利用短信驗證碼盜刷賬户財產 看MIUI如何防範

7月30日凌晨，一位來自深圳的用户起來發現，自己的手機莫名其妙收到100多條驗證碼短信。很快她便發現自己的支付寶、餘額寶和關聯銀行卡的錢都被轉走了，而京東賬號也被開通金條和白條功能，借款1萬多。

近日，通過獲取用户手機短信驗證碼盜刷賬户財產的事件屢見不鮮。面對不法分子花樣頻出的詐騙手法，已經讓很多移動互聯網用户產生恐慌。對於這種頗有技術含量的盜取財產手段，我們先來了解下背後的技術原理。騙子在整個過程中主要用到“GSM 劫持”和“短信嗅探”兩種技術，能夠在用户完全不操作的情況下獲得手機號碼、驗證碼甚至身份證信息等核心資料，從而盜取用户手機賬户財產。

目前，大部分短信都是通過 2G 網絡的 GSM 通信協議進行傳輸的，而這種通信協議並不安全，只要一部嗅探設備(通常是一部改裝手機)就可以監聽。然後，騙子再利用偽基站(通常是改裝的手機或筆記本電腦)來收集周圍的手機卡信息。如此一來，就同時拿到了手機號和短信驗證碼。此時騙子已經可以通過查詢網站反推出號碼的主人身份信息，甚至可以拿到身份證號和銀行卡號。有了上述信息，不法分子會選擇深夜用户熟睡的情況進行資產轉移、小額貸款等操作，成功盜刷用户財產。

作為手機廠商，如何保護用户財產，防範於未然？記者通過小米MIUI安全中心工程師處瞭解到，目前MIUI系統主要從騷擾攔截、詐騙號碼攔截、偽基站短信識別、拒連偽基站、短信URL識別和支付安全掃描六方面入手，全面保障用户使用手機的賬户安全。

舉例説明，MIUI是最早支持來電號碼識別功能，攔截詐騙號碼的手機操作系統，用户可以自行對騷然電話進行標記，一旦發現超過50人對同一號碼標記為詐騙，系統就會自動幫用户進行掛斷攔截;另外，當小米手機用户收到銀行、運營商發來的短信時，小米均會針對短信進行安全檢查，一旦發現偽基站短信，會立即進行提醒;部分小米手機還支持了“防連偽基站”功能，開啓後，將從芯片層面判斷偽基站，從根本上杜絕連接偽基站;對於短信驗證碼，MIUI系統默認禁止所有第三方應用讀取驗證碼短信，防止用户因為驗證碼短信泄露而造成財產損失;當用户點擊短信中的網址時，小米會針對網址進行安全監測，一旦發現危險網址，會立即提示用户，防止打開釣魚網址受騙;最後當用户通過小米手機進行支付時，MIUI會掃描用户當前的系統與網絡環境，一旦發現惡意軟件或虛假WiFi，立即提示用户停止支付行為。

移動互聯網詐騙一直都是廠商和不法分子間的一場博弈。MIUI作為安卓系統的領跑者，對於防範花樣百出的詐騙手法從未鬆懈，希望通過自身的不斷完善和改進，給用户打造真正放心、省心的移動互聯網環境。記者也希望能夠看到更多手機廠商能夠在這方面加大投入，淨化移動互聯網環境，為用户安全使用手機保駕護航。