“短信保管箱”易被利用 收大量验证短信要小心

福州新闻网7月17日讯（福州晚报首席记者 江海）使用“短信保管箱”业务，居然导致银行卡被盗。昨日，360手机安全中心发布2015年手机安全橙色预警，针对“短信保管箱”业务以及手机用户提出安全建议。

网友“公交姬”表示，今年2月，他发现自己的银行卡总是被人输错密码而冻结，即便开了新卡也不管用，可问题是，他的卡一直都在自己手上，也从来没有泄露过卡的信息。7月1日，当他正在家中玩电脑时，意外收到了一条“短信保管箱”业务的订购短信。他立即联系客服，取消了这项业务，但之后他的手机又再次收到了“短信保管箱”业务的订购短信。无奈之下，他修改了手机号码的密码。紧接着，他就收到了数十条来自各个消费网站发来的短信，里面是各种“短信验证码”，同时他发现银行卡被不法分子盗刷。

“短信保管箱”是一种源自功能机时代的短信托管服务。功能是可以把手机上收到的短信自动同步到运营商的服务器上备份，手机用户也可以通过运营商网站查看这些短信。未开通“短信保管箱”业务时，手机用户在网站注册或消费时，网站会通过通信网将验证码发送到用户手机中，是一种将密码验证与短信验证码结合起来的“双因子认证”方法。而开通“短信保管箱”业务后，网站发来的验证码短信，一方面经过通信网发送到用户手机，另一方面则同时备份到Web端，通过攻击Web端即可窃取验证码，无需直接接触用户手机，这样就降低了“双因子验证”的安全性。

对手机用户来说，可以通过一些简单有效的方法来尽可能避免或减少此类犯罪造成的损失：首先，定期修改网银密码，并设置高强度的复杂密码。尽可能不要在所有的网站上都使用相同的账号和密码，尤其是社交账号、网银账号和常用的电子邮箱，一定要单独设置密码。其次，一旦收到类似“订购短信保险箱业务”的短信，立即联系相关运营商进行处置，及时关闭相关业务。如果在收到“短信保管箱”订购短信后，又很快收到银行的转账或扣费通知短信，应立即联系银行客服挂失相关银行卡，以避免损失进一步扩大。最后，如果突然收到大量莫名其妙的垃圾短信或验证码短信，一定要仔细查看其中是否有银行或第三方支付工具发来的验证短信或转账、消费告知短信，若有，则应及时联系银行，挂失银行卡或联系第三方支付平台冻结支付账号，并查杀木马、拦截钓鱼网站，隔离保护交易验证码短信。