半月谈|“被消费”“被贷款”……普通人如何免于手机失窃的恐惧?
本文插图
近来 , 一篇网络文章受广泛关注:一名网友叙述了家人手机遭盗窃后“被消费”“被贷款”的遭遇 。 文章引发公众对手机失窃可能带来的财产安全问题的担忧 。目前 , 大部分涉事支付机构已赔付受害人经济损失 。 工业和信息化部也于日前约谈涉事电信企业相关负责人 , 并提出对于服务密码重置、解挂等涉及用户身份的敏感环节 , 要在方便用户办理业务的同时强化安全防护 。“新华视点”采访人员发现 , 虽然这是一起偶发事件 , 但暴露出一系列涉及公民个人信息和财产安全的漏洞 。据了解 , 案件正在进一步调查中 。1
【半月谈|“被消费”“被贷款”……普通人如何免于手机失窃的恐惧?】手机失窃被不法分子进行多笔消费和贷款
据网民“信息安全老骆驼”称 , 其家人手机失窃后 , 不法分子利用电信、金融、支付等机构以及互联网金融平台的安全漏洞 , 新建账户绑定银行卡 , 几个小时内 , 便在线办理了贷款 , 并进行多笔消费 。不法分子是如何利用手机盗取资金的? “信息安全老骆驼”向采访人员复盘了遭遇“盗刷”的全过程:不法分子取出机主手机卡 , 将之安装在自己的手机上 , 通过短信校验的方式 , 登录了某政务平台App , 由此获取了机主的姓名、身份证号、银行卡号等关键个人信息 。 通过这些关键信息及校验短信 , 进行服务密码重置 , 掌握了对手机卡的主动控制权 。 此后 , 在支付宝、财付通、苏宁易付宝、京东支付等开立了新账户 , 绑定机主的银行卡进行消费 , 并在美团平台申请贷款 , 造成机主经济损失 。整个过程中 , 登录政务平台App获取关键信息、绑定银行卡、贷款消费等操作 , 都是凭借手机短信验证码顺利通关 。采访人员了解到 , 此案之所以产生如此后果的一个重要原因 , 在于手机遭窃后机主没有第一时间挂失电话卡 , 令不法分子有了可乘之机 。专家解释 , 在电话卡未挂失的近2个小时 , 由于掌握了机主个人关键信息 , 不法分子通过手机在线服务 , 对服务密码进行了重置 。 这相当于掌握了通信业务办理的主动权 , 能进行远程解除挂失 , 还可以利用短信验证登录其他网站和App 。2
手机失窃被“盗刷”暴露出哪些安全漏洞?
这一网民的遭遇暴露出手机信息安全和支付安全的多个漏洞 , 引发多方担忧 。——电话卡解除挂失等安全机制有待升级 。据其本人介绍 , 案发当日 , 在通过电信客服挂失后不久 , 他们发现手机卡居然被不法分子解除挂失 , 仍能使用 。 双方进行了激烈斗争:挂失、解挂、再挂失、再解挂……来来回回几十次 。 其间 , 这张手机卡不断接收消费和贷款的验证短信 。多位业内人士表示 , 虽然机主手机被盗后未及时挂失电话卡 , 让不法分子钻了空子 , 但电信企业的服务密码重置和解挂失等业务规则是否完善、是否充分考虑了机主手机丢失的可能性 , 值得探讨 。按照中国电信的业务规则 , 已挂失账户可以通过拨打客服热线、服务密码鉴权后进行解挂 。 利用机主挂失前的“空档” , 不法分子通过机主姓名、身份证号、短信随机码重置了服务密码 , 掌握了通信业务办理权 , 多次诱导电信企业客服人员对已挂失的电话卡进行解挂 。电信专家付亮认为 , 用户反复解除挂失的异常举动 , 应及时引起电信企业包括客服人员在内的系统的警觉 , 适当升级安全门槛 , 而不是依然机械地进行常规操作 。——校验手段普遍不足 , 风控水平参差不齐 。目前 , 虽然监管部门对于支付机构开户身份的安全验证有相关规定 , 但部分机构执行打了折扣 。采访人员调查发现 , 不少金融平台和支付机构开立账户或绑定银行卡的流程较为简单 , 一些机构在授信流程中 , 只增加了银行短信校验或者公安网校验 , 就顺利放款 。 在此案中 , 不法分子通过机主的银行卡号、身份证号、姓名、银行预留手机号等信息 , 加上短信验证 , 就在美团平台上办理了贷款业务 , 并很快将贷款通过新开立的支付账户消费掉了 。业内专家表示 , 为吸引用户 , 部分金融平台不会在绑卡开户时增加烦琐的校验方式 , 而是简化开户流程 。 更有一些小公司 , 为节省成本而省略步骤 , 校验的完成度和可靠性难以保障 。与此同时 , 一些平台和机构风控水平不过硬 。 从网民“信息安全老骆驼”家人的遭遇来看 , 同样在凌晨三四点 , 有的支付系统风控成功识别了异常交易并进行阻断 , 有的则通过了不法分子的贷款申请 , 有的支持了不法分子数笔绑卡消费 。——个人敏感信息保护不力 。该案中 , 不法分子通过短信验证的方式便登录了某政务平台App , 获取机主的重要信息如探囊取物一般 。业内专家表示 , 身份证信息和银行卡信息属于个人敏感信息 , 一旦遭泄露后果严重 。 身份验证要强化甄别“确为本人意愿” , 如借助人脸识别等方式提高验证门槛 。此外 , 一些通信行业人士表示 , 一些无良手机App过度收集个人信息 , 也为个人信息安全埋下隐患 , 一旦App被侵入就会造成严重信息泄露 。 在公安部组织开展的“净网2019”专项行动中 , 被查处的违法违规采集个人信息的App就多达683款 , 其中不乏知名企业 。3
推荐阅读
- 半月谈|吸猫成瘾,养猫“致贫”?年轻人催热“猫咪经济”
- 站长之家资讯|央视喊话商家促销多些真诚:不尊重消费者迟早会被消费者抛弃
- 半月谈|千元借款“滚”到65万、地方招商竟招催贷企业:套路贷咋治
- 半月谈|一千可以花,十块必须省?当代年轻人消费心理观察
- 半月谈|一千可以花十块必须省,你的消费观念是这样吗?