所有第三方支付平臺和不少移動端網(wǎng)絡應用，在進行用戶身份驗證時都很依賴手機短信驗證碼。而只要在規(guī)定時間內(nèi)正確輸入短信驗證碼，甚至可以立即重置重要的登錄或支付密碼。那么，短信驗證碼究竟能否當此大任？23日，西安電子科技大學的三位碩士研究生和記者一起做了一個實驗。

　　實驗驗證

　　惡意程序盜取短信驗證碼，難嗎？

　　實驗時間：2015年4月23日16：00~17：00

　　實驗人員：西安電子科技大學計算機學院碩士研究生李鑫、王濤、張鵬，記者

　　實驗顧問：西安電子科技大學計算機學院博士、教育部信息安全團隊骨干成員楊超、李興華

　　為了做這次實驗，三位碩士研究生使用了一個特殊的安卓手機軟件，這是一個惡意程序，起名“釣魚攻擊”。

　　實驗模擬的情境是，李鑫使用的一部安卓手機已中招，惡意程序一直在后臺運行。該軟件預先設置的黑客手機號碼，是一起做實驗的記者的一部手機。

　　實驗開始，李鑫打開手機“支付寶”進行登錄。而實際上，他打開的只是一個釣魚界面。但中毒手機的機主很難注意到，所以輸入的賬號、登錄密碼都是真的。

　　就在李鑫登錄“支付寶”的瞬間，記者的手機收到了一條短信，內(nèi)容就是李鑫所用的支付寶賬號和登錄密碼。如果充當黑客角色的記者，此時立即打開自己手機上真正的支付寶應用，輸入短信中的用戶名和密碼，完全可以登錄并使用李鑫的支付寶賬戶。

　　如果黑客使用支付寶過程中，需要短信驗證碼怎么辦？這個驗證碼，支付寶可不會直接發(fā)給黑客。

　　別急，按照程序設計，中毒手機在使用支付寶的過程中，只要收到含有“支付寶”三個字的短信，就會自動把短信內(nèi)容轉(zhuǎn)發(fā)給黑客手機。

　　為驗證這一點，另一位實驗人員王濤將自己手機中存的支付寶過期短信驗證碼轉(zhuǎn)發(fā)了一條給李鑫。幾乎同時，記者的手機就收到了同一條短信。如果這就是黑客需要的驗證碼，后果可想而知。重置密碼、改綁手機，凡是黑客在操作中需要填短信驗證碼的環(huán)節(jié)，中毒手機都會自動在需要的時候通過短信轉(zhuǎn)發(fā)過來。所以，幾分鐘甚至幾十秒這樣的時間限制，并不是問題。

　　就這么一個小小的程序，不但破解了支付寶賬戶名和登錄密碼，而且在操作中凡是需要短信驗證碼的時候，都會自動發(fā)給黑客。讓記者看得目瞪口呆。

　　李鑫說，為研究如何加強安卓系統(tǒng)防木馬和釣魚軟件的功能，他們設計了一個新的安卓操作系統(tǒng)。為驗證該系統(tǒng)防護性能，才專門制作了這樣的“釣魚攻擊”軟件。其實這樣的釣魚軟件并不罕見，甚至在網(wǎng)上花一二百元就能買到。這類惡意軟件通常會和熱門軟件捆綁，或者偽裝成游戲掛件等，用戶很難辨別真假。一旦安裝并運行了這樣的軟件，不僅用戶在支付寶等第三方支付平臺的賬戶名和密碼會被偷偷發(fā)給黑客，有些軟件還會讓用戶無法收到支付寶發(fā)來的短信。

　　實驗總結(jié)

　　僅靠短信驗證 無法確保支付安全

　　西安電子科技大學計算機學院博士、副教授楊超介紹，傳統(tǒng)的銀行賬戶實行實名強驗證，也就是本人拿著身份證去當面驗證，必要時輸入驗證密碼。網(wǎng)絡支付方式為突出便利性，降低了驗證門檻，一般采取密碼驗證和短信驗證相結(jié)合的方式，被稱為“雙因子驗證”。但現(xiàn)在出現(xiàn)了兩個問題：一是手機短信驗證用過頭了，被當做主要驗證方式，用它可以去重置登錄密碼或支付密碼，也就是說用短信驗證去否決密碼驗證，這樣的設計是不合適的。二是手機短信驗證有天然缺陷，在傳播過程中可以被截獲，實驗也說明了這樣的問題。所以，短信驗證碼是不能單獨擔當主要驗證權(quán)限大任的。

　　專家解讀

　　遠程身份驗證以后可能靠“刷臉”

　　所有的第三方支付平臺，幾乎都賦予了短信驗證碼重要的驗證權(quán)限，可誰知道能獲取短信驗證碼信息且在平臺上進行操作的就一定是機主本人？第三方支付平臺和移動端網(wǎng)絡應用，該如何來解決短信驗證碼難當遠程身份驗證大任的尷尬？

　　楊超認為，解決遠程身份驗證難題還有兩類辦法：

　　1.增加驗證因子，以提高攻擊難度。比如增加身份證驗證、郵箱號驗證等等。

　　2.相關(guān)技術(shù)手段成熟后，可以增加指紋、虹膜、聲音等生物信息驗證方式。據(jù)悉，指紋驗證目前蘋果設備已經(jīng)能做到，而人臉識別技術(shù)正日趨成熟，“刷臉支付”將會成為移動支付的下一個引爆點。 據(jù)《華商報》

　　使用電子支付，怎樣做更安全?

　　1、主要銀行賬戶，不要開通網(wǎng)銀及第三方支付平臺；開通第三方支付平臺的賬戶，里面不要儲存過多現(xiàn)金。

　　2、不要用公共場合的電腦進行網(wǎng)上支付。

　　3、不了解的WiFi不要“蹭”。

　　4、釣魚網(wǎng)站一般都是用假支付頁面打掩護，只要從正規(guī)渠道進入官網(wǎng)，可避免絕大部分木馬病毒等惡意軟件。

　　5、只從官方途徑下載手機APP，不要頻繁刷機，不接不明文件，不掃不安全的二維碼。

　　6、支付寶等第三方支付平臺的登錄密碼和支付密碼最好用數(shù)字和字母組合的高級別密碼。

　　7、經(jīng)常用手機購物的用戶，要養(yǎng)成設置開機密碼的習慣。

　　8、若出現(xiàn)手機、銀行卡等一起丟失情況，應第一時間電話掛失手機卡，撥打95188凍結(jié)支付寶賬戶。