最近关于GSM劫持短信验证码盗刷的新闻，登上各大新闻媒体头条，人心惶惶。

如今一个手机号走遍天下都不怕。不过便捷的同时也降低了一定的安全性。毕竟世界上哪有十全十美的事情呢？最近一位豆瓣网名为“独钓寒江雪”的用户就遭遇了短信被劫持的噩梦：早上醒来他发现手机里收到了100多条短信验证码，分别来自支付宝、京东等等，大量钱款被转走，京东白条还被借走1万多。你说气不气，睡个觉的功夫，辛辛苦苦攒的钱就莫名其妙的没了。

那他的短信是不是真的被劫持了呢？我们又该如何防范和避免此类攻击呢？来看看看雪专家怎么说。

手机号注册的隐忧

如今我们不管办理什么业务，又或是在任何网站和APP注册账号，首先想到的就是通过手机号码一键登录。这意味着，你的手机号就等同于你的微信、支付宝、银行和各种现金贷客户端的账号。如果你安全意识不高，这些APP注册时又都用了相同的密码……潜在的安全风险可想而知，基本是一损皆损。

万能的短信验证码

当你在登录各种APP时发现忘记了密码怎么办？没关系，少数APP可以通过短信验证码一键登录，而所有的APP还能使用短信验证码来重置密码。

可以说，短信验证码在今天已然成为了一种“万能”的存在，有了它，登录、认证、重置和支付等流程就将一路绿灯。

本文引言中涉及的案例，就是针对手机号注册和短信验证码“量身定制”的一种诈骗手段：黑客通过“GSM劫持+短信嗅探技术”，可实时获取用户手机短信内容，进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷，实现信息窃取、资金盗刷和网络诈骗等犯罪。

问题来了，这一整套流程要分很多步骤，难道手机安全方面的漏洞竟然如此严重吗？

验证码和U盾的差异

实际上，自从智能手机和移动支付功能关联捆绑后，从银行到支付工具，相关企业都在研究如何提升安全性，避免可能的盗刷风险。而大家最终“商量”的结果，就是基于短信的二次验证机制。

提起二次验证，相信不少用户都会想起“U盾”。

U盾是银行针对网络支付推出的一种USBkey，当我们需要办理转账、汇款、缴费等支付业务时，必须按系统提示将U盾插入电脑的USB接口，输入U盾密码并进行验证成功后才可完成支付过程。

问题又来了，既然短信和U盾起到的都是二次验证，那它们的安全系数不是应该等同的吗？很遗憾，U盾的安全系数远非短信验证码可比。

简单来说，当你在银行开通网上银行时，银行会针对你的个人信息生成一组个人数字证书，而这个证书会保存在银行服务器，以及让你拿回家的个人U盾内（U盾内的数字证书处于不可读状态）。

当我们尝试网上交易时，银行会向你发送由时间、地址和交易内容等信息组成字符串加密后生成的秘钥A。交易确认前需要将U盾和PC相连，秘钥A会通过网络和数据线传输到你的U盾中，而U盾则会根据你的个人数字证书对秘钥A进行不可逆运算并得到秘钥B，再将秘钥B返还给银行。同时，银行端也会根据秘钥A和你的数字证书进行不可逆运算，只有结果与秘钥B一致才确认为合法交易，否则交易便会失败。