一個(gè)人的網(wǎng)絡(luò)維權(quán)引來(lái)數(shù)萬(wàn)人的圍觀。北京網(wǎng)友“公交姬”在微博上報(bào)料自己因“短信保管箱”業(yè)務(wù)而遭遇的一場(chǎng)離奇的銀行卡被盜經(jīng)歷，引起了很多人的關(guān)注。而后在當(dāng)?shù)孛襟w的跟進(jìn)報(bào)道中，發(fā)現(xiàn)遭遇同類狀況的不止一個(gè)人，一度讓此事件進(jìn)入百度實(shí)時(shí)熱點(diǎn)前五名。

　　短信保管箱被攻擊

　　“公交姬”在其微博中自述，今年2月，他發(fā)現(xiàn)自己的工行卡，總是被人莫名其妙地輸錯(cuò)密碼凍結(jié)，即便開(kāi)了新卡也不管用?？蓡?wèn)題是，他的卡一直都在自己手上，也從來(lái)沒(méi)有泄露過(guò)卡的信息。7月初，他收到了一條“短信保管箱”業(yè)務(wù)的訂購(gòu)短信，而他本人并未開(kāi)通過(guò)此項(xiàng)業(yè)務(wù)。這位反應(yīng)迅速的網(wǎng)友立即聯(lián)系客服，取消了這項(xiàng)業(yè)務(wù)，但不久之后，該服務(wù)竟又反復(fù)“被開(kāi)通”。無(wú)奈之下，他修改了自己的10086賬號(hào)密碼。

　　但緊接著，他就收到了數(shù)十條來(lái)自各個(gè)消費(fèi)網(wǎng)站發(fā)來(lái)的提示短信和銀行發(fā)送的資金劃轉(zhuǎn)的提示，里面是各種“短信驗(yàn)證碼”——他的銀行卡已被不法分子盜刷，損失超過(guò)1萬(wàn)元。

　　“短信保管箱”究竟是什么？據(jù)了解，“短信保管箱”是一種源自功能機(jī)時(shí)代的短信托管服務(wù)。功能是可以把手機(jī)上收到的短信自動(dòng)同步到運(yùn)營(yíng)商的服務(wù)器上備份，手機(jī)用戶也可以通過(guò)運(yùn)營(yíng)商網(wǎng)站查看這些短信。

　　“未開(kāi)通‘短信保管箱’業(yè)務(wù)時(shí)，手機(jī)用戶在網(wǎng)站注冊(cè)或消費(fèi)時(shí)，網(wǎng)站會(huì)通過(guò)通信網(wǎng)將驗(yàn)證碼發(fā)送到用戶手機(jī)中，是一種將密碼驗(yàn)證與短信驗(yàn)證碼結(jié)合起來(lái)的‘雙因子認(rèn)證’方法?！?60手機(jī)安全中心的一位安全專家告訴錢(qián)江晚報(bào)記者，在開(kāi)通“短信保管箱”業(yè)務(wù)后，網(wǎng)站發(fā)來(lái)的驗(yàn)證碼短信，一方面經(jīng)過(guò)通信網(wǎng)發(fā)送到用戶手機(jī)，另一方面則同時(shí)備份到Web端。不法分子通過(guò)攻擊Web端即可竊取驗(yàn)證碼，無(wú)需直接接觸用戶手機(jī)，這樣就降低了“雙因子驗(yàn)證”的安全性。

　　工行緊急澄清：錯(cuò)不在我

　　據(jù)報(bào)道，在“公交姬”微博報(bào)料之后才發(fā)現(xiàn)這并非個(gè)案。北京地區(qū)多位儲(chǔ)戶遇到類似情況，有類似經(jīng)歷的受騙者在社交工具上成立交流群，規(guī)模近20人。一時(shí)之間，工行“工銀e支付”有重大漏洞的說(shuō)法傳開(kāi)。

　　隨后，工商銀行在其微信公眾號(hào)上緊急澄清，“經(jīng)分析與核查，工銀e支付業(yè)務(wù)運(yùn)營(yíng)正常，也未發(fā)生泄露客戶信息的情況”，“工銀e支付曝漏洞系誤解”。稱事發(fā)原因是，“不法分子使用非法手段獲取了客戶的相關(guān)信息和密碼，再利用客戶信息開(kāi)通了客戶手機(jī)的‘短信保管箱’業(yè)務(wù)，從而獲取交易驗(yàn)證短信并盜取資金。目前通訊運(yùn)營(yíng)商已采取了改進(jìn)措施?！蓖瑫r(shí)表示，將積極配合公安機(jī)關(guān)偵破案件，“全力幫助客戶挽回?fù)p失”。

　　那么造成盜刷成功的漏洞到底在哪里？一般來(lái)說(shuō)銀行的驗(yàn)證環(huán)節(jié)都做得比較謹(jǐn)慎完備，不太可能出現(xiàn)缺少驗(yàn)證就放行的情況，而在此類事件中恰恰出現(xiàn)了一個(gè)“非一般情況”。

　　“基于短信驗(yàn)證碼的快捷支付功能，是通過(guò)短信接收動(dòng)態(tài)驗(yàn)證碼完成付款的，也就是說(shuō)，如果銀行卡預(yù)留的手機(jī)號(hào)是該地（北京）號(hào)碼，同時(shí)開(kāi)通這兩項(xiàng)業(yè)務(wù)（即‘短信保管箱’和銀行卡的動(dòng)態(tài)驗(yàn)證碼），就存在被轉(zhuǎn)賬的可能?！彬v訊雷霆行動(dòng)相關(guān)負(fù)責(zé)人解釋說(shuō)，短信保管箱這種云端備份服務(wù)，客觀上來(lái)說(shuō)就提供了另外一種閱讀短信的方式，大大降低了驗(yàn)證碼的安全性和獨(dú)立性。

　　“我們對(duì)本次安全事件進(jìn)行了分析，初步判斷：黑客是通過(guò)‘社會(huì)工程學(xué)’獲取了受害者的手機(jī)服務(wù)密碼等信息后，登錄運(yùn)營(yíng)商的系統(tǒng)為其開(kāi)通‘短信保管箱’業(yè)務(wù)。這樣就能通過(guò)網(wǎng)站查看受害人的短信（包括工行e支付驗(yàn)證碼），達(dá)到非法轉(zhuǎn)賬的目的?！?騰訊安全應(yīng)急響應(yīng)中心相關(guān)負(fù)責(zé)人表示。

　　浙江并未推“短信保管箱”業(yè)務(wù)

　　據(jù)了解，已發(fā)現(xiàn)的此類盜刷均在北京地區(qū)，于是板子打到了提供“短信保管箱”業(yè)務(wù)的北京移動(dòng)身上。對(duì)此北京移動(dòng)回應(yīng)稱，正在仔細(xì)對(duì)比客戶被盜刷時(shí)段的數(shù)據(jù)記錄，如果查實(shí)確實(shí)是移動(dòng)的業(yè)務(wù)問(wèn)題，“我們?cè)敢獬袚?dān)賠償責(zé)任”。

　　北京移動(dòng)表示，已逐一對(duì)十余起類似客戶投訴進(jìn)行了仔細(xì)核查，通過(guò)后臺(tái)網(wǎng)絡(luò)日志發(fā)現(xiàn)，此類不知情定制均系不法分子使用客戶的手機(jī)號(hào)和客服網(wǎng)站密碼，通過(guò)手機(jī)登錄客服網(wǎng)站開(kāi)通的。目前，北京移動(dòng)已暫停了短信保管箱業(yè)務(wù)的短信查詢等功能，并正在對(duì)此業(yè)務(wù)優(yōu)化，優(yōu)化內(nèi)容包括“不保存銀行下發(fā)的短信”、“只能查詢24小時(shí)前企業(yè)短信”、“需要?jiǎng)討B(tài)密碼驗(yàn)證”等，所有業(yè)務(wù)優(yōu)化會(huì)在8月底前完成。

　　錢(qián)江晚報(bào)記者致電浙江移動(dòng)求證此事時(shí)，其相關(guān)負(fù)責(zé)人表示，“浙江移動(dòng)并未推出此項(xiàng)業(yè)務(wù)”。

　　雖然“短信保管箱”業(yè)務(wù)僅在北京移動(dòng)推出，據(jù)了解在部分地區(qū)該項(xiàng)業(yè)務(wù)其實(shí)是在“試商用階段”，也就是說(shuō)雖未正式推出，但如果用戶主動(dòng)通過(guò)發(fā)送短信的方式自助開(kāi)通也是可以的。

　　四點(diǎn)安全建議請(qǐng)一定記牢

　　360手機(jī)衛(wèi)士的安全專家告訴記者，他們發(fā)現(xiàn)幾位受害者在銀行卡被盜刷前，都會(huì)突然收到大量各種驗(yàn)證短信，主要是提示自己在各種網(wǎng)站上注冊(cè)賬號(hào)的驗(yàn)證短信?！斑@是不法分子利用‘短信炸彈’對(duì)受害者進(jìn)行轟炸，把對(duì)用戶來(lái)說(shuō)最重要的銀行發(fā)來(lái)的支付驗(yàn)證短信淹沒(méi)在其它驗(yàn)證短信當(dāng)中，從而使其不能在第一時(shí)間發(fā)現(xiàn)自己的銀行卡正在被盜刷?！?/p>

　　目前，不法分子主要通過(guò)三種方式竊取短信驗(yàn)證碼。如果你的手機(jī)也出現(xiàn)在短時(shí)間內(nèi)被短信“轟炸”的情況，一定要重視。（見(jiàn)上圖）

　　用戶有什么辦法自我保護(hù)呢？幾位安全專家一致答復(fù)：對(duì)此類作案手段目前尚無(wú)妥善的安全防護(hù)方法。不過(guò)，手機(jī)用戶可用一些簡(jiǎn)單有效的方法盡可能避免或減少損失：

　　1、不要用手機(jī)下載不明軟件，不要查看不明短信，不要點(diǎn)開(kāi)不明網(wǎng)站，避免中木馬！

　　2、不要在所有網(wǎng)站上都是用相同的賬號(hào)密碼，重要的網(wǎng)站需要設(shè)置高強(qiáng)度的復(fù)雜密碼并定期修改，尤其是社交賬號(hào)、網(wǎng)銀賬號(hào)和常用的電子郵箱，都一定要單獨(dú)設(shè)置密碼；

　　3、盡量不要在多個(gè)電商網(wǎng)站或者支付平臺(tái)都開(kāi)通快捷支付，減少受害的可能；

　　4、保管好銀行卡號(hào)、身份證號(hào)和手機(jī)號(hào)等個(gè)人信息，不要給來(lái)歷不明的個(gè)人和機(jī)構(gòu)提供這些信息；

　　還有，盡量避免注冊(cè)和使用任何 “短信保存”類型的業(yè)務(wù)。一旦發(fā)現(xiàn)自己手機(jī)被莫名其妙注冊(cè)了這種服務(wù)，請(qǐng)立刻凍結(jié)銀行卡并報(bào)警，全面檢查電腦和手機(jī)是否中毒。如果確定被盜，請(qǐng)更換銀行卡和手機(jī)卡吧！