嗅探盗刷信用卡，金融机构和消费者该如何应对？

2018年的时候，深圳警方破获了一起利用名为“嗅探”的伪基站设备，通过截获持卡人短信动态验证码在支付宝、京东等移动支付应用上实现盗刷的案件。通过一些媒体的报道，可以还原其作案过程大致如下：

• 1、利用“嗅探”伪基站设备搜寻到附近一台GSM 2G网络中处于静置状态的手机，实现对运营商真实基站的攻破；
• 2、配合计算机设备，从攻破的运营商基站中获取附近所有处于GSM 2G网络中大量的实时手机短信；
• 3、通过截获手机号码和实时短信，从各类银行、第三方支付以及有实名信息的各类互联网平台，获取手机号码、银行卡号、姓名、身份证号码等所谓“四要素”数据；
• 4、利用上述“四要素”实现盗刷。

不同于广泛存在的植入木马等以用户智能手机为突破口的方式，这种攻破运营商基站的手段已经超出持卡人所能应对的范畴。由于技术漏洞出现在GSM 2G网络，在4G向5G迈进的时代很难寄希望于运营商能够投入资源在短期内完成改造升级，而且事实上据一些媒体报道，该漏洞已经在多年前被发现，运营商并无堵漏的计划，这起案件只是利用该漏洞的新作案手法。

时下，在移动支付领域，“四要素”加动态验证码的方式已经事实上的主流行业标准，上述案件难免会导致业内恐慌。虽然通过对作案过程进一步论证，犯罪过程效率很低，难以形成大规模危害，但对于单一受害个体仍可能形成较大影响。因此，探讨对该类作案手段的防范具备一定的社会意义。

金融机构作为当仁不让的责任主体，首先要优化业务流程，减少对短信动态验证码的依赖。对于必须使用短信验证码的环节，要综合分析用户的操作历史、当前和历史设备信息、业务发生时间等多方面的因素，制定规则化的判断策略，对短信验证码的有效性及时判定。当侦测到风险事件时，可以利用人脸识别、客服介入等辅助手段进行风险排除，以有效保障客户的业务持续性。

其次，金融机构需要排查各类电子渠道，对于客户的姓名、身份证、银行卡号等敏感信息进行必要的掩码隐藏，从自身做起堵掉客户信息意外泄露的途径。

对于金融消费者而言，由于各类互联网平台的信息安全水平参差不齐，需要尽量减少“四要素”信息在这类平台上的留存。如果确实是由于使用服务需要，可以选择使用一张专门的银行卡用于各类需要公开的场合，在该卡上按需转入少量的余额，一旦发生盗刷可以减少损失。

最简单的防范方法是确保使用4G并开通VoLTE，具体开通办法可咨询运营商。这是因为仅开启4G的时，短信和语音依旧是通过2G网络进行传输，仍旧可以被伪基站嗅探到。如遇到信号较差、无4G仅有2G的情况时，需加强风险防范意识，看到有银行卡相关验证短信等马上切换至飞行模式，睡觉期间可直接关机。

案件揭示，短信漏洞存在于GSM 2G网络，国内使用这个网络的运营商为中国移动和中国联通，中国电信2G网络的制式为CDMA，目前没有上述漏洞。因此，对于使用双卡双待的手机用户来说，首先应确认双卡均使用4G网络，如不支持该功能，则建议非4G的号码不要绑定任何金融服务、支付登陆验证网站等，或者选择中国电信的号码做为银行卡等预留验证电话，除此之外，更换支持双卡双4G的手机也是方法之一。

从整个移动支付行业来看，或许改变目前的“四要素”加短信验证码即可绕开发卡行实现绑卡支付行业惯例，是各市场参与主体需要认真考虑的选项。

在绑卡环节，应该赋予发卡行更多的主动控制权和支付安全尽职责任，由发卡行通过营业网点线下绑卡，或者使用数字证书、生物识别等更安全的方式在发卡行的电子渠道上由客户自主绑卡，都是可以讨论的思路。更进一步，可以探讨形成线下网点跨行互联开通绑卡的可行性。

当然，单一的发卡行由于面对市场竞争压力，采用上述方式可能会面临客户流失的风险，那么必要的监管政策会是实现这一目标基础。这个措施显然会被第三方支付机构拍砖，然而在金融消费者那里会有多少认可度呢？至于发卡行嘛，笔者认为大部分应该都是赞成的。