新华社北京10月23日通讯 “被盗刷”、“被借贷”……一起智能手机失窃揭示何种安全隐忧?
新华社旗下“新华视点”栏目特派记者吴雨、高亢、张千千报道
近日,一篇网络传播的文章引发了社会广泛关切,文中一位网友详述了自家成员手机失窃后遭受“被迫消费”、“被迫借贷”的经历,该文引起了大众对其手机失窃可能导致财务安全隐患的关注。
当前,多数涉案支付机构已经赔偿受害者经济受损款项。工信部亦已在近期约见了涉事电信企业相关责任人,并强调指出,在诸如服务密码重置、解挂等涉及用户身份的关键环节,尽管需要便利用户提供服务,但仍需强化安全保障措施。
经“新华视点”记者了解,尽管此乃一孤立个案,却凸显出关乎公民个人信息和财产安全的一系列潜在疏漏。
据悉,对该案的深入调查仍在进行之中。
手机不慎落入贼手,犯罪分子借此实施多项消费和贷款活动
根据自称“信息安全老骆驼”的博主所述,家中成员手机被盗后,犯罪分子利用电信、金融、支付等领域及相关互联网金融平台的安全破绽,创建新账号并关联银行卡,在短短几小时之内,即在线完成了贷款手续并开展了多次消费行为。
犯罪分子究竟如何借由偷窃手机盗取财物呢?
“信息安全老骆驼”向本台记者详细重现了这次“盗刷”过程:窃贼抽出原手机中的SIM卡插入自己手机内,通过短信验证途径登陆某一政务服务应用软件,从而获得了失主的全名、身份证号码、银行卡号等核心个人信息。继而在掌握上述关键信息及接收到的相关短信验证之后,犯罪分子得以重设服务密码,进而完全掌控了对手机卡的操作权限。随后,他们在支付宝、财付通、苏宁易付宝、京东支付等多个平台上开设新账户,并绑定失主银行卡进行购物消费;同时还在美团平台上发起贷款申请,造成了失主的重大经济损失。
整套作案手法的核心在于,无论是在政务平台登录获取关键信息、银行卡绑定抑或是贷款消费环节,均依赖手机短信验证码轻松过关。
记者从知情者处得知,本案之所以导致如此严重的后果,主要原因之一在于手机失窃后失主未能立即挂失电话卡,给了犯罪分子趁虚而入的机会。
专业人士解析道,在手机被盗至最终挂失期间的近两小时窗口期里,因罪犯已然掌握失主的个人重要信息,因此能够运用手机线上服务,对服务密码进行重置,这就相当于是取得了通信业务办理的主导权,既能实现远程取消挂失状态,还能够利用短信验证登录其它各类网站和应用程序。
手机失窃致“盗刷”揭露多重安全薄弱环节
这位网友的经历揭示了手机信息安全及支付安全上的诸多短板,引来了各方忧虑。
— 电话卡解挂等安全机制亟待改进增强
据当事人透露,事发当天,当其通过电信客服挂失手机卡后不久,竟发现卡片已被犯罪分子解开挂失并仍然可以正常使用。在这场挂失与解挂的拉锯战中,历经数十回合较量,此间该手机卡持续接受到来自消费及贷款产生的验证短信。
多名业界内部人士指出,即使考虑到失主在手机失窃后并未迅速采取挂失电话卡行动,给予犯罪分子可乘之机,然而电信企业在关于服务密码重置及解挂失等业务规定层面是否存在完善空间,特别是在面对用户手机丢失可能性方面的考量,则有待深究。
依照中国电信现行业务规程,已经被挂失的账户可通过拨打电话客服、并通过服务密码验证后予以解挂。利用失主挂失前所形成的“真空时段”,犯罪分子依据失主的姓名、身份证号、短信随机码重置了服务密码,夺得了通信业务办理权限,连续诱使电信企业客服人员对已挂失的电话卡进行解挂操作。
电信专家付亮指出,用户反常的重复解挂行为理应在第一时间引起电信企业系统内的高度关注,包括客服人员在内的体系应当适当地升级安全防线,而非仍旧遵循常规操作程序。
— 核验标准普遍存在缺失,风控行业水准参差不齐
尽管监管层面对支付机构开户的身份安全验证已有明确规定,但在实际执行过程中部分机构存在打折现象。
经过记者查证,众多金融服务平台及支付公司在开设账户或绑定银行卡的过程中往往相对简便,有些机构甚至仅在信用评估阶段增设了来自银行的短信校验或公安网上校验,即顺利完成放贷审批。在本次案例中,犯罪分子正是依靠失主的银行卡号、身份证号、姓名以及银行预留手机号等信息,配合短信验证,轻而易举地在美团平台实现了贷款业务的申领,并快速将所获贷款通过新开立的支付账户消耗殆尽。
行业内专家评论称,为了吸引更多客户,一部分金融平台通常不会在绑卡注册时增添繁琐复杂的校验模式,反而选择简化开户流程。更有甚者,某些小型企业为了节约开支不惜省略必要的步骤,使得校验的有效性和可信度大打折扣。
同时,个别平台及机构的风险管控能力堪忧。从网民“信息安全老骆驼”家庭发生的不幸看,同样是深夜三、四点钟,不同的支付系统表现各异,有的成功识别出了异常交易并加以阻止,有的批准了犯罪分子的贷款请求,有的更是协助完成了几次绑卡消费。
— 关键个人信息保护力度不够
本次事件显示,犯罪分子仅仅通过短信验证的方式就能轻易登录某个政务平台应用,如同信手拈来般取得失主的重要信息。
业内专家提醒,身份证信息及银行卡信息作为个人敏感信息范畴,若遭到泄漏将会带来严重影响。身份验证必须强化判断“确实出自本人意愿”,例如采用人脸识别等多种方式进行严格确认。
另外,一些通信领域的人士指出,部分不良品质的手机应用过度搜集用户个人信息,无形中加剧了个人信息安全危机,一旦这类应用受到攻击入侵,必将酿成重大信息泄露事故。在公安部主办的“净网2019”专项打击行动中,就有高达683款违规非法采集个人信息的App被查处,这其中还包括了一些知名的企业产品。
各机构与平台须强化安全验证方法,手机丢失务必首时挂失SIM卡
随着事件公诸于众,大多数牵扯其中的平台和支付机构均已抹除受害者的贷款记录并给予了相应补偿。据了解,有关支付机构正积极加强针对手机丢失场景下的风险防御策略,力求提升整体风控水平,择机优化升级身份验证手段。
鉴于电信企业现存的问题,工业和信息化部不久前召见了本次涉事的电信企业相关领导,并就此向三大基础电信企业提出了具体要求,对于服务密码重置、解挂等同用户身份紧密相关的敏感环节,在保证便于用户办理各项业务的基础上务必要强化安全防卫工作,加强对客户服务人员的风险防范教育训练,时刻保持警惕,防止可疑业务办理行为的发生。
中国电信方面有人士回应,为有效应对类似风险,将进一步巩固和规范挂失、解挂、呼叫转移等功能的服务密码鉴别方式及其流程,加入更多的科技审核手段,提升员工的风险防范意识,对高频次办理业务的情况实行严密监视并对异常行径设置约束条件及提升操作权限等级。
国家金融与发展实验室特别聘请的研究员董希淼明确表示,“不论是支付业务或其他任何金融业务,都应始终秉持安全优先的原则,其次是便捷性。”他指出,非银行类支付机构及互联