短信验证码被截取，到底算谁的错

2018-10-30 14:53:39

前端时间的GSM劫持+短信嗅探技术截获短信验证码闹得沸沸扬扬，很多人都在指责运营商，认为是运营商的问题。对于现在涉及到资金的平台，一般最少都是双重认证，密码加验证码或者密码加指纹等等组合，如果你开启了小额免密支付那就另当别论了。

目前，手机的短信验证码是手机的一个基本功能，也是我们登录或者是注册会员等信息的一个重要条件。不法分子利用互联网对短信验证码的依赖进行一些危害用户利益行为，这种“黑科技”的技术原理不是很复杂，面对这种手段，我们除了加强短信验证码的防范之外，还应该需要加强其他的安全防范。

之所以别人可以攻击我们的支付宝以及等账号，绝不是单单靠知道一个手机号就可以进行攻击成功了，必须还要知道身份证号码或者是身份证照片或者是手持身份证照片等等，这些信息才是构成财产转移走的根本原因，光知道一个手机号是不可能进行财产转移的。

我看见网络上都是说短信验证码不安全，笔者认为最重要的不是短信验证码，而是信息安全问题。试想一下，你支付宝在其他手机登录是不是需要进行安全认证呢，认证一般都需要身份证号码和短信验证码，由于网络信息公开化，身份证号码是很容易搞到手的（有一些网站注册需要身份证号、常见的招聘时候手机号和身份证号不都会填写吗），获取手机号就更简单了，注册各种账号都需要手机号，所以说你的手机以及身份证号码造就被公开了。

假设我的身份信息都保护的很好，不法分子知道了手机号又如何能转移我的财产呢？

我曾经看见过这样一则新闻：有些人提供各种查询服务：身份户籍、名下资产、手机通话记录、名下支付宝账号、全国开房记录、甚至连实时的位置都可以查到，想想真是细思极恐。详细内容就不给大家叙述了，笔者找了一些图片，有兴趣的可以自己搜索一下。

我认为此次事件需要打击的是两种现象：信息隐私安全和安全多重认证。如果这些不做好，只是打击短信验证码拦截工具，仅仅只是治标不治本而已。