丟手機後被盜刷被貸款 不能指望人人都是“防盜專家”
2020年10月11日19:21

▲圖/新京報網
▲圖/新京報網

  原標題:丟手機後被盜刷被貸款,不能指望人人都是“防盜專家”

  作者:賈敬華

  近日,一篇一個多月前的舊文在朋友圈熱傳,讓不少網友大驚失色:過去丟手機,可能損失的只是一部手機的錢;如今丟了手機,可能搭上“全部身家”甚至因此背上貸款。

  手機成了打開個人保險箱的“萬能鑰匙”

  引發熱議的這篇舊文,是一位自稱信息安全專家“老駱駝”的人,根據自己的經曆寫成的。標題有些拗口——《一部手機失竊而揭露的竊取個人信息實現資金盜取的黑色產業鏈》,文章也有些專業門檻,但大致經過不難理解:手機被盜後,黑色產業鏈利用個人信息來盜取手機銀行、各APP賬戶資金,用被盜者身份在網貸平台貸款。可以說,偷手機已經不是目的,通過手機來薅錢才是目標所在。

  這一案例的特殊性在於,“老駱駝”本身對信息安全有所研究,因此不斷和盜竊團夥鬥智鬥勇。但從中,也暴露了個別APP、銀行和互聯網平台的安全漏洞。雖然在輿論關注下,相關銀行和平台做了緊急回應,也給“老駱駝”進行了賠付。但這卻無法撫平公眾的擔憂:像“老駱駝”這樣的專業人士在家人丟失手機後都疲於應對,我們這些普通人豈不是任網絡黑產“宰割”的小綿羊?

  CNNIC最新數據顯示,截至今年6月份,國內網民規模9.4億,其中手機網民數量已經突破9億,占網民總數量的99.2%。正因如此,手機丟失引發的安全隱患才會屢次成為輿論熱點,因為“老駱駝”的切身經曆可能會發生在很多人身上。不同的是,很多人並不像“老駱駝”那麼專業和幸運。

  據悉,“老駱駝”手機丟失後,通過手機中的App,黑產組織獲取了大量個人信息,包括身份證號碼、銀行卡號等。更尷尬的是,在“老駱駝”機主本人口頭掛失手機卡後,網絡黑產組織竟騙取了運營商的信任,順利解除了機主本人的臨時掛失。於是,“掛失-解掛-掛失-解掛……”的循壞進行了“來來回回幾十次”。

  解除掛失後,“老駱駝”的手機號可以正常使用。於是,黑產組織使用“老駱駝”的身份證信息在多個平台開戶,並且在各個平台申請了數目不等的貸款。

  在手機高度滲透生活的當下,很多消費者習慣使用手機支付,手機使用不當也會引發各種安全風險。從網文揭露的情況看,手機盜竊者早就不再滿足於把偷來的手機刷機然後賣給二手市場,而是通過手機做出一連串的資金盜竊行為,而且在和被盜者拚手速、拚耐力。

  雖然SIM卡、銀行卡、支付平台等可以申請凍結,但由於一些網貸平台簡單依靠個人信息即可貸款,甚至凍結也可以靠個人信息解凍,所以掌握了個人信息的盜竊者猶如掌握了“萬能鑰匙”,令人防不勝防。

  這些年,很多銀行和互聯網平台,也都在尋求便捷性和安全性之間的平衡。但便捷是加分項、安全是必答題;安全是“1”,便捷是後面的“0”,沒有安全的便捷,只會讓一些違法分子鑽了漏洞。從網文來看,不少銀行和互聯網平台在保障資金安全方面的確有所作為,但還是存在個別漏洞,給了犯罪分子可乘之機。

  面對愈加熟練和專業的網絡黑產組織,不能指望每個人都成“老駱駝”,在消費者提高安全意識之外,銀行和互聯網平台顯然要承擔更多的責任。

  核心問題是系統認人還是認信息

  從“老駱駝”與網絡黑產博弈的過程來看,相關銀行和一些互聯網平台存在一些安全漏洞,其中一個核心問題是,當個人信息暴露後,該如何辨別操作者是否是本人,也就是說系統認人還是認信息?

▲資料圖片,圖文無關。圖/新京報網
▲資料圖片,圖文無關。圖/新京報網

  在“老駱駝”手機被盜刷事件中,把丟失的手機號掛失後,竟被黑產組織解除掛失了,這說明運營商的掛失流程有漏洞可鑽。對此,相關運營商客服處接受媒體採訪時表示:如需解除掛失,可以聯繫客服提供登錄電信網上營業廳的密碼或者機主姓名和身份證號碼+上月撥打的三個通話號碼進行操作。

  然而,“老駱駝”丟失的電信號碼被掛失後,確實被解除了掛失,合理的解釋就是黑產組織利用獲取的個人信息成功進行瞭解除掛失。顯然,電信運營商的掛失和解掛流程是有一些漏洞的。要想給消費者提供一個安全的手機號碼掛失功能,運營商需要梳理掛失的每一個環節,並且要增加更全面的身份驗證手段。

  移動支付平台同樣也有安全漏洞。比如,這次“老駱駝”手機丟失後,網絡黑產重新註冊了某支付平台賬號,並關聯了手機卡。對此,官方的回應稱:黑產分子並沒有突破人臉識別,能註冊新號是通過其他渠道已掌握的身份信息和短信驗證碼,在常用設備上實現的。

  從表面來看,官方的回應沒有不妥。可是,從技術角度來說,在常用設備上使用支付工具不需要人臉識別,這同樣是一個安全漏洞。意味著“個人信息”可以代替“本人”進行操作;而系統則無法判斷註冊賬號的人是黑產分子還是本人。

  事實上,無論是銀行還是互聯網平台,很難達到“盡善盡美”,對此公眾也能理解。網絡駭客、黑產的技術也會不斷迭代、不斷去挖掘新的漏洞;但“魔高一尺”,就要“道高一丈”,相關方面有必要根據新的犯罪特點去不斷修補Bug——守護好用戶的“錢袋子”是任何時候都不能推卸的責任。

  另外,對於這類問題,相關平台不妨設置“一攬子的解決方案”,讓用戶以簡單的辦法來給保險箱上一把鎖,而不是到處去上鎖。例如,當用戶的SIM卡掛失後,說明相關信息已經暴露,此時與手機號碼相關的任何業務如支付平台、手機銀行、網貸平台等等,都不妨設置異常提示,此時便不宜採取身份證號、手機驗證碼等單一信息驗證的方式,而是要用能夠證明是本人的方式或是用線下的方式來驗證。

  一名“信息安全專家”,手機丟失後被冒名網貸,銀行卡也被盜刷,這個教訓敲響了警鍾:要想杜絕網絡黑產,用戶的安全意識是一方面,打擊違法犯罪行為是另一方面,相關平台進一步織密信息保護之網、堵住風控漏洞則是最關鍵的。

視頻精選
更多新聞