手机、银行卡、身份证都在自己手里，却接到短信说自己的卡被转走了1万多元。近期，有上海市民反映，自己在不知情的情况下被开通了中国移动的“短信保管箱”业务，造成短信内容泄露，银行卡被盗刷。“短信保管箱”业务本是功能机时代的一项便民服务，为何却在移动互联网时代成了“泄密箱”？

  不法分子窃取验证码

  前不久一天凌晨，家住上海普陀区的李子涵连续收到来自“95528”的短信，内容是“您本次使用浦发银行信用卡自助服务的动态密码是906245，请当心用卡安全，保护好卡片信息”。“我连续收到4条短信，分别是不同的动态密码。”

  李子涵平时经常用手机购物，支付宝、微信等各种手机支付方式用得很顺手。“一看到这个，我马上意识到出问题了，肯定有人在某个地方利用我的网上银行或其他第三方支付方式，盗刷我的信用卡，还好转账或者支付都需要短信确认。”李子涵第一时间修改了支付密码，并取消了信用卡与各大购物网站的“绑定”关系。“在国内电商支付我主要用的是微信、支付宝等，而在一些海淘网站、转运网站，我都填过信用卡信息，不知道是哪个环节出问题了。”李子涵心有余悸地说。

  北京的梁先生就没那么幸运了。上个月，他突然收到“已成功开通中国移动短信保管箱业务”的短信，随后银行卡被陆续转走13000多元。“短信保管箱”是一种源自功能机时代的短信托管服务，可以把手机上收到的短信自动同步到运营商的服务器上备份，手机用户也可以通过运营商网站查看这些短信。也就是说，本来梁先生和李子涵一样都收到了“转账验证码”的短信，但梁先生被莫名开通了“保管箱”服务，验证码短信被同步到网上，被不法分子窃取。

  同步至Web端留隐患

  那么，“短信保管箱”究竟是什么？据了解，“短信保管箱”是一种源自功能机时代的短信托管服务。功能是可以把手机上收到的短信自动同步到运营商的服务器上备份，手机用户也可以通过运营商网站查看这些短信。当未开通“短信保管箱”业务时，手机用户在网站注册或消费时，网站会通过通信网将验证码发送到用户手机中，是一种将密码验证与短信验证码结合起来的“双因子认证”方法；而开通“短信保管箱”业务后，网站发来的验证码短信，一方面经过通信网发送到用户手机，另一方面则同时备份到Web端，通过攻击Web端即可窃取验证码，无需直接接触用户手机，这样反而降低了“双因子验证”的安全性。

  智能手机时代，网购、转账等对短信验证码的依赖程度更高，不法分子也意识到验证码在移动支付方面的重要作用，通过多种方式窃取手机用户短信验证码并进行盗刷银行卡等犯罪行为。据悉，目前不法分子主要通过三种方式窃取短信验证码：通过在手机植入木马窃取验证码、诱骗手机用户登录钓鱼网站填写验证码是最主要的两种作恶手段，而通过恶意利用短信托管服务窃取验证码则成为今年威胁最大的验证码攻击手段。

  保管好相关账号和密码

  对此，上海移动有关负责人介绍说，以前的用户手机和SIM卡的存储量都很小，而短信辉煌时期的用户发送量与接收量都很大，经常造成短信无法存储的情况，一些重要的通知和事项也许会遗漏造成损失。至今，一些功能机用户也还有这样的需求。

  以上海地区为例，开通“短信保管箱”业务费用为3元/月，但只支持本地点对点短信（用户和用户个人之间发送的短信）的保存，外地、外国的号码无法保存，银行、企业、SP（移动互联网服务内容提供者根据用户的要求开发的服务）系统下发的短信也无法保存，且只有开通功能后收发的短信才能保存，开通功能前的历史短信是无法读取和保存的。“这个业务本身是为了给用户提供更方便的服务，比如更大的存储空间、更方便的查阅方式。但是被居心叵测的人应用，就会造成如垃圾短信、诈骗短信等问题。”

  安全专家提醒用户，日常生活中一定要保管好自己手机相关的账号和密码，也要随时关注手机里与财产相关的短信。

  （据《新民晚报》）