新京报一篇《“短信嗅探”调查:监控你的短信,只要不到30元?》,再一次将“GSM劫持+短信嗅探”这一“高科技”偷钱手段推成了热点。
其实,“短信嗅探”并不是新技术,早在两年前就有案件被查获,而且到现在,基于该技术盗窃成功的案例并不多,且其中不少已破案。
我的几个观点:
①利用GSM网漏洞,难根治,也没必要根治,尽快淘汰2G就好。
②利用短信嗅探截取用户短信的技术并不复杂,堵住技术交易途径并不容易。
③在安全认证中,安全等级从高到低依次是:身份证原件+本人→银行卡→手机SIM→短信验证码→互联网应用,手机号+短信验证码为互联网应用实名背书可以,为银行卡资金转移背书安全级别不足。多数银行在支付过程中已弃用短信验证码,而是采用密码、面部识别、图形密码等方式,电信运营商提供的基于“手机+SIM卡”的免密支付的安全性也比验证码高。
④仅凭短信嗅探获取短信,并不足以盗取用户资金(除非支付系统的安全性不足),实际盗取资金可能性很小,且痕迹较多,易破案。
⑤如出现资金被盗,除明确证明被盗者责任外,应由银行担责。
⑥不采用“短信嗅探”,补SIM卡、通过云平台截取短信等也曾经被骗子利用。
閱讀更多 TMT流程審計 的文章