2021年全國兩會即將開幕。南都隱私護(hù)衛(wèi)隊(duì)了解到，全國人大代表、致公黨上海市委專職副主委邵志清針對增強(qiáng)移動(dòng)支付安全性提出一些建議。他認(rèn)為移動(dòng)支付為群眾帶來便利性的同時(shí)，也帶來一定的風(fēng)險(xiǎn)性，對“短信驗(yàn)證碼”的過分信任就是一個(gè)值得注意的隱患。為此他建議適當(dāng)限制短信驗(yàn)證碼的功能并疊加更多身份核驗(yàn)手段，才能有效提高移動(dòng)支付的安全性。

去年，成都駱先生（化名）因妻子手機(jī)被盜取，與專業(yè)黑產(chǎn)分子斗智斗勇的故事引起關(guān)注。雖然駱先生擁有數(shù)十年的網(wǎng)絡(luò)攻防經(jīng)驗(yàn)，可還是“敗下陣來”，被黑產(chǎn)分子利用手機(jī)、電話卡等竊取個(gè)人信息，盜取銀行賬戶資金、申請網(wǎng)貸并轉(zhuǎn)移資產(chǎn)。

隱私護(hù)衛(wèi)隊(duì)注意到，黑產(chǎn)分子全程利用正常的業(yè)務(wù)操作，只是把各個(gè)機(jī)構(gòu)的“弱驗(yàn)證”關(guān)聯(lián)起來，就形成了巨大破壞。其中一種“弱驗(yàn)證”方式便是短信驗(yàn)證碼，黑產(chǎn)分子借此完成多個(gè)App的免密快捷登錄、“密碼重置”等。

“從技術(shù)發(fā)展演進(jìn)和犯罪場景變化的趨勢看，沒有辦法能保證短信驗(yàn)證碼的絕對安全?！鄙壑厩褰榻B，如今許多機(jī)構(gòu)和平臺在手機(jī)上憑短信驗(yàn)證碼就能完成服務(wù)。但短信驗(yàn)證碼的安全性級別相對較低，不法分子通過盜竊手機(jī)卡、攔截短信、武力脅迫等手段，獲取并憑借短信驗(yàn)證碼登錄社保賬戶、公積金賬戶、銀行卡賬戶和各類第三方支付平臺賬號，然后查詢用戶身份信息、銀行卡信息等，修改賬戶密碼和交易密碼，盜刷銀行卡并申請網(wǎng)絡(luò)貸款。

針對這些問題，邵志清建議，首先是對短信驗(yàn)證碼的部分功能進(jìn)行適當(dāng)限制。修改銀行卡關(guān)聯(lián)手機(jī)號、修改銀行卡交易密碼、銀行卡解除掛失時(shí)，必須由持卡人持身份證至銀行柜臺辦理；手機(jī)卡解除掛失時(shí)，必須由卡主持身份證至電信營業(yè)廳辦理?！敖獬龗焓桥及l(fā)事件，這樣做既更好保證卡主的安全利益，也沒有造成太多不便利”。

其次是在短信驗(yàn)證碼基礎(chǔ)上疊加更多身份核驗(yàn)手段。如果忘記或不知道支付平臺的登錄密碼時(shí)，不能僅憑短信驗(yàn)證碼登錄，而是應(yīng)該疊加“人臉識別”或“私密問題驗(yàn)證”等技術(shù)，確保登錄操作者是卡主本人；對于社?？ê凸e金賬戶的登錄，也應(yīng)該設(shè)置同樣的規(guī)則。

然后是加強(qiáng)對大額消費(fèi)、轉(zhuǎn)賬和網(wǎng)貸的監(jiān)控。系統(tǒng)對卡主的消費(fèi)、轉(zhuǎn)賬和網(wǎng)貸行為分別設(shè)定一般的限額警戒線，修改額度或額度超過警戒線的消費(fèi)、轉(zhuǎn)賬和網(wǎng)貸行為，需要在“密碼+短信驗(yàn)證碼”基礎(chǔ)上，疊加“人臉識別”或“私密問題驗(yàn)證”技術(shù)。

此外，為應(yīng)對在綁架和搶劫等案件中，犯罪分子逼迫受害人交出密碼、短信驗(yàn)證碼和完成人臉識別的情況，邵志清建議利用“私密問題驗(yàn)證” 技術(shù)對抗，建議允許卡主針對私密問題設(shè)置兩個(gè)私密答案，一個(gè)是正常答案，一個(gè)為報(bào)警答案。用戶輸入兩個(gè)答案都能完成移動(dòng)支付交易，但如果是報(bào)警答案，銀行和支付平臺應(yīng)該立即啟動(dòng)報(bào)警應(yīng)對機(jī)制，拖延交易資金進(jìn)入對方賬戶的時(shí)間，并立即通知警方跟蹤資金流向等。

邵志清還強(qiáng)調(diào)，對于利用移動(dòng)支付途徑竊取、搶劫、詐騙別人資產(chǎn)的行為，要嚴(yán)厲打擊，從重懲處，既維護(hù)金融市場秩序，又促進(jìn)數(shù)字經(jīng)濟(jì)平穩(wěn)健康發(fā)展。