支付宝称已破解不法分子「短信嗅探」方式盗取资金的行为
近日郑州某小区 10 多位居民集体遭遇「短信嗅探」盗刷,银行卡被盗了几十万。但随后的调查发现,他们的支付宝账号分文未少。6 月 17 日,支付宝安全实验室表示,随着风控系统的升级,目前对于绝大多数此类攻击,支付宝已能有效防范。
劫持手机短信中的验证码,从而盗取资金账户,这种「短信嗅探」是近年来兴起的一种盗刷手段,一度被认为「防不了」的。据介绍,「短信嗅探」(GSM Sniffing)的原理是不法分子通过嗅探 GSM 信号,获取基站周围用户的手机号及短信验证码,然后针对银行卡、第三方支付平台进行盗刷。
因为不少平台使用短信验证码作为登录方式或修改密码的凭证,所以短信一旦泄露,账户安全将面临风险;如果不法分子又在其他渠道获知用户的个人信息,则风险更大。这些犯罪团伙通常在凌晨作案,因此盗刷时受害人并无感知,第二天醒来才发现钱不见了。
支付宝安全实验室表示,自发现这一新型犯罪手法后,安全实验室立即采取了多种防范措施,包括基于模型自学习持续更新嗅探攻击特征、采用安全性更高的生物核身替代短信检验等。数据显示,对于绝大多数的短信嗅探,支付宝已能进行有效防范。
此外,支付宝方面介绍,即便仍出现了小概率的盗刷,也完全不用担心。支付宝自 2005 年起便推出「你敢付,我敢赔」的用户保障计划,如果账户被盗,将会全额赔付。