最近，豆瓣网友“独钓寒江雪”发表的一篇文章《这下一无所有了》吸引了众多网友的讨论。

在对这起通过短信验证码盗取用户财产的事件进行各种技术分析后，大家最关心的还是谁应该为用户的财产安全负责，是不是以后睡觉都不敢开着手机了呢？

这位“独钓寒江雪”是家住深圳的一位叶姓女士，据本人描述，她在7月30日凌晨五点醒来后，发现手机收到了支付宝、京东、银行等的100多条验证码短信，随后便发现支付宝、银行卡中余额被转走，还在京东借款一万余元。

“这两天跑银行查流水、打110求受理、跑派出所录口供、打支付宝客服、京东客服、打苹果客服……各种心力交瘁，见识了各种推诿扯皮，不作为。”

事情到底是怎么回事呢？据360无线电安全研究院黄琳博士分析，这很有可能是“GSM劫持+短信嗅探”攻击（盗窃者用一些窃听手法获取到短信内容，以此来完成身份验证），但是不排除其他可能性。

虽然目前根据掌握的信息来看，还不能确定对方到底采用了何种方式盗取了叶女士的财产，但事情已经发生，对于无辜蒙受损失的叶女士来说，谁应该负责呢？？

1. 窃取用户信息和财产的攻击者

毋庸置疑，窃取手机中账户信息及财产的攻击者，是此次事件中最该承担责任的人。叶女士报警以后，警方已经对此案受理，能否揪出真凶目前还无从知晓。

其实，叶女士此次经历的“盗刷事件”并非个例，此前就有许多用户反馈，在自己未进行任何操作的情况下，手机中的账户和银行卡被盗刷。

比如在去年12月，央视就曾曝光过一起案件：何先生一觉醒来发现自己的手机被锁定，同时，某购物平台账户遭陌生人盗刷，攻击者使用白条消费和申请贷款，一夜间洗劫了5万多元。而其采用的手法竟是将何先生的手机号设置为“副号”，当副号手机关机，所有短信都会被主号接收，攻击者在此期间接收何先生的短信验证码，进而作案。

可见，攻击者们为牟利，早就已经盯上“验证码”，并且获取验证码的方式花样百出。

2. “无奈又无辜”的运营商

除了该事件的始作俑者，背后盗取用户财产的攻击者之外，运营商是否需要为此次验证码事件背锅呢？

运营商作为网络通信的提供者，可以说承担着亿万用户的直接安全责任。但一直以来运营商遵循的都是“可用性”大于“安全性”的原则，比如为了让移动网络覆盖到更广的地方，运营商们至今仍然运营安全系数极低的2G网络。按理来说，追求“可用性”无可厚非，但是如果安全性无法保证，无疑为心存不轨者利用各种手段盗窃用户财产提供了客观条件。

3. 安全措施不完善的APP厂商

另一方面，那些APP厂商，也需要承担很大责任——也许正是因为APP安全措施不够完善，攻击者才可以在用户不知情的情况下实现盗刷操作。而且，部分APP目前还在采用单纯的“手机号+验证码”模式来验证身份，在如此恶劣的安全环境之下，这绝对是目前安全系数最低的一种身份验证方法。

本次涉及的几个厂商，目前已经给出回复，并承诺叶女士会全额赔付。但“赔付”并不是解决问题的最终办法，如何更好地保证安全才是日后需要努力的方向。

所以安全专家们也建议，除了短信验证码之外，再新增短信上行验证、语音通话传输、常用设备绑定、生物特征识别、动态选择身份验证方式等等诸多二次验证机制，以此来保证用户的信息、财产安全。

由此看来，不法分子利用验证码来盗刷银行卡的恶意攻击行为越来越猖獗。所以，这就为各大运营商以及APP厂商敲响了警钟，身份验证、信息保密等方面的安全措施必须加紧完善，不然，越来越多的用户被盗刷，不仅用户面临着经济损失，作为承担责任的一方，各大厂商自己也会遭受巨大损失和来自用户前所未有的信任危机。

“验证码攻击”科普时间：

360无线电安全研究院黄琳博士在分析此次叶女士所遇到的“盗刷”事件时，还总结了不法分子想要获取手机验证码时，会使用的攻击手段：

• 0级攻击 – 伪基站垃圾短信

不法分子直接拉着大功率的伪基站出去，大把大把的撒垃圾短信。垃圾短信不那么可怕，钓鱼诈骗短信是比较可怕的，其中含有恶意链接，不小心点击之后会中木马，或者让你填写机密信息等等。360手机卫士和其他一些手机防御软件，可以结合短信内容智能识别，通信环境智能检测，以及对链接做云拦截等技术，保护手机用户免受伪基站短信的侵害。

• 1级攻击 – GSM短信嗅探

这种攻击的原理是因为GSM短信没有加密，所以不法分子可以用一些窃听手法听到短信内容。这种方法是被动的，就是只“听”，不发射任何非法的无线信号。

• 2级攻击 – GSM中间人获取手机号码

攻击者只听到短信，其实没什么用，短信验证码需要配合网站或者app的验证过程才能起作用。所以，攻击者必须要知道目标的手机号码，可能还需要其他信息，例如身份证号，银行账号等等，其他这些信息可以通过“撞库”，或者通过侵入某些应用的账户来获得。 “中间人”就是用来获取手机号码的。

• 3级攻击 – 强迫从3G/4G降级到2G

手机待在3G/4G网络中是比较安全的，但是攻击者有办法把手机降级到2G。最简单的一种方法是发射强干扰信号。这种做法直接把3G、4G的路炸了，手机发现走不通，就只好走到2G的路上去。不过要暴力干扰掉所有的3G/4G通道，对设备的要求就非常高，大部分攻击者不会采用这种方式。

所以，就使用另外一种更高级一点的办法：再用一个4G伪基站，欺骗手机，“4G网络不能用了啊，到我这个2G网络来吧”，于是手机就乖乖的过去了。

• 4级攻击 – 3G/4G中间人攻击

4级攻击由于难度太大，能掌握这种攻击能力的团队，全球应该在个位数，所以先不做过多解释。

总之，“验证码”问题，除了普通用户自身需要多加注意之外，目前各大厂商、运营商也非常重视，并将着手改进。比如现在360手机、小米手机、华为手机等，就已经支持防伪基站功能，可以在一定程度上保护用户的信息和财产安全。相信很快，利用手机验证码实现盗刷的恶劣行为将会逐渐被各方安全势力联合绞杀。