“保管箱”不等于“保险箱”，“短信保管箱”反而不保险！日前，微博网友“公交姬”爆料自己因“短信保管箱”业务而遭遇的一场离奇的银行卡被盗经历，然而这并非孤例。据360手机安全中心最新发布的2015年手机安全橙色预警显示：智能手机时代，网购、转账等对短信验证码的依赖程度更高，不法分子也意识到验证码在移动支付方面的重要作用，近来恶意利用短信托管服务窃取验证码，已成威胁最大的验证码攻击手段。

　　“短信保管箱”

　　为“黑客”开后门

　　据微博网友“公交姬”爆料：7月1日，当他正在家中玩电脑时，意外地收到了一条“短信保管箱”业务的订购短信。这位反应迅速的网友立即联系客服，取消了这项业务，但之后手机又再次收到了“短信保管箱”业务的订购短信。紧接着再就是开始收到数十条来自各个消费网站发来的短信，里面是各种“短信验证码”，于此同时银行卡也被不法分子盗刷，损失超过1万元。

　　“短信保管箱”为何成为黑客“帮凶”？据悉，“短信保管箱”是一种源自功能机时代的短信托管服务，是把手机上收到的短信自动同步到运营商的服务器上备份，机主可以通过运营商网站查看这些短信。未开通“短信保管箱”业务时，手机用户在网站注册或消费时，网站会通过通信网将验证码发送到用户手机中，是一种将密码验证与短信验证码结合起来的“双因子认证”方法；而开通“短信保管箱”业务后，网站发来的验证码短信，一方面经过通信网发送到用户手机，另一方面则同时备份到Web端，通过攻击Web端即可窃取验证码，无需直接接触用户手机，这样反而降低了“双因子验证”的安全性。

　　“短信炸弹”轮番轰炸

　　让人无暇顾及

　　受害者为何会收到大量验证码短信？无独有偶，和“公交姬”一样，还有几位“短信保管箱”受害者在银行卡被盗刷前，也都突然收到过大量各种验证短信，提示自己在各种网站上注册账号的验证短信。据360手机安全专家介绍，这是不法分子在利用“短信炸弹”类软件的轰炸攻击策略，把对用户来说最重要的银行发来的支付验证短信淹没在其它验证短信当中，让受害者无法第一时间发现银行卡正被盗刷，为犯罪分子提供更充足的作案时间。

　　那么，“短信炸弹”类软件为什么会通过注册网站的方式来生成垃圾短信呢？一般来说，发送垃圾短信有很多种方法，但使用传统方法发送垃圾短信会产生费用，为实现零成本攻击黑客就爱利用互联网注册验证机制来触发垃圾短信，通过大量普通网站发送大量验证码短信以达到零成本“轰炸”的目的。 本报记者 胡晓晶

　　● 电信运营商在向网站同步用户短信信息时，应有意设定一定的延迟，从而使攻击者即便从“短信保管箱”读取了用户的验证码内容，但这些验证码也已过期。

　　● 用户如突然收到大量莫名其妙的垃圾短信或验证码短信，一定要仔细查看其中是否有银行或第三方支付工具发来的验证短信或转账、消费告知短信。如有，则应立即联系银行考虑挂失银行卡，或联系第三方支付平台冻结自己的支付账号；同时使用杀毒软件查杀木马、拦截钓鱼网站，并通过支付保镖隔离保护交易验证码短信。