一觉醒来一无所有，短信验证码到底是怎么泄露的? | 科学人 | 果壳 科技有意思
一觉醒来一无所有，短信验证码到底是怎么泄露的?
本文作者:tombkeeper
豆瓣上那个关于多个账号被盗刷的帖《这下一无所有了》最近比较火https://www.douban.com/group/topic//。受害者的手机在半夜连续接到了100多条验证码，醒来发现自己支付宝等账号被盗，损失很重。
发生了什么呢？仅从这些描述，其实还不足以断定攻击者采用了怎样的方式。有些人猜测这是通过无线监听窃取了验证码短信，还有人说睡觉前关机就可以防止被无线监听。
不幸的是，安全问题从来都是比较复杂的。窃取短信不一定只能通过无线监听；而即使真是通过无线监听攻击的，睡觉前关机也不一定就能防止。
但还是可以说一下，为什么银行支付宝等机构会选择使用短信验证码这个机制，这个机制为什么不够安全，以及普通用户到底有什么能做的。
短信验证码到底起到了一个什么作用？
普遍意义上来说，信息系统是不太靠得住的。若干年前，网络安全环境比较糟糕的时候，绝大部分电脑都被至少一个恶意软件感染过。现在情况好一些，恶意软件感染量比过去少多了，但从服务器侧泄露数据的事儿仍然很多。再加上坏人手里还有过去十几年间陆续窃取的各种数据，所以我们在考虑安全问题的时候，只能假设每个人的基本信息：姓名、地址、身份证号、常用密码等等在坏人手上都有一份。
为了能在靠不住的信息系统里比较靠得住地进行一些重要操作，人们用了很多办法，其中一个叫“双因子验证”（Two-factor verification）。
比如你要用电脑进行网银转账。设计网银安全体系的人就要假设你的账号密码早晚会被坏人窃取。在这种情况下怎么防止坏人用你的账号密码登录你的网银呢？
大家比较熟悉的“U盾”就是一种解决办法。这个设备是独立于电脑而存在的。要在电脑上操作网银，把你账户里的钱转给别人，就需要把这个设备连在电脑上。坏人没有你的“U盾”，所以即使拿到了你的账户密码，也动不了你的钱。在这里，你的密码是一个验证因子，U盾是另一个验证因子。需要密码+U盾才能验证身份登录网银转账，这就是双因子验证。
双因子验证这个思路其实很古老，比计算机技术古老得多。有些银行金库的门需要由两个人分别保管的两把钥匙一起操作才能开启，这就是双因子验证。美军如果要发射民兵核导弹，不但需要两个操作员各自用确认钥匙开一把锁才能验证发射代码的正确性，还需要两人把两把发射钥匙插进两个发射孔同时转动，两个孔还设计得距离遥远以防一个人同时转两把钥匙，这就是它的高级版本。
U盾这种解决办法是相对比较安全的。但网络安全领域有这么一个“不可能三角“：“安全-方便-廉价“这三者无法同时达成。U盾方案的成本不高，安全性也不错，但不够方便。因为如果要随时使用网银，就要随时携带U盾。
于是一些对安全性要求没有那么高的场合，人们广泛使用了另一种验证因子：手机短信验证码。手机总是要随身带的，所以这种方法比用U盾要方便得多。
手机相对于电脑，是一个独立设备。短信验证码相对于用户口令，也是独立的。如果我们假设攻击者即使掌握了很多用户个人数据，能入侵用户电脑，也仍无法获取手机短信，那么用手机短信作为一个独立验证因子也是可靠的。
但是因为网络环境的变化，短信验证这种方式正在面临着问题。
短信验证的漏洞
在非智能手机时代，要入侵手机窃取短信是比较困难的——不是不可能，但比较困难。但随着智能手机的普及，入侵手机窃取短信已经变得比较容易。比如，很多APP都有读取短信的权限。只要这些APP中的任意一个存在漏洞，或者干脆本身就是恶意的，那你的短信也就危险了。
另外，对于用电脑访问的业务来说，短信验证码是相对独立的一个因子。但对在手机上访问的业务来说，短信验证码就没那么独立了。电脑沦陷后，短信可能还是安全的。但手机沦陷后，短信也很可能也会被攻击者拿到。
而甚至不入侵手机也可以窃取到短信。前几年，有些运营商推出了“短信保管箱”业务，用户可以用电脑在运营商网站上在线读取短信——也就是说，如果你的电脑被入侵了，短信也就保不住了，不再是一个独立可信的因子。所以一些网络犯罪者就开始利用这一点。最终“短信保管箱”业务被取消了。
现在运营商虽然不在网站上保存短信了，但有些手机有自动把短信备份到云端的功能。如果开启了这个功能，那么攻击者只要掌握了你的云端账号，就可以访问到短信。这时候，短信也不再是一个独立可信的因子了。
那么如果手机上不开启任何会把短信保存到云端的功能，也能保证手机不被入侵，是不是短信就不会被窃取了呢？即使你今天仍在使用诺基亚黑白屏手机，短信还是可能被窃取。因为短信所用的无线信道并不那么可靠。虽然目前国内3G/4G已经普及，但大部分地区只是上网走3G/4G，短信还是通过不安全的GSM网络在发送，而GSM是非常容易被监听的。
在十几年前，如果要通过监听无线信号窃取短信，所用设备至少价值几十万元。但在今天，数千元就能买到同样功能的设备。如果要求不高并且愿意自己动手，花上不到一百元也能做出勉强可用的设备。我 2013年做过一个相关主题的演讲，其中谈到了这类设备成本下降对安全的威胁。下面这张图就是当时通过监听无线信号获取到的一条运营商流量提醒短信：
有人说晚上睡觉前把手机关机就能防止通过无线监听窃取短信。这话只对了一半。你们想一下：给别人发短信的时候，如果对方手机关机了，短信是不是仍然可以发的出去？所以，睡觉前把手机关机也许可以防止攻击者到你的附近窃取短信，但无法阻止攻击者在短信发送者附近窃取短信。比如攻击者要窃取A公司给你发的验证码，只需要在A公司发短信的设备附近监听无线信号即可。而对攻击者来说，在A公司发短信的设备附近进行监听显然是更划算的做法。因为只要在这一个地方，就能实现窃取所有A公司发出的验证码。
有办法防备短信验证码的漏洞吗？
靠短信实现双因子验证，总还是比完全没有双因子要强的。但因为存在上面这些问题，所以在今天，短信验证码也许仍然可以作为一个验证因子，但各公司在设计业务安全体系的时候，对它的信任度需要调低一些。至少需要结合地理位置信息、设备信息、用户特征等等来综合判断。而不能像很多年前一样，仅凭一个短信验证码就确定用户身份。
用户也不是毫无办法，可以尝试开通VoLTE功能，让短信也通过3G/4G网络传输，增加通过无线监听窃取短信的难度。具体方法是：电信用户发送“KTVoLTE”到10001，移动用户发送“KTVoLTE”到10086，联通用户发送“VBNCDGFBDE”到10010。但目前不一定所有运营商在所有城市都支持了VoLTE。如果对安全比较重视，建议单独准备一台手机，这台手机禁用WiFi，禁用移动网络，仅用于打电话发短信。所有重要的验证码都只用这台手机来接收。至于“睡觉前关机”，也许有那么一点用。但手机毕竟是个联络工具，万一家人夜里有急事找你呢？
至于运营商，为阻止通过无线监听窃取短信的攻击，应加快2G网络的淘汰，尽早让短信业务默认都使用VoLTE。手机厂商也应向用户提供关闭2G支持的选项。否则，即使运营商默认用了VoLTE，攻击者还是可能有办法让用户的通信降级到GSM。而各公司自建的用来发送短信的“猫池”，也应升级为使用VoLTE来发送。(编辑：Ent）
盗的好，盗的妙，盗得二马呱呱叫。
话说，量子通讯什么时候能普及了？？？
得备两台手*机？
手*机为啥是敏感瓷？敏感瓷机制会不会是按人分类的，看人下菜？
尊敬的天翼客户，您不是有效的目标客户，不能使用此指令？
地球上很危险啊。。。钱放着不但会贬值，还会被窃取。
引用文章内容：KTVoLTE看成KTV or LTE~~
现在的许多双卡机，副卡只能用2G，这就比较蛋疼了。
生物科学专业
突然发现是于旸大神写的这篇
从原理上来说SMS就是不安全的。 从法律来说，用SMS认证，风险应该由银行，支付宝他们来承担。这个SMS的风险，比个人密码还要高。
其实这方面的风险，漏洞业内人士一早就知，所以密码短信的有效期一般为120秒（当然有很多图方便的，或者安全等级不用那么高的设成30分钟），交易金额有限制，使用业务信道下发短信等。各手的云业务对短信备份均有BB时 等等而且公公部门对SMS SNIFFER ，伪 基 站之类的打击都很严厉的。10年8年前，用这个技术方法 来
钱，，门槛高，不划算，但现在世道变了，各种各样的手支付方式.........
从发送短信的公司那边监听无线信号是不可行的，因为对于发短信验证码的公司，都是通过程序直接调用运营商的接口，直接发送，是从固网走的，不走无线侧。固网数据接口也是加密的。
显示所有评论
(C)果壳网&&&&京ICP证100430号&&&&京网文[-239号&&&&新出发京零字东150005号&&&&
违法和不良信息举报邮箱：&&&&举报电话：&&&&&&&&给大家推荐一个极速接码平台.手机验证码短信验证码平台
& 发布时间： 21:44:53 & 作者：佚名 &
极速码验证码接收平台软件是一款手机验证码获取工具，该软件功能强大，可以为用户提供手机验证码自动接收和验证等服务，从而轻松解决用户在注册多个帐号要绑定手机号码的难题，适用于淘宝、新浪、陌陌、小米等批量注册使用，需要的朋友快来试试吧
网赚用户批量接收验证码，注册帐号
项目最全，能接收所有合法网站验证码
API接入，全自动接收手机验证码
极速码验证码接收平台软件是一款手机验证码获取工具，该软件功能强大，可以为用户提供手机验证码自动接收和验证等服务，从而轻松解决用户在注册多个帐号要绑定手机号码的难题，适用于淘宝、新浪、陌陌、小米等批量注册使用，需要的朋友快来下载吧。
极速码平台特色
1、领先的服务端设计，极速响应
2、大容量设计，应对高峰值情形；
3、全自动接收手机验证码，速度快；
4、支持目前所有短信验证码显示；
5、分布式构架，杜绝宕机影响，容错能力强，易扩展；
6、多数据库设计，海量储存验证码记录；
7、可根据客户验证码识别需求随时增加验证码项目；
8、智能计费系统，扣费精准，保护客户，软件开发者的利益；
9、业界领先的技术团队，全天24小时响应您的需求
10、精干的技术团队，为您提供365x24小时的高效服务；
卡商版使用介绍
开启后，运行极速码卡商端，挂机即可，不需要做任何设置。卡商和平台方是一个合作关系，（卡商7，平台3）的分成比例。平台上有上有8千项目，接收到验证码就70%分成到卡商，卡商24小时可随时申请提现， 做业务的同时可以挂着验证码接收系统，不影响卡商正常做业务。支持一对一服务，卡商可以对接自己的用户，用户可以对接自己的卡。
极速平台官方网站
大家感兴趣的内容
12345678910
最近更新的内容企业网站或者APP如何选择一个好用的短信验证码平台接口_行业动态_新闻中心_短信群发平台_短信接口_106短信平台_国际短信验证码平台-云通讯PaaS平台&您的位置：&&&
&&&新闻中心&&&&行业动态&企业网站或者APP如何选择一个好用的短信验证码平台接口来源：原创&&&&时间：&&&&浏览：0&次　　短信验证码平台太多也是一种幸福的烦恼，毕竟好东西太多不知道该如何选也是很麻烦的。那么，如何选择一个好用的平台呢？下面小编为大家提供几个参考点。　　一、功能　　通常情况下，企业常用的短信验证码平台必须要有发送记录查看、发送状态、定时发送、短信内容数字统计、号码数量统计、重复号码过滤、空号过滤、通讯录联系人添加以及发送数据导入、模板建立和保存等功能，这些都是基础的，如果没有，则表示这个平台用起来肯定不顺手。　　二、操作界面　　真正好用的平台是操作简单、界面简洁的，不会有太多的模块，且符合大部分人操作习惯。值得注意的是，因为对短信验证码平台了解不多，有些企业用户可能会被忽悠，觉得功能越多越好。殊不知，这种情况是相反的，功能越多模块越多并不说明其越好用。所以，小编建议想要购买企业，不要太过在意功能，只要基础功能齐全即可。　　三、平台网站　　现在用手机的人越来越多，短信验证码平台除了要有PC版本的之外，还要有移动端版本的，这样才能方便使用和操作。再者，如果PC端和手机端都能使用，就能方便用户查询信息和掌握短信发送情况。　　四、价格　　正规的短信验证码平台其价格基本都是差不多的，一条短信基本都在五六分之间，当然量越大越便宜。不过，也有一些平台的价格非常便宜，对于这样的平台，小编提醒企业主要注意，它可能是靠扣量赚钱，在提交管理后台之后，会将数据拦截，然后形成一个发送比例，根据这个比例发送。　　其实，想要一个好用的短信验证码平台非常容易，只要找正规的运营商，不贪小便宜，不乱加一些要求，就能找到好用且性价比的平台。　　云通讯平台专注、应用，积累了丰富的行业短信应用解决方案经验，拥有丰富的通道资源和过硬的技术实力，先后为全国各地超5万余客户提供短信应用服务，深受大家的认可和厚爱，值得您的信赖！推荐阅读：上一条：下一条：| 产品与服务| 合作与共赢| 走进云通讯客服热线400-最终解释权归: 云通讯Paas平台[云通讯(中国)]&&&&版本所有[email protected] AII Right Reserved&客服QQ :&&云通讯PaaS平台,专业的短信验证码平台接口供应商,三网合一端口号,国际短信验证码,语音验证码等,致力于为客户提供优质的服务，,网站或App短信验证码等服务，支持PHP、ASP、JAVA、C、C++等多种开发语言。api直接可以集成接入ios和Android系统。免费试用,为每一条验证码负责,广泛应用于用户注册、密码找回、登陆保护等场景。ICP备号-3哪家的短信验证码发送到达率最高？又及时又便宜的，有木有推荐的 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
已注册用户请 &
哪家的短信验证码发送到达率最高？又及时又便宜的，有木有推荐的
09:50:13 +08:00 · 2269 次点击
现在用的短信验证， 180 ， 181 ， 170 段的手机一般接收不到验证码。。。
16 回复 &| &直到
16:23:12 +08:00
& & 10:28:39 +08:00
云片推荐试一下，欢迎用我的链接注册 （捂脸，臭不要脸）
& & 10:34:24 +08:00
@ 到达率统计过不
& & 10:54:52 +08:00
@ 我没统计过~
& & 11:12:18 +08:00
欢迎试用 SUBMAIL
& & 11:13:34 +08:00
国都互联 自己搜索实力证明
& & 11:14:36 +08:00
180 ， 181 ， 170
这几个是虚拟运营商的号段吗？最近央视曝光了短信乱象问题，估计虚拟运营商号段的被限制了。猜测而已哈 你可以找购买这些号段的服务商确认下。
& & 11:15:29 +08:00
& & 12:30:13 +08:00
云片+1 ，起步充值 55 块钱 1000 条，非常亲民，速度很给力，而且支持国际短信
& & 12:49:07 +08:00 via Android
阿里大鱼 马云旗下 最高价 0.045 一条短信 注册送一千多条 看了这个之后 你还觉得还会有选择吗？
& & 12:50:12 +08:00 via Android
价格秒杀其他所有 老板也秒杀其他所有
& & 16:26:28 +08:00
简单介绍下 SUBMAIL 的短信优势：1. 整个短信平台仅一条发送限制：完全相同的短信（即 100%相同），对同一个手机号码在同一天内仅能发送 15 条短信。2. 短信签名可完全自定义3. 短信签名数量不限制4. 3 秒-5 秒到达，任何原因造成的失败短信立即返还5. 主动防御机制，不强制要求用户添加图片验证码6. 79 元 2000 条新用户优惠套餐7. 短信模板审核，工作时间（早 8 点至晚 12 点） 2 分钟以内完成审核，国定休息日（ 10 分钟内完成审核）8. 短信模板数量不限制，支持 API 模板引擎。9. 提供 9 种语言开发包，可实现 10 分钟内接入。10. SUBHOOK ，状态、上行内容主动推送机制欢迎试用： 注：仅针对在中国大陆地区持有有效证件的企事业单位或组织
& & 16:28:20 +08:00
SUBMAIL 还支持营销类短信
& & 14:54:16 +08:00
& & 15:30:18 +08:00
推荐 SUBMAIL ，我公司用了两年了，一直很不错。
& & 12:58:30 +08:00
SendCloud 短信语音服务，支持全国三网及虚拟运营商号段发送，高速送达； API 接口简洁易用，多语言代码示例，支持上行回复； SMSHook 可随时获取短信语音发送状态，后台报表准确清晰。可以尝试使用：
& &209 天前
推荐动力思维乐信（
做短信 14 年的公司，可以了解下
& · & 2151 人在线 & 最高记录 3762 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 16ms · UTC 13:29 · PVG 21:29 · LAX 06:29 · JFK 09:29? Do have faith in what you're doing.在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。
问题对人有帮助，内容完整，我也想知道答案
问题没有实际价值，缺少关键内容，没有改进余地
倒计时时无法点击，结束了后样式与文字改变，可以点击，再次倒计时
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
btn点击，发请求获取验证码就不写了，只写倒计时部分的函数。发送成功开始执行还是点击就执行自己确定。
btn.setAttribute("disabled","true")
let time = 60;
btn.innerText =
let stop = setInterval(()=&{
btn.innerText =
if(time===0){
btn.removeAttribute("disabled")；
btn.innerText = 初始值;
clearInterval(stop)
没测试，结构应该是对的。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
这个好简单， 先发起ajax给后台是否发送成功才倒计时。
同步到新浪微博
分享到微博？
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）
我要该，理由是：
在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。