支付SMS验证是否足够安全？黑客软件可能被盗

所有第三方支付平台和许多移动网络应用程序都依靠手机SMS验证码来进行用户身份验证. 只要在指定时间内输入正确的SMS验证码，就可以立即重设重要的登录或付款密码. 那么，SMS验证码能大有作为吗？ 23日，西安电子科技大学的三名和一名记者一起进行了实验.

实验验证

恶意程序难于窃取SMS验证码吗？

●实验时间: 2015年4月23日16:00至17:00

●实验人员: 李欣，王涛，张鹏，西安电子科技大学计算机科学与技术学院，记者

●实验顾问: 杨超博士，李兴华博士，教育部信息安全团队骨干成员，西安电子科技大学计算机学院博士，

为了进行此实验，三名使用了一种特殊的Android手机软件，该软件是一个名为“网络钓鱼攻击”的恶意程序.

实验模拟场景是，李新使用的Android手机已经被招募，并且恶意程序一直在后台运行. 该软件预设的黑客电话号码是一起进行实验的记者的手机.

实验开始了，李欣打开了手机“支付宝”进行登录. 实际上，他只打开了网络钓鱼界面. 但是，中毒的手机的所有者很难注意到，因此输入的帐号和登录密码是真实的.

李欣登录到支付宝后，记者的手机收到了一条短信，其中包含李欣使用的支付宝帐户和登录密码. 如果您是黑客记者，请立即在手机上打开真实的支付宝应用程序安卓第三方短信软件，在短信中输入用户名和密码，然后即可登录并使用李欣的支付宝帐户.

如果黑客在使用支付宝时需要SMS验证码怎么办？支付宝不会将此验证码直接发送给黑客.

别担心，根据程序设计，当中毒的手机使用支付宝时，只要收到包含三个单词“支付宝”的短信，它将自动将短信内容转发给黑客电话.

为验证这一点，另一位实验者王涛将其手机中存储的支付宝过期的SMS验证码转发给了李欣. 几乎同时，记者在手机上收到了相同的短信. 如果这是黑客要求的验证码，那么后果可想而知. 要重置密码并更换手机，黑客在操作过程中需要填写短信验证码的所有链接，中毒的手机将在需要时通过短信自动转发. 因此，几分钟甚至几十秒的时间限制不是问题.

这是一个小程序，它不仅可以破解支付宝的帐户名和登录密码，还可以在操作过程中每当需要SMS验证码时自动将其发送给黑客. 记者惊呆了.

李欣说，为了研究如何增强Android系统的反木马和网络钓鱼软件的功能，他们设计了一种新的Android操作系统. 为了验证系统的保护性能，专门制作了这种“网络钓鱼攻击”软件. 实际上，这种网络钓鱼软件并不罕见. 甚至可以购买，价格为一到两百元. 这种类型的恶意软件通常与流行软件捆绑在一起，或者伪装成游戏挂件等，并且用户很难区分真假. 一旦安装并运行了该软件，不仅将用户在第三方支付平台（如支付宝）上的帐户名和密码秘密发送给黑客，而且某些软件还将阻止用户从支付宝接收SMS消息.

实验总结

仅SMS验证不能确保付款安全性

杨超，博士西安电子科技大学计算机科学与技术学院副教授介绍说，传统的银行帐户必须经过实名验证，即我持亲自进行验证，并在必要时输入验证密码. 为了突出方便性和降低验证门槛，网络支付方式一般采用密码验证和短信验证相结合的方式，称为“两因素验证”. 但是现在存在两个问题: 一是手机短信验证被过度使用，并被用作主要的验证方法. 它可以用于重置登录密码或支付密码，这意味着SMS验证用于否决密码验证. 这种设计是不合适的. 第二是手机短信验证存在自然缺陷，可以在传输过程中被拦截. 实验也说明了这个问题. 因此，SMS验证码不能单独用作主要验证机构.

专家解释

将来，远程身份验证可能依赖于“刷脸”

几乎所有第三方支付平台都具有SMS验证码的重要验证权限. 但是谁知道可以在平台上获取和操作SMS验证码信息的必须是所有者？第三方支付平台和移动网络应用，如何解决短信验证码难以用作远程身份验证的尴尬？

杨超认为，有两种方法可以解决远程身份验证问题:

1. 增加验证因子以增加攻击难度. 例如，增加ID卡验证，邮箱号码验证等.

2. 相关技术手段成熟后，可以添加指纹，虹膜和声音等生物信息验证方法. 据悉安卓第三方短信软件，目前可以在苹果设备上进行指纹验证，并且人脸识别技术越来越成熟. “面部支付”将成为移动支付的下一个转折点. 据《中国商报》

我该如何使用电子支付来提高安全性？

1. 不要为主要银行帐户打开银行和第三方支付平台；不要在第三方支付平台的帐户中存储太多.

2. 请勿使用公共计算机进行支付.

3. 如果您不了解WiFi，请不要摩擦它.

4. 仿冒网站通常使用伪造的付款页面作为封面，只要它们从正式渠道进入官方网站，就可以避免大多数恶意软件，例如木马病毒.

5. 仅从官方渠道下载该移动应用，不要频繁刷新手机，不接收未知文件，并且不扫描不安全的QR码.

6. 最好将第三方支付平台（如支付宝）的登录密码和支付密码与由数字和字母组成的高级密码结合使用.

7. 经常使用手机购物的用户必须养成设置开机密码的习惯.

8. 如果手机，银行卡等一起丢失，则应立即报告手机卡丢失，并拨打95188冻结支付宝帐户.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-227829-1.html