4月13日，上海市信息安全行業(yè)協會在市經信委的指導下召集各方召開“銀行卡信息安全閉門會議”，研究應對竊取銀行卡信息常見手段的防范措施。

澎湃新聞記者從會上獲悉，信息安全專家表示，很多第三方互聯網支付公司廣泛應用短信驗證碼，但短信的安全防護等級不高，易受到木馬攔截、網絡釣魚、電信詐騙、信道竊聽等攻擊。

短信驗證碼安全防護等級不高

上海市信息安全行業(yè)協會會長談劍峰表示，任何一種認證方式從商用密碼技術本身來講全球沒有破解算法攻擊的案例，都是在應用過程中產生的攻擊漏洞。比如，國內銀行此前普遍采用的U盾認證方式，但U盾可以被電腦的木馬程序劫持。

“殺毒軟件只能殺掉已知的病毒，有很多木馬是為特定攻擊目標定制的，即使是殺毒軟件也殺不掉。只要你的電腦中了木馬，就會被遠程控制，作案者可以將U盾中的數字證書轉移給自己?！闭剟Ψ逭f。

他還表示，現在很多第三方互聯網支付公司，包括手機銀行，開始廣泛應用動態(tài)手機驗證碼的方式，短信驗證碼因其方便易用、覆蓋面廣，已經成為當下最主要的移動支付認證手段。然而短信作為一種通信方式的固有屬性，決定了其安全防護等級不高，易受到木馬攔截、網絡釣魚、電信詐騙、信道竊聽等攻擊。而安全性更高的USBKey和OTP令牌等硬件認證設備，因為攜帶不便、操作復雜、兼容性低，在移動互聯網的場景下不被用戶所接受，最終造成了“安全的沒人用、便捷的不安全”這樣尷尬的局面。

談劍峰表示，實際生活中發(fā)生的案例有犯罪分子通過電商平臺購買電信運營商提供的USIM卡，也就是傳統(tǒng)意義上的空卡，然后通過短信指令向電信運營商發(fā)出換卡的申請，運營商就會給用戶正使用的手機發(fā)去驗證碼。在此之前，犯罪分子早已用自己的偽基站給用戶發(fā)送釣魚短信，假稱用戶剛剛訂購了某收費的訂閱欄目，如果要取消訂閱，就要回復收到的驗證碼。此時，有相當一部分用戶會信以為真，并把驗證碼回復給犯罪分子。然后，利用得到的驗證碼，空中換卡功能完成，犯罪分子手中的空卡順利地轉變?yōu)橛脩舻氖謾C號碼，而用戶手中的手機號碼則成為空卡。此時，用戶的手機無法收發(fā)短信，接聽撥打電話，但用戶會誤以為自己可能信號不好。在這短暫的時間里，犯罪分子就可以拿著手中的SIM卡去盜取用戶的賬號和密碼，因為有相當一部分網站都提供手機號碼登錄和找回密碼功能?！斑@種損失有可能讓用戶傾家蕩產?！闭剟Ψ灞硎?。

建議互聯網身份認證實行統(tǒng)一管理

談劍峰表示，國內第三方互聯網企業(yè)會要求用戶進行實名認證，認證時用戶往往要輸入姓名