网上支付短信验证安全吗？&短息传播中可被截获
&&&&&来源：&&&&&日07:18&&&&字号：|
&&新闻背景
华商报4月23日见报的《买上万手机号 改支付宝密码盗23.8万元》，引起大家对第三方网络支付平台安全性的关注。不法分子之所以能通过网络进行盗窃，除了购买了大量手机用户号码和电信网上服务平台登录密码，关键是采用了拦截支付宝短信验证码的方法。
所有第三方支付平台和不少移动端网络应用，在进行用户身份验证时都很依赖手机短信验证码。而只要在规定时间内正确输入短信验证码，甚至可以立即重置重要的登录或支付密码。那么，短信验证码究竟能否当此大任？23日，西安电子科技大学的三位硕士研究生和记者一起做了一个实验。
&&实验验证
恶意程序盗取短信验证码，难吗？
实验时间：日16：00~17：00
实验地点：华商报社二楼
实验人员：西安电子科技大学计算机学院硕士研究生李鑫、王涛、张鹏，华商报记者
实验顾问：西安电子科技大学计算机学院博士、教育部信息安全团队骨干成员杨超、李兴华
为了做这次实验，三位硕士研究生使用了一个特殊的安卓手机软件，这是一个恶意程序，起名“钓鱼攻击”。
实验模拟的情境是，李鑫使用的一部安卓手机已中招，恶意程序一直在后台运行。该软件预先设置的黑客手机号码，是一起做实验的华商报记者的一部手机。
实验开始，李鑫打开手机“支付宝”进行登录。而实际上，他打开的只是一个钓鱼界面。但中毒手机的机主很难注意到，所以输入的账号、登录密码都是真的。
就在李鑫登录“支付宝”的瞬间，华商报记者的手机收到了一条短信，内容就是李鑫所用的支付宝账号和登录密码。如果充当黑客角色的华商报记者，此时立即打开自己手机上真正的支付宝应用，输入短信中的用户名和密码，完全可以登录并使用李鑫的支付宝账户。
如果黑客使用支付宝过程中，需要短信验证码怎么办？这个验证码，支付宝可不会直接发给黑客。
别急，按照程序设计，中毒手机在使用支付宝的过程中，只要收到含有“支付宝”三个字的短信，就会自动把短信内容转发给黑客手机。
为验证这一点，王涛将自己手机中存的支付宝过期短信验证码转发了一条给李鑫。几乎同时，华商报记者的手机就收到了同一条短信。如果这就是黑客需要的验证码，后果可想而知。重置密码、改绑手机，凡是黑客在操作中需要填短信验证码的环节，中毒手机都会自动在需要的时候通过短信转发过来。所以，几分钟甚至几十秒这样的时间限制，并不是问题。
就这么一个小小的程序，不但破解了支付宝账户名和登录密码，而且在操作中凡是需要短信验证码的时候，都会自动发给黑客。让华商报记者看得目瞪口呆。
李鑫说，为研究如何加强安卓系统防木马和钓鱼软件的功能，他们设计了一个新的安卓操作系统。为验证该系统防护性能，才专门制作了这样的“钓鱼攻击”软件。其实这样的钓鱼软件并不罕见，甚至在淘宝上花一二百元就能买到。这类恶意软件通常会和热门软件捆绑，或者伪装成游戏挂件等，用户很难辨别真假。一旦安装并运行了这样的软件，不仅用户在支付宝等第三方支付平台的账户名和密码会被偷偷发给黑客，有些软件还会让用户无法收到支付宝发来的短信。
&&实验总结
仅靠短信验证 无法确保支付安全
西安电子科技大学计算机学院博士、副教授杨超介绍，传统的银行账户实行实名强验证，也就是本人拿着身份证去当面验证，必要时输入验证密码。网络支付方式为突出便利性，降低了验证门槛，一般采取密码验证和短信验证相结合的方式，被称为“双因子验证”。但现在出现了两个问题：一是手机短信验证用过头了，被当做主要验证方式，用它可以去重置登录密码或支付密码，也就是说用短信验证去否决密码验证，这样的设计是不合适的。二是手机短信验证有天然缺陷，在传播过程中可以被截获，实验也说明了这样的问题。所以，短信验证码是不能单独担当主要验证权限大任的。
相关新闻：
全国首例网络盗窃支付宝账户余额案昨在西安二审
购买陕西1万个手机号码和网上营业厅登录密码，从中筛选出开通了支付宝功能的用户，通过激活短信拦截功能等一系列操作后，朱某等海南5男子就在千里之外篡改了西安用户的支付宝账户密码，大肆盗窃多人账户内23.8万余元。
团伙买来1万个陕西电话号码 盗刷57人支付宝20余万
倒卖1万名陕西电信用户资料，广州男子李某获利4000元；两个买主利用这些资料，在不到一个月时间就盗刷了多名用户支付宝内存款20余万！近日，三名嫌疑人被检察机关逮捕。
（责任编辑：同海怡)
分享文章到:
陕西省委宣传部
陕西省委网信办
陕西日报传媒集团主办
新闻热线：029-
商务合作：029-
本网站由陕西传媒网版权所有，未经授权禁止复制或建立镜像&&陕西日报网络发展有限公司负责制作维护邮箱与手机验证很安全?怎么泄漏你知道么
手机短信验证更靠谱？方便与安全　　除了使用邮箱验证方式，现在还流行使用手机短信验证方式。这种方式的好处在于无需格外登陆邮箱来接收验证邮件，只需要输入手机号码，然后输入手机里接收到的验证码就可以了，方便快捷，在一定程度上还比较的安全。　　因为想要通过找回密码方式来找回你的帐号密码，先得弄到你的手机卡来接收到的验证码信息才行。　　目前许多手机应用都支持有些只手机号码注册方式，也可通过手机号码验证方式取回密码。图8 N多手机应用支持手机号码注册手机短信验证的另一弊端 它也很危险　　但在另一方面，却是手机号验证方式却又是一个非常恐怖的坑，不信，咱接着往下看。你可别说别人拿不到你的手机卡，冒名挂失、意外丢失、手机被盗、乘你不备拿起你的手机接收短信、手机中了恶意应用、遭遇诈骗，等等的方式都能拿到验证短信甚至你的SIM卡。图9 危险的另一面弃用号码却忘注销云同步帐号 私人信息被陌生人获取　　事例二：云同步很爽 忘记注销别人更爽　　这也是一则新闻，大意就是一台新买的手机、一个新注册的手机号，结果用户使用该手机号注册手机里的云同步功能时，发觉帐号已被注册，然后通过短信验证找回密码，接着登陆发现一堆别人的云同步资料、什么通讯录、短信、照片等的一应俱全。图10 这些资料你同步了么？　　为何会这样呢？那是因为该手机号被上一个使用者废弃，运营商根据回收规则，N久时间后将号码重新投放出去，而旧用户并没有把使用该号码注册的云同步帐号给注销，结果新用户就可以使用该手机号来找回只认手机号码的云同步服务的密码，最终的结果就是一堆私人信息的泄漏。还有几则新闻的大意是，新注册的手机号竟然已经注册了支付宝。虽然没有身份证号码也取回不了密码，但是却是一个危险的事儿。图11 通过手机验证来修改密码　　小编提示：废弃一个手机号，一定要注销与之关联的帐户，或者更改相关联帐户的手机验证号码。　　相关文章推荐：图12 废弃号码记得注销或更改　　嗯，自从需要实名认证后，许多人换手机卡的机率就低了许多，换了以前，谁没有换过几个手机号啊，那么那些被废弃的手机号所关联的帐号密码，你们去注销了么？
键盘也能翻页，试试“← →”键
软件论坛帖子排行
最新资讯离线随时看
聊天吐槽赢奖品
相关软件：
大小：1.93 MB
授权：免费
大小：19.48 MB
授权：免费您好，分享的企鹅
动态口令更安全 手机银行短信验证码有被拦风险
　　资料图片。 （CFP供图）　　业内人士称 有动态口令密码保护的手机银行更安全　　今年以来，手机银行激战正酣，但记者连日来调查发现，目前各家银行的手机银行安全程序要求和进展不一，多家银行仅靠账户、密码以及手机验证码进行交易，仅包括中行、工行、农行等在内的几家银行配有手机银行动态口令牌（密码器），但仍有多家银行暂时还没有相关设备。　　手机银行可能遇到的安全问题主要有两个，一是手机遗失；二是手机遭黑客入侵。专家表示，若无动态密码，若仅凭借账号、账户的交易密码和手机验证码操作，手机一旦被盗窃或验证短信被复制、拦截，那么手机银行的账户资金安全就会受到威胁。　　今年以来，手机银行激战正酣，各家银行为了布局互联网移动金融业务，不惜将手机银行作为主战场热推，并用各种免手续费的优惠吸引客户，但记者连日来调查发现，目前各家银行的手机银行安全程序要求和进展不一，多家银行仅靠账户、密码以及手机验证码进行交易，其安全性受到质疑。　　转账免手续费吸引客户　　手机银行的业务大致可分为三类：一是查询、缴费业务，包括账户查询、转账、缴纳银行代收的水电费、电话费等；二是购物业务，指客户将手机信息与银行系统绑定后，通过手机银行平台购买商品；三是理财业务，包括购买银行理财产品、代销基金、炒股和炒汇等。　　目前中行、农行、交行、招行等多家银行，均已实现手机银行转账汇款完全免费。例如，据招行工作人员介绍，自2012年中旬至日，该行手机银行5万元以内转账汇款全部免费。　　除了免费大餐，部分银行的手机银行业务多实行优惠费率，如通过兴业银行手机银行进行同行转账汇款，其手续费全免，若是跨行转账，普通客户要收取一定费用。此外，工行、建行、中信等银行的手机银行业务也有一定的费用打折。　　短短一两年间手机银行发展突飞猛进，截至11月下旬，光大手机银行用户突破1000万户，是年初客户量的3.7倍。民生银行目前手机银行客户规模已突破400万户，2013年累计交易金额超6000亿元，户均交易笔数达到5笔多。　　数据显示，手机在2012年6月超过PC成为国内第一大上网终端。据艾瑞咨询预计，到2015年年底，手机银行用户将超3亿，手机银行资金处理规模将突破9万亿元。　　动态密码尚无统一标准　　目前多家银行手机银行的使用方式大概都是先开通手机银行业务，然后下载手机银行客户端，用户使用个人的账户号和密码再通过一个手机验证码进行交易。　　在业内人士眼里，手机银行的相关密码和账号并不能成为完全保证手机银行安全的保障。　　“此前发生过多起扫二维码窃取手机银行的账户和密码等信息的案例，事实上，不法分子如果想要窃取这两项资料并不难，难就难在有的银行的手机银行会配备动态口令密码器，密码是自动生成，因此增加了安全性。”一位外资行相关技术人士李先生告诉记者，“这种密码器是在客户自己手上，随机生成密码，有效期为15秒。”　　记者了解到，和网上银行的U盾类似，手机银行的动态口令牌（密码器）并非每家银行都有配备，其中，包括中行、工行、农行等在内的几家银行目前已经更新配备，但另外部分银行暂时仅凭借账号、账户的交易密码和手机验证码操作。　　“有动态密码安全系数会大很多。哪怕有动态密码卡也行，这方面内地银行步伐不一，业内也没有统一的标准和规定。”李先生表示。　　事实上，记者在一家银行的手机银行安全提示上看到，“客户在柜台开通手机银行时，请务必使用您本人的手机号码。”一位不愿意透露姓名的专家认为，一旦手机号和相关账户资料一起丢失，手机银行风险将会很大。　　专家：防个人信息泄露、手机中毒　　信息安全专家李铁军表示，用户个人信息泄露以及手机中毒是造成用户手机银行资金存在风险的两个前提。一是用户登录了钓鱼网站，或者被骗子直接骗取，导致包括用户姓名、银行卡号、身份证号等个人信息泄露；二是用户手机中了病毒，所获得的身份验证信息短信被病毒转发到不法分子的手机上或邮箱里，不法分子可直接使用用户的账号资金，或者不法分子在自己能控制的电脑或手机上开通第三方支付业务，窃取用户资金。李铁军还提醒道，有许多其实不怎么用手机银行的人，也开通了这个业务，应特别小心。　　提醒：　　设置银行账户消费限额　　李铁军提醒用户要注意以下几方面：首先，要在手机中安装杀毒软件；其次，要设置敏感应用的访问密码，一旦手机丢失，立即远程销毁手机数据；最后，不在手机上安装来历不明、可能有危险的程序。同时，用户要减少个人信息泄露，特别是手机号、身份证号、电子邮箱等敏感信息，拒绝过多的办理会员卡、抽奖等诱惑。关键的互联网服务，背后都必然对应一个唯一的邮箱，邮箱密码被盗，会带来严重风险。　　李铁军还说，要注意设置银行账户消费限额，设置银行消费的短信、邮件通知。(广州日报)
正文已结束，您可以按alt+4进行评论
扫描左侧二维码下载新闻客户端 更多惊喜送给你
想了解福建古闻、习俗、人文、美食等可以订阅精品原创栏目《光阴福建》
《翁进谈心》有专家为你解读情感方面的问题，让你生活更加美满。
关注原创栏目《康师父》，可以了解自身健康的方方面面，让你更为养生。
看过本文的人还看了
[责任编辑：wytursec]
福建自贸试验区十大创举发布 30家企业受表彰
台风“鲇鱼”逼近 南昌铁路局停售78列动车车票
关注排行图片排行
Copyright & 1998 - 2016 Tencent. All Rights Reserved售前电话：400-888-5912售后电话：400-999-1292
随着手机互联网的普及，日常消费中手机已经扮演着越来越重的角色。手机在方便我们生活的同时，也给我们的财产带来巨大的安全隐患。
近日有数位市民反映在没有任何登陆操作的情况下收到大量的莫名短信，都是以短信验证码的形式，短信轰炸长达数小时，短信达到几百条，这对当事人造成了巨大的精神困扰。
卡洛思短信在分析相关事件后认为，这种事情通常属于恶意报复行为所致，很早之前就有发生，报复人通常从各种渠道找到伪基站类的软件商，然后出钱要求对方进行指定手机号群发垃圾短信。
当然也有另一种可能，就是伪基站持有人自发群发垃圾验证码短信，一旦有人回复，就会自动获取到真实用户的手机号码，从而实行下一步的诈骗行为。
当手机遭遇短信验证码轰炸 你该如何应对？
如今诈骗团伙充分利用身份证、手机号码等存在的各种漏洞，进行补卡、骗取验证码等行为，因此自己的相关信息一定不要透露在公共场合，以免产生不必要的麻烦。
当手机遭遇短信验证码轰炸时，切记一定不要回复，可以通过调静音、关机等方式暂时不处理。然后等几个小时后大批量删除。如果觉得对方是恶意为之，也可以反馈给公安机关，以便查处伪基站的行踪。
上一篇： 下一篇：
售前咨询热线
400-888-5912
售后咨询热线
400-999-1292防止别人恶意刷新短信验证码，大家有没有好的方法 - 开源中国社区
当前访客身份：游客 [
当前位置：
昨天网站，调用短信接口的验证码被别人恶意刷了，幸亏短信商及时提醒了我们，说真的，用了好几年了一直很稳定，没有出现这种情况，大家有没有更好的方法解决一下呢。我们咨询过短信商这一块，它们说防止恶意获取可以加一下图片验证码，限制IP，限制手机号提交次数等，但大家还有没有更好一些的方法呢。短信发送验证码如下:
&public string SendNoteCode()
&&& //官方网站：
&&& string cid = "******";
&&& string username = "******";
&&& string userpwd = "******";
&&& string _sms = "******";
&&& string msg = "欢迎光临本网站，您的验证码是：" + Number(6, false) + "【化妆网】";
&&& msg = HttpUtility.UrlEncode(msg, System.Text.Encoding.GetEncoding("gbk"));
&&& string tel = txt_tel.Text.ToString().Trim();
&&& string url = "/sms/HttpInterface.aspx?comid=" + cid + "&username=" + username + "&userpwd=" + userpwd + "&handtel=" + tel + "&sendcontent=" + msg + "&sendtime=&smsnumber=" + _sms + "";
&&& string r = GetSend(url, "gbk");
&&& #endregion
&#region 生成随机数
&&&&&&& /// &summary&
&&&&&&& /// 生成随机数字
&&&&&&& /// &/summary&
&&&&&&& /// &param name="length"&生成长度&/param&
&&&&&&& /// &returns&&/returns&
&&&&&&& public static string Number(int Length)
&&&&&&&&&&& return Number(Length, false);
&&&&&&& /// &summary&
&&&&&&& /// 生成随机数字
&&&&&&& /// &/summary&
&&&&&&& /// &param name="Length"&生成长度&/param&
&&&&&&& /// &param name="Sleep"&是否要在生成前将当前线程阻止以避免重复&/param&
&&&&&&& /// &returns&&/returns&
&&&&&&& public static string Number(int Length, bool Sleep)
&&&&&&&&&&& if (Sleep)
&&&&&&&&&&&&&&& System.Threading.Thread.Sleep(3);
&&&&&&&&&&& string result = "";
&&&&&&&&&&& System.Random random = new Random();
&&&&&&&&&&& for (int i = 0; i & L i++)
&&&&&&&&&&& {
&&&&&&&&&&&&&&& result += random.Next(10).ToString();
&&&&&&&&&&& }
&&&&&&&&&&&
&&& #endregion
共有21个答案
<span class="a_vote_num" id="a_vote_num_
简直能被你们气哭了。。。哪有发短信不加验证码的，别人不说自己也该考虑到啊。。
加验证码是最有效的。
--- 共有 10 条评论 ---
加上图形验证码就解决了，网上有免费的，/service/captcha
(4个月前)&nbsp&
: 我遇到的是现在的新短信接口，只要是在网页端使用的，接口商都是强制必须有验证码，不然他不给你开通。。可能有些接口商不规范
(11个月前)&nbsp&
: 一个字：草！
(11个月前)&nbsp&
: 还给自己找了几件事去做！
(11个月前)&nbsp&
: 我们的网站发手机验证码没有加图片验证码。
我提了一下！算了，不说了，产品经理那里就没打算加！还给我我几个方案，限制单个手机每天发送量，限制IP，限制每天的发送总量！不知道他哪里搜索来的。产品经理不会写代码！
(11个月前)&nbsp&
<span class="a_vote_num" id="a_vote_num_
上验证码+IP限制
<span class="a_vote_num" id="a_vote_num_
加图片验证码就行了 &其他的没办法防
<span class="a_vote_num" id="a_vote_num_
上验证码就OK了
<span class="a_vote_num" id="a_vote_num_
验证与否无所谓，按IP限制一下就OK了
<span class="a_vote_num" id="a_vote_num_
加个表记录发送次数就行，每个手机每天不能超过5次。
<span class="a_vote_num" id="a_vote_num_
有些验证码其实是JavaScript生成，起部分拦截作用
<span class="a_vote_num" id="a_vote_num_
引用来自“xinson”的评论加个表记录发送次数就行，每个手机每天不能超过5次。
没用，因为手机号我能伪造啊，批量填写啊。当然，可以作为一个辅助手段。
只有验证码，才能解决这个问题。
<span class="a_vote_num" id="a_vote_num_
上验证码吧
<span class="a_vote_num" id="a_vote_num_
一个IP一天只能发X条
更多开发者职位上
有什么技术问题吗？
话说天下...的其它问题}