在當下這個年代，幾乎是人人都在用手機，只要在用手機，就沒有不知道短信驗證碼的。隨著手機更新換代的速度變快，各大APP也隨之誕生。一般要使用APP，都需要進行登錄認證，最常見的就是將手機號碼作為身份認證。因為手機使用率很高，電話號碼又具有唯一性。

仔細數一數，我們每個人的手機號可能都綁定了很多賬號。比如說支付寶、微信、騰訊視頻等，綁定的賬號越多，觸碰到的個人信息也就會越多。短信驗證碼的呈現方式，相信大家并不陌生，一般你注冊賬號的時候會收到一個隨機的驗證碼短信，內容大多為：“尊敬的顧客，您在某某網站注冊，驗證碼為：xxxxxx，請您在半小時內使用，過期無效。”

當你填寫驗證碼后，就通過了注冊。如果你沒有在規定時間里填入驗證碼，就可以再次點擊“發送驗證碼”按鈕，系統就會再次發送短信，進行第二次的驗證，從而確定用戶對手機號碼的所有權。

在當下移動手機占據市場的環境下，短信驗證碼會時常出現在我們的日常生活里，那么短信驗證碼有沒有隱患呢?

肯定是有的，目前來說，短信驗證碼的威脅主要有幾方面：

第一，智能手機平臺上的短信木馬。手機木馬是2014年春天開始大量出現的，主要以安卓平臺為主。木馬進入手機最重要的一個方式就是釣魚短信，尤其在當下，客戶要去企事業單位辦事，后續反饋基本都是通過短信的方式來告知的，比如銀行、支付企業、政務單位等的通知。這種信任就會讓釣魚短信有施展空間，釣魚短信總是會以各種官方的語氣來發送內容，里面都會有一個鏈接。用戶被誘導后就會點擊進去，有一個APK下載下來提示安裝，一旦安裝，手機就中了木馬。

而且木馬的傳播非常迅速，會悄悄的給手機上的聯系人發送各種釣魚短信，以此擴大。

在【支付寶大盜分析報告】里可以看到很多案例，其中有一類木馬就廣泛用于支付寶詐騙，不法分子誘騙受害者通過二維碼下載安裝木馬，隨后重置受害者的支付寶、淘寶賬戶盜取錢財。這類木馬已經形成了非常完整的產業鏈：從制馬人員到售馬、租馬、到實施釣魚、欺騙、洗號、轉移錢財。

第二，補卡攻擊、克隆攻擊。短信驗證碼事實上是基于手機號(SIM卡/運營商服務)，而不是基于手機設備。只要有相同的一張卡，自然就可以接收到驗證碼，并且對賬號進行重置。根據運營商的說法，辦理補卡業務需要提供身份證和服務密碼，如果忘記服務密碼，還需要提供最近五次的電話聯系記錄。這里的薄弱環節主要在于部分地區的運營商對補卡人員身份驗證不夠嚴格。在早年SIM卡構造簡單的時候，甚至還能直接去克隆一張卡出來。不過近些年隨著技術的進步，這方面的管理也越來越嚴格了。

第三，無線電監聽方面。其實就是通過偽基站對用戶進行監聽，從而獲得短信內容，然后進行盜竊活動。

目前針對這三方面，安卓系統已經收緊了短信權限，同時運營商在維護方面也加強了安全意識，現在的管理也越來越嚴格。

作者介紹：凌凱君，不會賣短信的文案不是好銷售，一個做夢都想著賺錢發財蓋別墅的打工人。