支付宝：已可防范“短信嗅探”盗刷

6 月 18 日，雷锋网从支付宝安全实验室获悉，随着风控系统的升级，目前对于绝大多数的短信嗅探类攻击，支付宝已能有效防范。

“短信嗅探”是近年来兴起的一种盗刷手段。“短信嗅探”（GSM Sniffing）的原理是不法分子通过嗅探 GSM 信号，获取基站周围用户的手机号及短信验证码，然后针对银行卡、第三方支付平台进行盗刷。“短信嗅探”的直接后果是“短信验证码”会被不法分子获取，不少平台仅靠短信验证码就能完成登录账户或修改密码，因此会被“短信嗅探”攻破。此外，还有黑灰产会结合非法获得的个人信息，辅以短信验证码，进行突破。

雷锋网了解到，这次，支付宝的风控系统从多个维度进行风险监测，比如在新设备登录时，不会仅靠短信验证码，而是结合生物特征进行多重验证，即使短信验证码遭到泄露，也能有效拦截异常登录。此外，在风控模型中应用自学习算法更新嗅探攻击特征，不法分子就算获得了用户的账户、短信验证码甚至个人信息，也不一定能成功攻击。