對于移動支付來說，安全是永恒的探討主題，在已經過去的2020年也是如此。雖然在2020年發生了許許多多的事情分散了我們的注意力，但還是有一些安全問題值得我們關注。

手機丟失造成的SIM卡盜刷

2020年的9月，老駱駝在經歷了與一個專業黑產團伙的幾天對抗之后，根據自己搜集整理分析的結果發表了《一部手機失竊而揭露的竊取個人信息實現資金盜取的黑色產業鏈》一文，這篇文章發表后引起了轟動效果。

工信部專門組織核查處理，于10月12日約談了涉事電信企業相關負責人，并發文提醒相關單位、企業和個人強化個人信息保護意識。

老駱駝的遭遇讓所有人都認識到，在我們平時沒有注意到的角落有一種新的盜刷手段出現了。老駱駝表示，自從文章發布后，有幾個網友留言說自己經歷過一模一樣的場景，受損金額都比較大，最嚴重的一位有68萬的線上貸款，目前還在索賠中。

目前，三家電信運營商在服務密碼重置、解掛等涉及用戶身份的敏感環節，均已在方便用戶辦理業務的同時強化安全防護，同時加強了客服人員風險防范意識培訓，警惕業務異常辦理行為。

工信部提醒廣大用戶及時設置SIM卡密碼，在丟失手機后應第一時間掛失，強化安全風險意識。這個建議是非常有效的，不過也有人在設置了SIM卡密碼之后就忘記了密碼，以至于手機重啟之后不得不去營業廳解鎖。

短信嗅探盜刷與驗證碼

2020年的6月，央視新聞報道了一起短信嗅探盜刷案件，案件發生在2019年。海南省三亞市宋女士的手機上突然收到了幾條短信驗證碼。不一會兒，手機又接到短信，顯示她的銀行卡被刷走了5萬元。

央視的報道再次讓“短信嗅探”進入大眾的視野。所謂短信嗅探技術，是通過特殊設備可以采集附近手機號碼和機主信息，實現不接觸目標手機，而獲得目標手機所接收到的驗證短信的犯罪手段。

有專家認為短信被嗅探并導致資金賬戶被盜發生場景的概率是極低的，普通用戶無需過于擔心，更不需要在晚上睡覺時“主動關機”。

但實際上，用戶除了關機或打開飛行模式并沒有什么很好的防御方法，這意味著如果用戶碰上了短信嗅探盜刷，基本上是沒有抵抗能力的。只要被攻擊，短信驗證碼肯定會被攔截，至于會不會被盜刷，主要看支付平臺風控做的如何，用戶完全無法控制。

驗證碼主要用于用戶實名認證，在國內使用短信驗證碼已經成為了各大App、網站的基本操作。使用短信驗證碼可以完成登錄、更改密碼、轉賬、支付等諸多操作，從實質作用上，短信驗證碼已經變成安全口令：一個雙方約定好、只具有一分鐘生命的安全口令。

3GPP制定協議標準時，在考慮發生緊急情況、突發事件時可能產生大量手機業務請求，需要能及時調度網絡請求，轉移壓力，這時候大量的鑒權、加密、完整性檢查等安全措施可能導致網絡瓶頸，因此舍棄了部分安全措施，由此產生了安全漏洞。

也就是說，短信驗證碼被攔截是因為相關企業沒有做好數據全生命周期保護，在數據傳輸過程中出現了致命的漏洞。而這個漏洞由于屬于設計漏洞，因此修復難度大、成本高。

對于這個漏洞，目前也有解決方案。2020年4月8日，中國移動、中國電信、中國聯通攜手11家合作伙伴共同發布《5G消息白皮書》。5G消息作為短信業務的升級或將徹底解決這個漏洞。

2G網絡退網也處于規劃當中。中國聯通上海市場部副總經理朱駿表示，中國聯通集團規劃最快在2021年全面實現全國的2G退網，有條件比較成熟的省市，在2020年計劃做2G的退網。同時，中國移動和中國電信也釋放出2G退網的信號。

口罩與刷臉支付

2020年伊始，突如其來的新冠肺炎疫情沖亂了庚子年新年的喜慶，也打斷了中國社會發展的腳步。做好疫情防控工作，各大城市要求進入公共場所的人員必須佩戴口罩。

而在3月，一位美國設計師將臉部下半部分印在口罩上后，成功通過Face ID的驗證。而騰訊安全玄武實驗室最新發布的研究成果顯示，戴著市面上常見的幾款口罩，就有極大概率能解鎖iPhone。

戴著口罩能解鎖蘋果，是否也能通過支付寶、微信支付的識別？微信支付表示，戴口罩解鎖目前不能應用于微信刷臉支付，對安全性不會構成威脅。支付寶方面未予置評。

目前在刷臉支付中，刷臉只是支付中的一個步驟，還需要交叉驗證，因此安全性是有保障的。那么沒有交叉驗證的刷臉支付怎么辦呢？

今年7月1日，哈爾濱地鐵“刷臉”乘車系統投入使用，乘客進出站無需摘戴口罩，輕松識別，直接過閘機。該系統可適用于各類復雜光線環境，能實現雙目紅外活體檢測，自動抓取人臉圖像。

隨著氣溫的進一步降低，以及國際疫情形勢的不樂觀持續發展，戴口罩可以預見將會成為人們在很長一段時間之內的常規操作。

全球最好的人臉識別技術水平為千萬分之一誤報下的識別準確率接近99%。這仍然只是無限接近1，而不能做到等于1。

目前戴口罩刷臉支付是否適用于各種場景，能不能充分滿足安全需求還需要更多的實驗。

短信：“您ETC認證已失效......”

2020年3月21日，老黃收到了ETC管理處發來的短信。時值疫情，老黃已經好久沒有開車上過高速，沒有使用過ETC，辦理ETC的時候也是一知半解，沒人和他說過ETC會不會失效。出于可能會用的上ETC的心理，老黃點開了短信里的鏈接，開始辦理線上核實認證。

此時老黃沒有想那么多，短信看起來很正規，短信發送方是10開頭的一長串數字，和平時給他發驗證碼的發送方一樣，殊不知，這正好讓他落入了騙子的圈套。

進入鏈接之后，老黃按要求填寫了各種信息，包括姓名、車牌號、銀行卡卡號和手機收到的驗證碼等等。過了一會，收到的不是認證辦理成功的信息，而是銀行卡里的錢被轉走的信息。這時老黃才反應過來，自己這是被騙了，趕緊報警。

2019年，交通部印發《關于大力推動高速公路ETC發展應用工作的通知》，在該文的指導下，ETC開始在全國范圍內快速推廣。于此同時，與ETC相關的盜刷、詐騙事件開始高頻出現，老黃的遭遇并不是個例。

2020年12月25日，齊齊哈爾市甘南縣公安局破獲一起電信詐騙案件，涉案金額10萬余元，抓獲犯罪嫌疑人郭某、張某、王某，扣押手機10部、銀行卡32張、現金2800元。

3名犯罪嫌疑人事先建立了一個虛假網站，再通過非法途徑獲取了被害人信息，通過短信的形式向被害人發送“ETC”銀行卡異常的通知，誘導被害人在假網站上輸入銀行卡密碼。

身為車主肯定會關心“ETC認證失效”是否會影響自己出行，收到類似的短信會加以關注，因此非常容易上當受騙。

事實上，ETC沒有所謂的失效問題，激活之后就是永久有效的。除非是用戶卡片到期或者掛失重置，ETC設備才會被止付，用戶更換卡片后通過ETC合作方途徑再次錄入新卡信息便可以重新使用。銀行和ETC合作方都表示不會向ETC用戶發送包含鏈接的短信內容。

責任編輯：王煊