近日,一篇一个多月前的旧文在朋友圈热传,让不少网友大惊失色:过去丢手机,可能损失的只是一部手机的钱;如今丢了手机,可能搭上“全部身家”甚至因此背上贷款。
手机成了打开个人保险箱的“万能钥匙”
引发热议的这篇旧文,是一位自称信息安全专家“老骆驼”的人,根据自己的经历写成的。标题有些拗口——《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》,文章也有些专业门槛,但大致经过不难理解:手机被盗后,黑色产业链利用个人信息来盗取手机银行、各APP账户资金,用被盗者身份在网贷平台贷款。可以说,偷手机已经不是目的,通过手机来薅钱才是目标所在。
这一案例的特殊性在于,“老骆驼”本身对信息安全有所研究,因此不断和盗窃团伙斗智斗勇。但从中,也暴露了个别APP、银行和互联网平台的安全漏洞。虽然在舆论关注下,相关银行和平台做了紧急回应,也给“老骆驼”进行了赔付。但这却无法抚平公众的担忧:像“老骆驼”这样的专业人士在家人丢失手机后都疲于应对,我们这些普通人岂不是任网络黑产“宰割”的小绵羊?
CNNIC最新数据显示,截至今年6月份,国内网民规模9.4亿,其中手机网民数量已经突破9亿,占网民总数量的99.2%。正因如此,手机丢失引发的安全隐患才会屡次成为舆论热点,因为“老骆驼”的切身经历可能会发生在很多人身上。不同的是,很多人并不像“老骆驼”那么专业和幸运。
据悉,“老骆驼”手机丢失后,通过手机中的App,黑产组织获取了大量个人信息,包括身份证号码、银行卡号等。更尴尬的是,在“老骆驼”机主本人口头挂失手机卡后,网络黑产组织竟骗取了运营商的信任,顺利解除了机主本人的临时挂失。于是,“挂失-解挂-挂失-解挂……”的循坏进行了“来来回回几十次”。
解除挂失后,“老骆驼”的手机号可以正常使用。于是,黑产组织使用“老骆驼”的身份证信息在多个平台开户,并且在各个平台申请了数目不等的贷款。
在手机高度渗透生活的当下,很多消费者习惯使用手机支付,手机使用不当也会引发各种安全风险。从网文揭露的情况看,手机盗窃者早就不再满足于把偷来的手机刷机然后卖给二手市场,而是通过手机做出一连串的资金盗窃行为,而且在和被盗者拼手速、拼耐力。
虽然SIM卡、银行卡、支付平台等可以申请冻结,但由于一些网贷平台简单依靠个人信息即可贷款,甚至冻结也可以靠个人信息解冻,所以掌握了个人信息的盗窃者犹如掌握了“万能钥匙”,令人防不胜防。
这些年,很多银行和互联网平台,也都在寻求便捷性和安全性之间的平衡。但便捷是加分项、安全是必答题;安全是“1”,便捷是后面的“0”,没有安全的便捷,只会让一些违法分子钻了漏洞。从网文来看,不少银行和互联网平台在保障资金安全方面的确有所作为,但还是存在个别漏洞,给了犯罪分子可乘之机。
面对愈加熟练和专业的网络黑产组织,不能指望每个人都成“老骆驼”,在消费者提高安全意识之外,银行和互联网平台显然要承担更多的责任。
核心问题是系统认人还是认信息
从“老骆驼”与网络黑产博弈的过程来看,相关银行和一些互联网平台存在一些安全漏洞,其中一个核心问题是,当个人信息暴露后,该如何辨别操作者是否是本人,也就是说系统认人还是认信息?
▲资料图片,图文无关。图/新京报网
在“老骆驼”手机被盗刷事件中,把丢失的手机号挂失后,竟被黑产组织解除挂失了,这说明运营商的挂失流程有漏洞可钻。对此,相关运营商客服处接受媒体采访时表示:如需解除挂失,可以联系客服提供登录电信网上营业厅的密码或者机主姓名和身份证号码+上月拨打的三个通话号码进行操作。
然而,“老骆驼”丢失的电信号码被挂失后,确实被解除了挂失,合理的解释就是黑产组织利用获取的个人信息成功进行了解除挂失。显然,电信运营商的挂失和解挂流程是有一些漏洞的。要想给消费者提供一个安全的手机号码挂失功能,运营商需要梳理挂失的每一个环节,并且要增加更全面的身份验证手段。
移动支付平台同样也有安全漏洞。比如,这次“老骆驼”手机丢失后,网络黑产重新注册了某支付平台账号,并关联了手机卡。对此,官方的回应称:黑产分子并没有突破人脸识别,能注册新号是通过其他渠道已掌握的身份信息和短信验证码,在常用设备上实现的。
从表面来看,官方的回应没有不妥。可是,从技术角度来说,在常用设备上使用支付工具不需要人脸识别,这同样是一个安全漏洞。意味着“个人信息”可以代替“本人”进行操作;而系统则无法判断注册账号的人是黑产分子还是本人。
事实上,无论是银行还是互联网平台,很难达到“尽善尽美”,对此公众也能理解。网络黑客、黑产的技术也会不断迭代、不断去挖掘新的漏洞;但“魔高一尺”,就要“道高一丈”,相关方面有必要根据新的犯罪特点去不断修补Bug——守护好用户的“钱袋子”是任何时候都不能推卸的责任。
另外,对于这类问题,相关平台不妨设置“一揽子的解决方案”,让用户以简单的办法来给保险箱上一把锁,而不是到处去上锁。例如,当用户的SIM卡挂失后,说明相关信息已经暴露,此时与手机号码相关的任何业务如支付平台、手机银行、网贷平台等等,都不妨设置异常提示,此时便不宜采取身份证号、手机验证码等单一信息验证的方式,而是要用能够证明是本人的方式或是用线下的方式来验证。
一名“信息安全专家”,手机丢失后被冒名网贷,银行卡也被盗刷,这个教训敲响了警钟:要想杜绝网络黑产,用户的安全意识是一方面,打击违法犯罪行为是另一方面,相关平台进一步织密信息保护之网、堵住风控漏洞则是最关键的。