“短信验证码”-你的资产安全重要防线

后续王先生将此事反映到该支付机构安全中心，经过安全人员的后台交易分析发现，该商户的IP地址有连续的多个发起“忘记密码”而重置支付密码的请求，同时也存在很多图形验证码输入错误和短信验证码输入错误的日志，根据交易请求的时间密集度判断，该商户并非使用工具来试探，而是人工的方式来验证，与王先生描述的情况相符。经过安全人员的实地考察，该商户地处一个小门面，里面摆着各类物品不仅供用户现场兑换，同时还采取电话外呼的方式给他们的“目标用户”进行远程消费。商户重置用户的支付密码之后，然后在POS机上完成用户电子券的消费获得较大的套利。

该商户的行为以及王先生所经历的事件让该支付机构的安全人员对用户的安全信息保护意识产生了深深的忧虑，如果用户泄露短信验证码导致支付密码被重置，不法分子甚至都可以卷走支付账户所绑定银行卡上面的资金进行消费。

目前第三方支付平台和不少移动端网络应用，在进行用户身份验证时都很依赖手机短信验证码。而只要在规定时间内正确输入短信验证码，几乎可以立即重置重要的登录或支付密码。无论在电脑还是手机上，短信验证码都是网络支付过程中最重要的一个安全验证环节，短信验证码有时已替代银行卡密成为最后的安全验证手段，有了验证码黑客就可以大肆盗取网银。

然而在现实生活中应该注意到，除了王先生在一定信息知情情况泄露短信验证码的情况，还有大量的短信诈骗也会让你不知情泄露信息。例如不法分子给用户发送欺诈短信，通过中奖、积分兑换、升级器过期等各种手段诱骗用户登录钓鱼网站，用户一旦登录钓鱼网站后会按照要求填写：姓名、身份证号、银行卡账户、密码、银行预留手机号等信息，最终用户中招后，钓鱼网站所输入的信息会被同步到不法分子的手中，若用户被植入木马程序，木马会在用户手机后台持续运行，还可偷偷转发用户所接收到的所有短信，这样用户的资金就会完全被他人所掌控，最终导致财产被莫名转移。

因此，在我们的互联网支付生活中，要时刻牢记如下关于短信验证码的防诈骗知识，保护好我们资产安全的这道防线：

1、短信验证码就是网上交易的一次性密码，如果泄露给他们，账户的资金就危险了。请牢记：“任何索取短信验证码的行为都是诈骗”。

2、在任何信息中看到陌生网址都不要随意点击，因为这些钓鱼网址都设计的与其要模仿的官方网站很像，用户很难分辨真假。对需要填入银行卡账户、密码的程序要十分谨慎，对于要求下载、安装软件的指令更要慎之又慎，以防止短信被截获。

3、用户手机应当养成设置开机密码的习惯，并使用主流手机安全软件，有效拦截木马读取短信等行为，如果手机丢失，第一时间使用安全软件的防盗功能，远程删除手机里的支付数据，同时打电话给银行和第三方支付供应商冻结相关业务、通知运营商挂失手机卡。（作者：中移电子商务有限公司朱小波）