黑色三公里

2023.05.20

邱元阳

在“新四大发明”中，移动支付占据了重要一席。通过手机完成支付功能，极大地方便了人们的生活，在很大程度上甚至减少了现金盗窃行为的发生，但移动支付本身的安全性也不能忽视。

所有的移动支付，都是基于账号和密码的交易过程，因此账号和密码的泄露，就会威胁到资金安全。为了防止密码被盗，人们发明了各种安全绑定的手段，绑定手机，绑定指纹，绑定面部识别，并配合密保验证手段，全方位保护交易过程和密码安全。

然而这各种手段，最后的核心都会集中到手机设备上。因为跟密码被盗对应的，还有正常的修改密码和找回密码，这一正常操作显然需要进行身份验证，而最常用的验证方法，就是短信验证码。

不仅仅是修改密码的时候，有时大额资金的交易、普通的涉及安全的操作，都需要用到短信验证码。这样一来，短信验证码就成为非常重要的安全手段，也是各种电信诈骗和网络诈骗行为想方设法想要获取的目标。而短信的接收端，正是手机，保护手机，同时也是保护验证码。那么问题来了，如果手机丢失了呢？

密码可以设置得足够强大，但手机却可能轻易丢失或被盗。手机丢失之后，最重要的不是修改支付密码，也不是挂失和冻结银行卡，而是马上挂失手机SIM卡。只有这样，才能迅速切断短信验证码的接收通道。如果手机没有丢失，密码也没有泄露，是否就很安全了呢？那也未必。

2018年5月，河南多地的手机用户在手机没有丢失的情况下发生资金被盗刷的情况，且都是在深夜或凌晨进行的，当时手机上收到了验证码，但是机主处于睡梦中都没有查看。排除手机被木马远程操控的可能性后，经调查，发现是有人非法使用信号采集设备采集手机号码，并用短信嗅探设备截获相应手机号码的短信验证码，以此盗刷微信、支付宝和银行卡。这些短信嗅探设备的有效距离能达到三公里，在这黑色三公里的范围内，用户的手机完全处于裸奔状态，所收到的短信、输入的字符都能被非法截获，简直匪夷所思，恐怖至极。

这种非法操作之所以选择在深夜进行，就是怕惊动用户，因为非法操作需要的验证码会发到用户手机上，用户收到就会生疑，可能会采取相应措施终止通信。

“黑色三公里”的漏洞危害非常严重，而且在移动运营商这边也很难杜绝。目前的GSM网络使用单向鉴权技术，且短信内容以明文形式传输，这种缺陷是由当初GSM的设计造成的。由于GSM网络覆盖范围广，要修复这种漏洞不仅难度大，而且成本高。好在現在移动通信网络已发展到4G时代，几乎所有的手机都支持4G网络，部分运营商开始关闭2G网络的服务。仍在使用2G的，如果发现手机信号在网络正常的情况下忽然由4G降为2G，就有可能是受到嗅探攻击了。这个时候可以打开飞行模式来停止网络通信。

如果没有相关验证操作却收到不明的短信验证码，排除他人输错手机号码的可能性，那么就可能是遭受到嗅探攻击了，应迅速冻结支付绑定的银行卡。这种攻击并不是盲目的，操作过程需要手机号码和相应账号以及其他个人信息的对应，因此保护个人隐私信息尤为重要，轻易不要参与需要输入个人信息的宣传活动，快递包装不随意丢弃。