新京報一篇《“短信嗅探”調查:監控你的短信,只要不到30元?》,再一次將“GSM劫持+短信嗅探”這一“高科技”偷錢手段推成了熱點。
其實,“短信嗅探”並不是新技術,早在兩年前就有案件被查獲,而且到現在,基於該技術盜竊成功的案例並不多,且其中不少已破案。
我的幾個觀點:
①利用GSM網漏洞,難根治,也沒必要根治,儘快淘汰2G就好。
②利用短信嗅探截取用戶短信的技術並不複雜,堵住技術交易途徑並不容易。
③在安全認證中,安全等級從高到低依次是:身份證原件+本人→銀行卡→手機SIM→短信驗證碼→互聯網應用,手機號+短信驗證碼為互聯網應用實名背書可以,為銀行卡資金轉移背書安全級別不足。多數銀行在支付過程中已棄用短信驗證碼,而是採用密碼、面部識別、圖形密碼等方式,電信運營商提供的基於“手機+SIM卡”的免密支付的安全性也比驗證碼高。
④僅憑短信嗅探獲取短信,並不足以盜取用戶資金(除非支付系統的安全性不足),實際盜取資金可能性很小,且痕跡較多,易破案。
⑤如出現資金被盜,除明確證明被盜者責任外,應由銀行擔責。
⑥不採用“短信嗅探”,補SIM卡、通過雲平臺截取短信等也曾經被騙子利用。
閱讀更多 TMT流程審計 的文章