■如果手機(jī)被盜或遺失,應(yīng)第一時(shí)間致電手機(jī)運(yùn)營(yíng)商掛失SIM卡。
近來(lái),一篇網(wǎng)絡(luò)文章受廣泛關(guān)注:一名網(wǎng)友敘述了家人手機(jī)遭盜竊后“被消費(fèi)”“被貸款”的遭遇。文章引發(fā)公眾對(duì)手機(jī)失竊可能帶來(lái)的財(cái)產(chǎn)安全問(wèn)題的擔(dān)憂。
目前,大部分涉事支付機(jī)構(gòu)已賠付受害人經(jīng)濟(jì)損失。工業(yè)和信息化部也于日前約談涉事電信企業(yè)相關(guān)負(fù)責(zé)人,并提出對(duì)于服務(wù)密碼重置、解掛等涉及用戶身份的敏感環(huán)節(jié),要在方便用戶辦理業(yè)務(wù)的同時(shí)強(qiáng)化安全防護(hù)。
記者發(fā)現(xiàn),雖然這是一起偶發(fā)事件,但暴露出一系列涉及公民個(gè)人信息和財(cái)產(chǎn)安全的漏洞。據(jù)了解,案件正在進(jìn)一步調(diào)查中?! ?br /> 據(jù)新華社
案件 ?手機(jī)失竊 被不法分子盜刷多筆用于消費(fèi)和貸款
據(jù)網(wǎng)民“信息安全老駱駝”稱,其家人手機(jī)失竊后,不法分子利用電信、金融、支付等機(jī)構(gòu)以及互聯(lián)網(wǎng)金融平臺(tái)的安全漏洞,新建賬戶綁定銀行卡,幾個(gè)小時(shí)內(nèi),便在線辦理了貸款,并進(jìn)行多筆消費(fèi)。不法分子是如何利用手機(jī)盜取資金的?
“信息安全老駱駝”向記者復(fù)盤了遭遇“盜刷”的全過(guò)程:不法分子取出機(jī)主手機(jī)卡,將之安裝在自己的手機(jī)上,通過(guò)短信校驗(yàn)的方式,登錄了某政務(wù)平臺(tái)App,由此獲取了機(jī)主的姓名、身份證號(hào)、銀行卡號(hào)等關(guān)鍵個(gè)人信息。通過(guò)這些關(guān)鍵信息及校驗(yàn)短信,進(jìn)行服務(wù)密碼重置,掌握了對(duì)手機(jī)卡的主動(dòng)控制權(quán)。此后,在支付寶、財(cái)付通、蘇寧易付寶、京東支付等開立了新賬戶,綁定機(jī)主的銀行卡進(jìn)行消費(fèi),并在美團(tuán)平臺(tái)申請(qǐng)貸款,造成機(jī)主經(jīng)濟(jì)損失。
整個(gè)過(guò)程中,登錄政務(wù)平臺(tái)App獲取關(guān)鍵信息、綁定銀行卡、貸款消費(fèi)等操作,都是憑借手機(jī)短信驗(yàn)證碼順利通關(guān)。
記者了解到,此案之所以產(chǎn)生如此后果的一個(gè)重要原因,在于手機(jī)遭竊后機(jī)主沒(méi)有第一時(shí)間掛失電話卡,令不法分子有了可乘之機(jī)。
專家解釋,在電話卡未掛失的近2個(gè)小時(shí),由于掌握了機(jī)主個(gè)人關(guān)鍵信息,不法分子通過(guò)手機(jī)在線服務(wù),對(duì)服務(wù)密碼進(jìn)行了重置。這相當(dāng)于掌握了通信業(yè)務(wù)辦理的主動(dòng)權(quán),能進(jìn)行遠(yuǎn)程解除掛失,還可以利用短信驗(yàn)證登錄其他網(wǎng)站和App。
隱患 ?機(jī)主遭遇 暴露手機(jī)信息安全和支付安全漏洞
這一網(wǎng)民的遭遇暴露出手機(jī)信息安全和支付安全的多個(gè)漏洞,引發(fā)多方擔(dān)憂。
電話卡解除掛失等安全機(jī)制有待升級(jí)。
多位業(yè)內(nèi)人士表示,雖然機(jī)主手機(jī)被盜后未及時(shí)掛失電話卡,讓不法分子鉆了空子,但電信企業(yè)的服務(wù)密碼重置和解掛失等業(yè)務(wù)規(guī)則是否完善、是否充分考慮了機(jī)主手機(jī)丟失的可能性,值得探討。
按照中國(guó)電信的業(yè)務(wù)規(guī)則,已掛失賬戶可以通過(guò)撥打客服熱線、服務(wù)密碼鑒權(quán)后進(jìn)行解掛。利用機(jī)主掛失前的“空檔”,不法分子通過(guò)機(jī)主姓名、身份證號(hào)、短信隨機(jī)碼重置了服務(wù)密碼,掌握了通信業(yè)務(wù)辦理權(quán),多次誘導(dǎo)電信企業(yè)客服人員對(duì)已掛失的電話卡進(jìn)行解掛。
校驗(yàn)手段普遍不足,風(fēng)控水平參差不齊。
記者調(diào)查發(fā)現(xiàn),不少金融平臺(tái)和支付機(jī)構(gòu)開立賬戶或綁定銀行卡的流程較為簡(jiǎn)單,一些機(jī)構(gòu)在授信流程中,只增加了銀行短信校驗(yàn)或者公安網(wǎng)校驗(yàn),就順利放款。在此案中,不法分子通過(guò)機(jī)主的銀行卡號(hào)、身份證號(hào)、姓名、銀行預(yù)留手機(jī)號(hào)等信息,加上短信驗(yàn)證,就在美團(tuán)平臺(tái)上辦理了貸款業(yè)務(wù),并很快將貸款通過(guò)新開立的支付賬戶消費(fèi)掉了。
業(yè)內(nèi)專家表示,為吸引用戶,部分金融平臺(tái)不會(huì)在綁卡開戶時(shí)增加煩瑣的校驗(yàn)方式,而是簡(jiǎn)化開戶流程。更有一些小公司,為節(jié)省成本而省略步驟,校驗(yàn)的完成度和可靠性難以保障。
個(gè)人敏感信息保護(hù)不力。
該案中,不法分子通過(guò)短信驗(yàn)證的方式便登錄了某政務(wù)平臺(tái)App,獲取機(jī)主的重要信息如探囊取物一般。
業(yè)內(nèi)專家表示,身份證信息和銀行卡信息屬于個(gè)人敏感信息,一旦遭泄露后果嚴(yán)重。身份驗(yàn)證要強(qiáng)化甄別“確為本人意愿”,如借助人臉識(shí)別等方式提高驗(yàn)證門檻。
此外,一些通信行業(yè)人士表示,一些無(wú)良手機(jī)App過(guò)度收集個(gè)人信息,也為個(gè)人信息安全埋下隱患,一旦App被侵入就會(huì)造成嚴(yán)重信息泄露。在公安部組織開展的“凈網(wǎng)2019”專項(xiàng)行動(dòng)中,被查處的違法違規(guī)采集個(gè)人信息的App就多達(dá)683款,其中不乏知名企業(yè)。
提醒
手機(jī)丟失首先掛失SIM卡
事件曝光后,大部分涉事的平臺(tái)和支付機(jī)構(gòu)消除了受害人的貸款記錄,并賠付了損失。記者了解到,相關(guān)支付機(jī)構(gòu)已著手加強(qiáng)手機(jī)丟失防控策略,提升風(fēng)控水平,適時(shí)升級(jí)身份驗(yàn)證手段。
中國(guó)電信相關(guān)人員表示,為進(jìn)一步防范此類風(fēng)險(xiǎn),將強(qiáng)化和規(guī)范掛失、解掛、呼轉(zhuǎn)等業(yè)務(wù)的鑒權(quán)方式和流程,增加技術(shù)核驗(yàn)手段,提高服務(wù)人員風(fēng)險(xiǎn)防范意識(shí),對(duì)頻繁辦理業(yè)務(wù)的行為加強(qiáng)監(jiān)控,對(duì)異常行為進(jìn)行限制和升級(jí)操作授權(quán)。
普通民眾如果手機(jī)被盜或遺失,應(yīng)如何保護(hù)個(gè)人信息和財(cái)產(chǎn)安全?專家提示:
●第一時(shí)間致電手機(jī)運(yùn)營(yíng)商掛失SIM卡,以免不法分子利用“時(shí)間差”竊取個(gè)人信息。
●盡快致電銀行凍結(jié)手機(jī)網(wǎng)銀,只要辦過(guò)銀行卡的銀行都要覆蓋到,不要給不法分子留下可乘之機(jī)。
●對(duì)支付寶、微信等具有金融功能的應(yīng)用及時(shí)進(jìn)行凍結(jié),且密切關(guān)注賬戶服務(wù)和資金變動(dòng)。
●通知親朋好友手機(jī)遺失,讓他們不要輕易相信陌生人打來(lái)的電話或發(fā)來(lái)的信息。
●如果發(fā)現(xiàn)異常的資金使用情況,及時(shí)撥打110報(bào)警電話報(bào)案。
來(lái)源: 廈門晚報(bào)