近日，北京网友小许发布的“为什么一条短信就能骗走我所有的财产？”的文章在网上广为传播。小许称，自己在几个短信之间，半天之内支付宝、银行卡上的资金被席卷一空。对此，工信部通信发展司司长闻库表示，上述案例中运营商可能存在潜在漏洞，北京移动已暂停网站自助换卡业务。

面对这种危害巨大的诈骗形式，普通用户不禁会问，网上补卡、换卡究竟安全吗？《IT时报》记者调查了上海三大运营商和部分虚拟运营商的补卡、换卡流程，发现每家运营商面对在线换卡政策不完全相同，安全级别也存在明显差异：除了上海联通已经彻底停止网络补卡外，三大运营商中，上海电信的在线换卡服务安全性最高，而相较之下，部分虚拟运营商的换卡策略则安全系数更低。

在线4G补卡、换卡全面叫停

据悉，小许案例中涉及的在线补办业务来源于运营商的一项4G服务。2G/3G用户升级、换发4G卡，可以不必到营业厅办理，通过网上营业厅提交申请，运营商收到申请后，寄发空白USIM卡给用户，用户拿到后，可远程激活新卡生效。就是这个看似方便通信用户的便民服务，被不法分子钻了空子。

而对于2G/3G卡更换4G卡的服务，目前上海电信和上海移动均可在线办理，而上海联通用户则必须携带身份证件去线下营业厅办理。

电信换卡流程最安全

在小许的案例中，北京移动推送给当事人的验证码短信中，没有提供任何验证码用途的信息，只是简单地表述为“尊敬的客户，您好！你的USIM卡6位验证码为XXXXX。”这让当事人根本不清楚该验证码作何用途，情急之下认为是为了取消那个所谓的增值业务的验证码。

据了解，在上海移动的在线补卡流程中，虽然要求用户提供手机号、服务密码、动态密码、身份证件号码等详细个人信息以核实个人身份，但在推送给用户的验证码短信中，依然没有明确说明动态验证码的用途。“上海移动商城动态密码：XXXXXX，30分钟内有效，请您尽快使用……”记者体验发现，短信内容并未对验证码用途做明确说明。

相较之下，如果上海电信用户在网上发起换卡需求，那么上海电信会通过10000号向用户发送短信和验证码，并在短信中明确提示“正在办理申请卡业务”，让消费者做到对验证码的用途心中有数。

同时，如果电信3G用户发起4G换卡业务，那么后台系统会将该发起人的信息记录下来，并与其所更换的新卡之间进行“一对一对应捆绑”，也就是说，这张新卡只能绑定发起用户手里的那个手机号，其它任何手机号码均无法激活使用。这一安全举措，大大提高了整个网上换卡流程的安全性。

虚拟运营商安全性堪忧

与三大运营商相比，虚拟运营商在补卡和换卡的安全性方面，显然漏洞更多。

小米移动客服表示，小米移动的补卡业务只能在线办理，而其最重要的安全性保障是用户的小米账户和密码，只要有人能通过账户密码登录小米移动官网，即能有效办理换卡、补卡业务。也就是说，一旦用户的小米账户被黑客等盗取，那么手机号码的安全亦堪忧。

而蜗牛移动的密码保护机制更令人不安。蜗牛移动客服人员表示，如果想要登录蜗牛移动官方网站办理换卡业务，只要用手机号和密码登录即可，而一般情况下默认密码即为身份证号码的后六位。

业内人士认为，由于目前虚拟运营商用户数较少，利用手机号与银行卡、支付宝等捆绑的消费者更少，所以暂时还没被更多不法分子瞄上。但虚拟运营商应该在方便用户的同时，应开发出更安全的在线业务流程。

TIPS

如何防范“验证码攻击”？

面对此类针对短信验证码的“精准诈骗”和“组合攻击”，信息安全专家介绍，下面这四招一定要记住：

招数一：静态密码设置一定要复杂。

静态密码首先要足够复杂，并妥善保管，防止泄露。

招数二：遭遇“干扰信息”，仔细甄别莫慌张。

攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”“银行”等身份的手机短信和来电认真甄别。

招数三：手机离奇“瘫痪”，紧急“挂失”当先。

如果手机瘫痪，要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，冻结第三方支付和银行账户，避免骗子趁机冒名机主身份窃取账户。

招数四：最重要的是——短信验证码不要告诉任何人！

运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。