在當(dāng)下這個(gè)年代，幾乎是人人都在用手機(jī)，只要在用手機(jī)，就沒有不知道短信驗(yàn)證碼的。隨著手機(jī)更新?lián)Q代的速度變快，各大APP也隨之誕生。一般要使用APP，都需要進(jìn)行登錄認(rèn)證，最常見的就是將手機(jī)號(hào)碼作為身份認(rèn)證。因?yàn)槭謾C(jī)使用率很高，電話號(hào)碼又具有唯一性。

仔細(xì)數(shù)一數(shù)，我們每個(gè)人的手機(jī)號(hào)可能都綁定了很多賬號(hào)。比如說支付寶、微信、騰訊視頻等，綁定的賬號(hào)越多，觸碰到的個(gè)人信息也就會(huì)越多。短信驗(yàn)證碼的呈現(xiàn)方式，相信大家并不陌生，一般你注冊(cè)賬號(hào)的時(shí)候會(huì)收到一個(gè)隨機(jī)的驗(yàn)證碼短信，內(nèi)容大多為：“尊敬的顧客，您在某某網(wǎng)站注冊(cè)，驗(yàn)證碼為：xxxxxx，請(qǐng)您在半小時(shí)內(nèi)使用，過期無效?！?/p>

當(dāng)你填寫驗(yàn)證碼后，就通過了注冊(cè)。如果你沒有在規(guī)定時(shí)間里填入驗(yàn)證碼，就可以再次點(diǎn)擊“發(fā)送驗(yàn)證碼”按鈕，系統(tǒng)就會(huì)再次發(fā)送短信，進(jìn)行第二次的驗(yàn)證，從而確定用戶對(duì)手機(jī)號(hào)碼的所有權(quán)。

在當(dāng)下移動(dòng)手機(jī)占據(jù)市場(chǎng)的環(huán)境下，短信驗(yàn)證碼會(huì)時(shí)常出現(xiàn)在我們的日常生活里，那么短信驗(yàn)證碼有沒有隱患呢?

肯定是有的，目前來說，短信驗(yàn)證碼的威脅主要有幾方面：

第一，智能手機(jī)平臺(tái)上的短信木馬。手機(jī)木馬是2014年春天開始大量出現(xiàn)的，主要以安卓平臺(tái)為主。木馬進(jìn)入手機(jī)最重要的一個(gè)方式就是釣魚短信，尤其在當(dāng)下，客戶要去企事業(yè)單位辦事，后續(xù)反饋基本都是通過短信的方式來告知的，比如銀行、支付企業(yè)、政務(wù)單位等的通知。這種信任就會(huì)讓釣魚短信有施展空間，釣魚短信總是會(huì)以各種官方的語氣來發(fā)送內(nèi)容，里面都會(huì)有一個(gè)鏈接。用戶被誘導(dǎo)后就會(huì)點(diǎn)擊進(jìn)去，有一個(gè)APK下載下來提示安裝，一旦安裝，手機(jī)就中了木馬。

而且木馬的傳播非常迅速，會(huì)悄悄的給手機(jī)上的聯(lián)系人發(fā)送各種釣魚短信，以此擴(kuò)大。

在【支付寶大盜分析報(bào)告】里可以看到很多案例，其中有一類木馬就廣泛用于支付寶詐騙，不法分子誘騙受害者通過二維碼下載安裝木馬，隨后重置受害者的支付寶、淘寶賬戶盜取錢財(cái)。這類木馬已經(jīng)形成了非常完整的產(chǎn)業(yè)鏈：從制馬人員到售馬、租馬、到實(shí)施釣魚、欺騙、洗號(hào)、轉(zhuǎn)移錢財(cái)。

第二，補(bǔ)卡攻擊、克隆攻擊。短信驗(yàn)證碼事實(shí)上是基于手機(jī)號(hào)(SIM卡/運(yùn)營商服務(wù))，而不是基于手機(jī)設(shè)備。只要有相同的一張卡，自然就可以接收到驗(yàn)證碼，并且對(duì)賬號(hào)進(jìn)行重置。根據(jù)運(yùn)營商的說法，辦理補(bǔ)卡業(yè)務(wù)需要提供身份證和服務(wù)密碼，如果忘記服務(wù)密碼，還需要提供最近五次的電話聯(lián)系記錄。這里的薄弱環(huán)節(jié)主要在于部分地區(qū)的運(yùn)營商對(duì)補(bǔ)卡人員身份驗(yàn)證不夠嚴(yán)格。在早年SIM卡構(gòu)造簡(jiǎn)單的時(shí)候，甚至還能直接去克隆一張卡出來。不過近些年隨著技術(shù)的進(jìn)步，這方面的管理也越來越嚴(yán)格了。

第三，無線電監(jiān)聽方面。其實(shí)就是通過偽基站對(duì)用戶進(jìn)行監(jiān)聽，從而獲得短信內(nèi)容，然后進(jìn)行盜竊活動(dòng)。

目前針對(duì)這三方面，安卓系統(tǒng)已經(jīng)收緊了短信權(quán)限，同時(shí)運(yùn)營商在維護(hù)方面也加強(qiáng)了安全意識(shí)，現(xiàn)在的管理也越來越嚴(yán)格。

作者介紹：凌凱君，不會(huì)賣短信的文案不是好銷售，一個(gè)做夢(mèng)都想著賺錢發(fā)財(cái)蓋別墅的打工人。