2018年的時候，深圳警方破獲了一起利用名為“嗅探”的偽基站設(shè)備，通過截獲持卡人短信動態(tài)驗證碼在支付寶、京東等移動支付應(yīng)用上實現(xiàn)盜刷的案件。通過一些媒體的報道，可以還原其作案過程大致如下：

• 1、利用“嗅探”偽基站設(shè)備搜尋到附近一臺GSM 2G網(wǎng)絡(luò)中處于靜置狀態(tài)的手機，實現(xiàn)對運營商真實基站的攻破；
• 2、配合計算機設(shè)備，從攻破的運營商基站中獲取附近所有處于GSM 2G網(wǎng)絡(luò)中大量的實時手機短信；
• 3、通過截獲手機號碼和實時短信，從各類銀行、第三方支付以及有實名信息的各類互聯(lián)網(wǎng)平臺，獲取手機號碼、銀行卡號、姓名、身份證號碼等所謂“四要素”數(shù)據(jù)；
• 4、利用上述“四要素”實現(xiàn)盜刷。

不同于廣泛存在的植入木馬等以用戶智能手機為突破口的方式，這種攻破運營商基站的手段已經(jīng)超出持卡人所能應(yīng)對的范疇。由于技術(shù)漏洞出現(xiàn)在GSM 2G網(wǎng)絡(luò)，在4G向5G邁進(jìn)的時代很難寄希望于運營商能夠投入資源在短期內(nèi)完成改造升級，而且事實上據(jù)一些媒體報道，該漏洞已經(jīng)在多年前被發(fā)現(xiàn)，運營商并無堵漏的計劃，這起案件只是利用該漏洞的新作案手法。

時下，在移動支付領(lǐng)域，“四要素”加動態(tài)驗證碼的方式已經(jīng)事實上的主流行業(yè)標(biāo)準(zhǔn)，上述案件難免會導(dǎo)致業(yè)內(nèi)恐慌。雖然通過對作案過程進(jìn)一步論證，犯罪過程效率很低，難以形成大規(guī)模危害，但對于單一受害個體仍可能形成較大影響。因此，探討對該類作案手段的防范具備一定的社會意義。

金融機構(gòu)作為當(dāng)仁不讓的責(zé)任主體，首先要優(yōu)化業(yè)務(wù)流程，減少對短信動態(tài)驗證碼的依賴。對于必須使用短信驗證碼的環(huán)節(jié)，要綜合分析用戶的操作歷史、當(dāng)前和歷史設(shè)備信息、業(yè)務(wù)發(fā)生時間等多方面的因素，制定規(guī)則化的判斷策略，對短信驗證碼的有效性及時判定。當(dāng)偵測到風(fēng)險事件時，可以利用人臉識別、客服介入等輔助手段進(jìn)行風(fēng)險排除，以有效保障客戶的業(yè)務(wù)持續(xù)性。

其次，金融機構(gòu)需要排查各類電子渠道，對于客戶的姓名、身份證、銀行卡號等敏感信息進(jìn)行必要的掩碼隱藏，從自身做起堵掉客戶信息意外泄露的途徑。

對于金融消費者而言，由于各類互聯(lián)網(wǎng)平臺的信息安全水平參差不齊，需要盡量減少“四要素”信息在這類平臺上的留存。如果確實是由于使用服務(wù)需要，可以選擇使用一張專門的銀行卡用于各類需要公開的場合，在該卡上按需轉(zhuǎn)入少量的余額，一旦發(fā)生盜刷可以減少損失。

最簡單的防范方法是確保使用4G并開通VoLTE，具體開通辦法可咨詢運營商。這是因為僅開啟4G的時，短信和語音依舊是通過2G網(wǎng)絡(luò)進(jìn)行傳輸，仍舊可以被偽基站嗅探到。如遇到信號較差、無4G僅有2G的情況時，需加強風(fēng)險防范意識，看到有銀行卡相關(guān)驗證短信等馬上切換至飛行模式，睡覺期間可直接關(guān)機。

案件揭示，短信漏洞存在于GSM 2G網(wǎng)絡(luò)，國內(nèi)使用這個網(wǎng)絡(luò)的運營商為中國移動和中國聯(lián)通，中國電信2G網(wǎng)絡(luò)的制式為CDMA，目前沒有上述漏洞。因此，對于使用雙卡雙待的手機用戶來說，首先應(yīng)確認(rèn)雙卡均使用4G網(wǎng)絡(luò)，如不支持該功能，則建議非4G的號碼不要綁定任何金融服務(wù)、支付登陸驗證網(wǎng)站等，或者選擇中國電信的號碼做為銀行卡等預(yù)留驗證電話，除此之外，更換支持雙卡雙4G的手機也是方法之一。

從整個移動支付行業(yè)來看，或許改變目前的“四要素”加短信驗證碼即可繞開發(fā)卡行實現(xiàn)綁卡支付行業(yè)慣例，是各市場參與主體需要認(rèn)真考慮的選項。

在綁卡環(huán)節(jié)，應(yīng)該賦予發(fā)卡行更多的主動控制權(quán)和支付安全盡職責(zé)任，由發(fā)卡行通過營業(yè)網(wǎng)點線下綁卡，或者使用數(shù)字證書、生物識別等更安全的方式在發(fā)卡行的電子渠道上由客戶自主綁卡，都是可以討論的思路。更進(jìn)一步，可以探討形成線下網(wǎng)點跨行互聯(lián)開通綁卡的可行性。

當(dāng)然，單一的發(fā)卡行由于面對市場競爭壓力，采用上述方式可能會面臨客戶流失的風(fēng)險，那么必要的監(jiān)管政策會是實現(xiàn)這一目標(biāo)基礎(chǔ)。這個措施顯然會被第三方支付機構(gòu)拍磚，然而在金融消費者那里會有多少認(rèn)可度呢？至于發(fā)卡行嘛，筆者認(rèn)為大部分應(yīng)該都是贊成的。