网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　对手机用户来说，一旦遭遇GSM短信嗅探攻击，或者因为其他原因短信验证码内容被外泄，不法分子就可以利用获取的用户手机号码和验证码登录个人账户，用户会面临个人信息泄露甚至财产损失的风险。

　　人民网IT频道在采访过程中，多位来自通信、安全领域的业内人士均表示，目前涉及到支付确认、修改支付密码等高度涉及用户资金安全的验证时，如果仅仅是依靠短信验证码来确认用户身份，具有一定的安全隐患，希望有关部门及网上支付平台重视这个问题，尤其是网上支付平台不能为了便捷而牺牲用户的资金安全。

　　从技术上来说，2G的GSM网络使用单向鉴权技术，且短信内容以明文形式传输，该缺陷由GSM设计造成，且GSM网络覆盖范围广，因此修复难度大、成本高。

　　更重要的是，对于网上支付平台来说，除了短信验证之外，在涉及大额支付及修改用户交易密码等关键环节，增加新的验证手段，比如引入人脸识别等方式，也刻不容缓。

　　互联网厂商应承担更大安全责任

　　针对短信验证带来的安全隐患，全国信息安全标准化技术委员会在今年2月份联合多家单位发布了《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》，明确指出了基于短信验证码实现身份验证的安全风险现状、困难点，并给出了目前专家们认为可行的方案。

　　《安全指南》建议，各移动应用、网站服务提供商对业务系统中短信验证码的使用方式进行摸底，例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况，并评估相关安全风险，优化用户身份验证措施。建议采用多种方式组合，加强安全性。

　　这份指南同时强调，个人用户应做好手机号、身份证号、银行卡号、支付平台账号等敏感信息的保护。在收到来历不明的短信验证码等异常情况时，提高警惕，及时联系相关移动应用、网站服务提供商。

　　对此，黄琳认为，面对层出不穷的网络攻击技术，互联网企业更应该有所行动，加强风险防范，承担最大的责任。

　　对于普通消费者而言,除了不泄露自己的短信验证码之外，GSM劫持+短信嗅探主要针对GSM 2G网络用户，建议此类用户尽快升级到4G网络，并开通VoLTE，或者使用支持防伪基站功能的手机，提高安全防御等级。

　　中国科学院院士梅宏在接受人民网记者采访时也表示，从技术上，绝对避免这种事情的发生是有困难的。当新技术进入应用以后，确实会有一些人利用当初设计上的缺陷或者是当初未考虑到的因素来非法获利。“人类历史几千年所有的技术进步都是两面性的，没有哪项技术的发展在给人们带来便利的同时，没有带来别的负面因素的。”

　　梅宏认为，我们要看在发展过程中，怎么减少这种发展给我们带来的损失。在立法上，法律要有明确的界定，碰到这种问题一定要严厉打击。要靠法律的威慑力加上技术的辅助，两方面的协作。最重要的一点，是每一个用户都要有安全防范意识。在信息化社会对于消息一定要有一个自我、独立的判断，没有这些考量就很容易上当受骗。梅宏说，“要保证绝对的、全面的没有人上当受骗，这很难通过技术实现，需要多方努力。”