手机短信验证码真的安全吗？ 手机短信验证码真的安全吗知乎

警惕！验证码也会掏空你的钱袋！

现如今，个人信息泄露愈发猖獗，单一的静态信息如账号、密码已经不能保证各类身份验证的安全，尤其是在线交易、网上支付更要当心。因此从银行开始，越来越多行业的安全策略采用了“验证码”的方式。但是，相对安全的“验证码”也存在一定的安全隐患，不法分子通过盗取用户验证码进行诈骗的犯罪分子也日益增多。

网警提醒：如果您收到陌生的验证码短信，一定要想到可能是遇到短信嗅探攻击了，赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了，火速冻结银行卡并报警是您的第一选择。

验证码保密级别堪比密码 千万不要随意泄露!

验证码保密级别堪比密码

千万不要随意泄露!

在虚拟的网络世界中，能证明你自己身份的证据就是你的手机号、你的邮箱、你的密码、你的验证码，当骗子掌握了这一切，骗子就变成了“你”。

烟台的小刘在下班回家的路上收到了一条杂志样刊的短信。他下意识的回复“退订”，却被告知指令不正确。紧接着“10086”发来短信提醒他订阅了一项增值业务，并告知他手机余额不足。小刘正在奇怪什么时候开通了这个业务，就收到另一个号码发来短信通知他已经成功订阅了这项业务，半年收费40元，落款是中国移动。根据短信提示，3分钟内可以取消，于是他回复了“取消+验证码”，刚好这时候“10086”发来了验证码短信，“尊敬的客户，您的USIM卡6位验证码为XXXXXX”，他只想着赶在3分钟之内完成退订，没有管USIM是什么就快速回复了“取消+XXXXXX”。半小时后，小刘发现自己的手机没有信号、无法上网、显示无服务，这样的情况之前也遇到过，他以为是欠费停机导致的。

回家后，小刘无数次重启手机都没用，连上wifi后，才发现出大事了！支付宝提示进行了数笔交易，这些交易都不是他本人操作的。他连忙电脑上网修改支付密码，然而手机无服务无法验证身份完成操作。于是他解除了所有银行卡的绑定。眼看自己的钱被转到了银行卡，他赶紧登录网银，可怕的是所有的网银都无法登录，全部提示密码错误。他赶紧微信找朋友帮忙打电话挂失了银行卡、冻结了支付宝。之后他发现自己登录支付宝的邮箱密码也被篡改，并且银行卡的余额通过网银被转到了陌生的账户。至此，一两个小时的时间，小刘已经被洗劫一空。

烟台网警提醒大家：移动互联网时代什么都变得轻松便捷，验证码的保密级别堪比密码，千万不要随意泄露，不可靠的信息一定要核实，有时候，拥有被害妄想症也是一件好事！

七成网民受网络信息安全威胁，手机验证码也不“靠谱”

信息势究竟有多严峻？只怕连手机短信验证码和人脸识别都不安全。

三成网民个人信息遭泄露

傅新华在会上公布了一组上海信息产业的数据：2016年，上海软件和信息服务业实现营业收入6904.35亿元，比上年同期增长14.1%；占第三产业比重达到10.1%，占全市国内生产总值的比重达到7.1%。其中，互联网金融经营收入达到496亿元，比上年同期增长28.8%；其中第三方支付收入达到350亿元；重点跟踪的17家网络信贷企业交易额达到200.35亿元，经营收入达到17.68亿元。

虽然各项数据增长幅度较高，但是由于互联网自身的开放性、企业防护机制不成熟、信息安全运维能力的薄弱等原因，信息安全问题阻碍了行业发展，损害了消费者的权益。傅新华举例称，截至2016年12月，中国网民规模达7.31亿，其中仅2016年遭遇网络信息安全问题的用户就占整体网民的70.5%，中病毒或木马发生比例占36.2%，账号或密码被盗发生比例占33.8%，个人信息泄露发生比例占32.9%。

上海市经信委信息安副处长刘山泉进一步举例道，2016年全球勒索软件感染率在8个月内增加了500%，而中国仅通过网页链接(URL)传播的勒索软件数量增长超过60多倍，并已快速成为勒索软件感染最严重的10大国家之一，“网络犯罪的门槛正变得越来越低，国内越来越多的用户更容易遭受到犯罪分子的网络威胁。”

当前，受害者受勒索软件感染的途径十分多样，包括电子邮件链接、邮件附件、网站漏洞、社交媒体平台、缺乏抵御能力的业务应用以及用于实现离线感染的USB驱动。刘山泉表示，大规模的电子邮件感染成本低廉、容易操作且被抓住的风险也相对较低，一些公司并未对文件进行加密或者没有做好从攻击中恢复文件的准备，让勒索软件有机可趁。

网络安全损失到底有多严重呢？

根据中国互联网协会发布的《中国网民权益保护与调查报告》统计，2015年网民因信息泄露、电信诈骗等现象导致总体损失约为人民币805亿元，2016年为915亿元。蒙受巨大损失的同时，每一天新增钓鱼网站仍有5000-8000个，每半天登陆钓鱼网站的人流量为1亿人次。

手机验证码易被拦截

而对于正常网站经常使用的一些身份验证措施，上海市信息安全行业协会会长谈剑峰表示，手机短信验证码和人脸识别“并不完全靠谱”。

谈剑峰指出，犯罪分子经常会以三种方式获取手机验证码，来盗刷银行卡：第一种是向受害者手机发送有木马病毒的短信，受害者上当后点开手机中毒，犯罪分子从而拦截验证码短信；第二种是谎称快递地址不清，要求受害者说出地址，然后在受害者所在位置一公里内架设特殊改装设备，对手机信号进行干扰，从而拦截验证码；第三种是窃取受害者在手机制造商、电信运营商等网站或具有短信同步功能的软件上的账号，开通或查询短信自动同步信息，获取验证码。而人脸识别等生物特征信息也可以被不法分子重构，由于这些信息是伴随终身、不可撤销的，负面影响更大。

但是中国对信息安全产业的投入目前还不够。谈剑峰举出一组数据：2015年网络信息安全投入占信息化发展收入的占比，美国是20%-25%，欧洲是10%-15%，而中国仅为1%-3%。

互金网络空间须共治共享

除此之外，热火朝天的互联网金融，也是风险隐患的高发区。

据刘山泉介绍，2016年8月，由移动互联网系统与应用安全国家工程实验室组成的专门检测团队，对88个互联网金融类移动APP进行了深入测试，发现了包括信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄露、敏感信息泄露等安全隐患。

“条块分割的管理机制难以适应互联网业务监管的新要求，必须倡导网络空间共治共享，特别是加强监管部门、互联网金融企业、科研院所信息汇聚，共建共享网络空间威胁情报分析、安全态势感知、事件预警和应急处置一体化机制，”针对如何改进，刘山泉说道，“必须注重网络安全的攻防兼备，为此安全保障重心应从单纯强调合规性要求转向综合应对信息技术风险，主动应对业务连续性挑战，从运行过程安全（检测与监测）、功能应用（APP）安全（开发与集成）、基础本质安全（自主可控）等层面把握整体安全。”