“保管箱”不等于“保險(xiǎn)箱”，“短信保管箱”反而不保險(xiǎn)！日前，微博網(wǎng)友“公交姬”爆料自己因“短信保管箱”業(yè)務(wù)而遭遇的一場離奇的銀行卡被盜經(jīng)歷，然而這并非孤例。據(jù)360手機(jī)安全中心最新發(fā)布的2015年手機(jī)安全橙色預(yù)警顯示：智能手機(jī)時(shí)代，網(wǎng)購、轉(zhuǎn)賬等對(duì)短信驗(yàn)證碼的依賴程度更高，不法分子也意識(shí)到驗(yàn)證碼在移動(dòng)支付方面的重要作用，近來惡意利用短信托管服務(wù)竊取驗(yàn)證碼，已成威脅最大的驗(yàn)證碼攻擊手段。

　　“短信保管箱”

　　為“黑客”開后門

　　據(jù)微博網(wǎng)友“公交姬”爆料：7月1日，當(dāng)他正在家中玩電腦時(shí)，意外地收到了一條“短信保管箱”業(yè)務(wù)的訂購短信。這位反應(yīng)迅速的網(wǎng)友立即聯(lián)系客服，取消了這項(xiàng)業(yè)務(wù)，但之后手機(jī)又再次收到了“短信保管箱”業(yè)務(wù)的訂購短信。緊接著再就是開始收到數(shù)十條來自各個(gè)消費(fèi)網(wǎng)站發(fā)來的短信，里面是各種“短信驗(yàn)證碼”，于此同時(shí)銀行卡也被不法分子盜刷，損失超過1萬元。

　　“短信保管箱”為何成為黑客“幫兇”？據(jù)悉，“短信保管箱”是一種源自功能機(jī)時(shí)代的短信托管服務(wù)，是把手機(jī)上收到的短信自動(dòng)同步到運(yùn)營商的服務(wù)器上備份，機(jī)主可以通過運(yùn)營商網(wǎng)站查看這些短信。未開通“短信保管箱”業(yè)務(wù)時(shí)，手機(jī)用戶在網(wǎng)站注冊(cè)或消費(fèi)時(shí)，網(wǎng)站會(huì)通過通信網(wǎng)將驗(yàn)證碼發(fā)送到用戶手機(jī)中，是一種將密碼驗(yàn)證與短信驗(yàn)證碼結(jié)合起來的“雙因子認(rèn)證”方法；而開通“短信保管箱”業(yè)務(wù)后，網(wǎng)站發(fā)來的驗(yàn)證碼短信，一方面經(jīng)過通信網(wǎng)發(fā)送到用戶手機(jī)，另一方面則同時(shí)備份到Web端，通過攻擊Web端即可竊取驗(yàn)證碼，無需直接接觸用戶手機(jī)，這樣反而降低了“雙因子驗(yàn)證”的安全性。

　　“短信炸彈”輪番轟炸

　　讓人無暇顧及

　　受害者為何會(huì)收到大量驗(yàn)證碼短信？無獨(dú)有偶，和“公交姬”一樣，還有幾位“短信保管箱”受害者在銀行卡被盜刷前，也都突然收到過大量各種驗(yàn)證短信，提示自己在各種網(wǎng)站上注冊(cè)賬號(hào)的驗(yàn)證短信。據(jù)360手機(jī)安全專家介紹，這是不法分子在利用“短信炸彈”類軟件的轟炸攻擊策略，把對(duì)用戶來說最重要的銀行發(fā)來的支付驗(yàn)證短信淹沒在其它驗(yàn)證短信當(dāng)中，讓受害者無法第一時(shí)間發(fā)現(xiàn)銀行卡正被盜刷，為犯罪分子提供更充足的作案時(shí)間。

　　那么，“短信炸彈”類軟件為什么會(huì)通過注冊(cè)網(wǎng)站的方式來生成垃圾短信呢？一般來說，發(fā)送垃圾短信有很多種方法，但使用傳統(tǒng)方法發(fā)送垃圾短信會(huì)產(chǎn)生費(fèi)用，為實(shí)現(xiàn)零成本攻擊黑客就愛利用互聯(lián)網(wǎng)注冊(cè)驗(yàn)證機(jī)制來觸發(fā)垃圾短信，通過大量普通網(wǎng)站發(fā)送大量驗(yàn)證碼短信以達(dá)到零成本“轟炸”的目的。 本報(bào)記者 胡曉晶

　　● 電信運(yùn)營商在向網(wǎng)站同步用戶短信信息時(shí)，應(yīng)有意設(shè)定一定的延遲，從而使攻擊者即便從“短信保管箱”讀取了用戶的驗(yàn)證碼內(nèi)容，但這些驗(yàn)證碼也已過期。

　　● 用戶如突然收到大量莫名其妙的垃圾短信或驗(yàn)證碼短信，一定要仔細(xì)查看其中是否有銀行或第三方支付工具發(fā)來的驗(yàn)證短信或轉(zhuǎn)賬、消費(fèi)告知短信。如有，則應(yīng)立即聯(lián)系銀行考慮掛失銀行卡，或聯(lián)系第三方支付平臺(tái)凍結(jié)自己的支付賬號(hào)；同時(shí)使用殺毒軟件查殺木馬、攔截釣魚網(wǎng)站，并通過支付保鏢隔離保護(hù)交易驗(yàn)證碼短信。