實現原理:發送短信的服務一般是由第三方短信服務商提供的，系統先生成一個驗證碼，調用第三方服務商的短信接口，發送到手機方，手機方輸入驗證碼，再由系統去校驗是否符合，符合則說明手機真實有效。

技術核心是：後臺下發一條隨機碼X，網頁客戶端通過算法將用戶信息和隨機碼X合並，生成一條字符串Y，並返回給後臺；後臺用同樣的算法處理這條隨機碼X和後臺存儲的用戶信息，得到一條字符串Z。後臺比對來自客戶端的字符串Y和自己生成的字符串Z，如果兩者一致，則確認用戶身份。

在了解了短信驗證碼本碼之後，帶你去看看相關的通訊詐騙。很早之前豆瓣網友一篇《這下一無所有了》瘋傳網絡。


就想問問這是怎麽“肥四”？？？

下面短信驗證碼帶你看看是怎們個事：

×××實施“GSM劫持+短信嗅探”的網絡身份×××的技術。

“×××”即假基站，設備一般由主機和筆記本電腦或手機組成，通過×××、短信發信機等相關設備能夠搜取以其為中心、一定半徑範圍內的手機卡信息，利用2G移動通信的缺陷，通過偽裝成運營商的基站，冒用他人手機號碼強行向用戶手機發送詐騙、廣告推銷等短信息。

“短信嗅探”涉及的關鍵技術缺陷是GSM通信協議采用的單向鑒權方式，鑒權弱、明文傳輸的弊端，很容易被劫持，目前中國移動與中國聯通的短信仍然是通過2G的GSM網絡制式傳輸，而中國電信采用的是CDMA網絡，由於CDMA網絡會對每一次通話、短信的過程進行鑒權，鑒權的過程相當復雜，且秘鑰只在網絡核心側和基站側之間傳輸，不法分子無法獲取，也無法通過鑒權攔截用戶的短信。

騙子的實施步驟如下：

騙子通過特種設備自動搜索附近的手機號碼，用你的號碼登錄一些網站或應用，然後用“短信嗅探技術”攔截這些網站、應用發給你的驗證碼；

騙子通過登錄其他一些網站，就會從中碰撞你的身份信息，稱之為“撞庫”（即多個數據庫之間碰撞），將你的身份信息匹配出來，包括×××、銀行卡號、手機號、驗證碼等信息；

騙子在一些平臺開通賬號並綁定事主銀行卡，冒充事主消費或套現，從而盜取事主銀行卡資金。

然後一覺醒來，你就會是“一無所有了”。

值得註意的是，這種技術主要針對2G的GSM信號，但騙子狡猾之處就在於，他們會幹擾附近的手機信號，使4G變為2G信號後，再竊取你的短信信息。

另外，該團夥大多選擇淩晨作案，再加上無需直接與事主接觸，因此大部分事主對資金被盜毫無察覺，一覺醒來手機裏就是莫名奇妙的上百條驗證碼短信。

是不是我們對於這種情況無能為力？我們普通人應該做好防護措施。

1. 睡覺前關機，把手機調成飛行模式，或者只連接家裏的WiFi，防止騙子在後半夜進行操作，掏光你的錢；
2. 看到奇怪的驗證碼和短信，有意識的想到自己是否受到劫持，要馬上聯系短信所屬的移動應用和網站服務提供商，並可考慮暫時關機；
3. 如果自己的手機信號忽然從4G降到2G，可能會被騙子×××，請馬上啟動飛行模式或關機。

對於GSM網絡存在單向鑒權和短信內容無加密傳輸等局限性，還建議各移動應用、網站服務提供商優化用戶身份驗證措施，選用一種或采用多種方式組合，比如通過短信上行驗證、語音通話傳輸驗證碼、常用設備綁定、生物特征識別、動態選擇身份等驗證方式，加強安全性。

網易雲易盾的行為驗證碼便采用了短信上行驗證方式（感知威脅的終極驗證方式，需發送隨機數字至指定平臺方可驗證成功）。

下行短信：通過運營商發給用戶短信。

上行短信：用戶給運行商的信息。


當然沒騙你，這種方式更加的安全有效。

可以去感受一下啊，網易雲易盾的行為驗證碼，除了短信上行驗證方式，還有其他的方式，比如，智能無感知、滑動拼圖、圖中點選等。

還有人不認識通訊詐騙，短信驗證碼帶你認識一下