(yàn)證因子，以提高攻擊難度。比如增加身份證驗(yàn)證、郵箱號(hào)驗(yàn)證等等。

2.相關(guān)技術(shù)手段成熟后，可以增加指紋、虹膜、聲音等生物信息驗(yàn)證方式。據(jù)悉，指紋驗(yàn)證目前蘋果設(shè)備已經(jīng)能做到，而人臉識(shí)別技術(shù)正日趨成熟，“刷臉支付”將會(huì)成為移動(dòng)支付的下一個(gè)引爆點(diǎn)。 據(jù)《華商報(bào)》

使用電子支付，怎樣做更安全?

1、主要銀行賬戶，不要開通網(wǎng)銀及第三方支付平臺(tái)；開通第三方支付平臺(tái)的賬戶，里面不要儲(chǔ)存過多現(xiàn)金。

2、不要用公共場(chǎng)合的電腦進(jìn)行網(wǎng)上支付。

3、不了解的WiFi不要“蹭”。

4、釣魚網(wǎng)站一般都是用假支付頁面打掩護(hù)，只要從正規(guī)渠道進(jìn)入官網(wǎng)，可避免絕大部分木馬病毒等惡意軟件。

5、只從官方途徑下載手機(jī)APP，不要頻繁刷機(jī)，不接不明文件，不掃不安全的二維碼。

6、支付寶等第三方支付平臺(tái)的登錄密碼和支付密碼最好用數(shù)字和字母組合的高級(jí)別密碼。

7、經(jīng)常用手機(jī)購物的用戶，要養(yǎng)成設(shè)置開機(jī)密碼的習(xí)慣。

8、若出現(xiàn)手機(jī)、銀行卡等一起丟失情況，應(yīng)第一時(shí)間電話掛失手機(jī)卡，撥打95188凍結(jié)支付寶賬戶。