专家：第三方支付用短信验证码 便捷但不安全

4月13日，上海市信息安全行业协会在市经信委的指导下召集各方召开“银行卡信息安全闭门会议”，研究应对窃取银行卡信息常见手段的防范措施。

澎湃新闻记者从会上获悉，信息安全专家表示，很多第三方互联网支付公司广泛应用短信验证码，但短信的安全防护等级不高，易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。

短信验证码安全防护等级不高

上海市信息安全行业协会会长谈剑峰表示，任何一种认证方式从商用密码技术本身来讲全球没有破解算法攻击的案例，都是在应用过程中产生的攻击漏洞。比如，国内银行此前普遍采用的U盾认证方式，但U盾可以被电脑的木马程序劫持。

“杀毒软件只能杀掉已知的病毒，有很多木马是为特定攻击目标定制的，即使是杀毒软件也杀不掉。只要你的电脑中了木马，就会被远程控制，作案者可以将U盾中的数字证书转移给自己。”谈剑峰说。

他还表示，现在很多第三方互联网支付公司，包括手机银行，开始广泛应用动态手机验证码的方式，短信验证码因其方便易用、覆盖面广，已经成为当下最主要的移动支付认证手段。然而短信作为一种通信方式的固有属性，决定了其安全防护等级不高，易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。而安全性更高的USBKey和OTP令牌等硬件认证设备，因为携带不便、操作复杂、兼容性低，在移动互联网的场景下不被用户所接受，最终造成了“安全的没人用、便捷的不安全”这样尴尬的局面。

谈剑峰表示，实际生活中发生的案例有犯罪分子通过电商平台购买电信运营商提供的USIM卡，也就是传统意义上的空卡，然后通过短信指令向电信运营商发出换卡的申请，运营商就会给用户正使用的手机发去验证码。在此之前，犯罪分子早已用自己的伪基站给用户发送钓鱼短信，假称用户刚刚订购了某收费的订阅栏目，如果要取消订阅，就要回复收到的验证码。此时，有相当一部分用户会信以为真，并把验证码回复给犯罪分子。然后，利用得到的验证码，空中换卡功能完成，犯罪分子手中的空卡顺利地转变为用户的手机号码，而用户手中的手机号码则成为空卡。此时，用户的手机无法收发短信，接听拨打电话，但用户会误以为自己可能信号不好。在这短暂的时间里，犯罪分子就可以拿着手中的SIM卡去盗取用户的账号和密码，因为有相当一部分网站都提供手机号码登录和找回密码功能。“这种损失有可能让用户倾家荡产。”谈剑峰表示。

建议互联网身份认证实行统一管理

谈剑峰表示，国内第三方互联网企业会要求用户进行实名认证，认证时用户往往要输入姓名