被消費、被貸款,一部手機失竊遭“盜刷”暴露哪些安全漏洞?

新華社

2020-10-23 20:21

字號
新華社北京10月23日消息,近來,一篇網絡文章受廣泛關注:一名網友敍述了家人手機遭盜竊後“被消費”“被貸款”的遭遇。文章引發公眾對手機失竊可能帶來的財產安全問題的擔憂。
目前,大部分涉事支付機構已賠付受害人經濟損失。工業和信息化部也於日前約談涉事電信企業相關負責人,並提出對於服務密碼重置、解掛等涉及用户身份的敏感環節,要在方便用户辦理業務的同時強化安全防護。
“新華視點”記者發現,雖然這是一起偶發事件,但暴露出一系列涉及公民個人信息和財產安全的漏洞。
據瞭解,案件正在進一步調查中。
手機失竊被不法分子進行多筆消費和貸款
據網民“信息安全老駱駝”稱,其家人手機失竊後,不法分子利用電信、金融、支付等機構以及互聯網金融平台的安全漏洞,新建賬户綁定銀行卡,幾個小時內,便在線辦理了貸款,並進行多筆消費。
不法分子是如何利用手機盜取資金的?
“信息安全老駱駝”向記者覆盤了遭遇“盜刷”的全過程:不法分子取出機主手機卡,將之安裝在自己的手機上,通過短信校驗的方式,登錄了某政務平台App,由此獲取了機主的姓名、身份證號、銀行卡號等關鍵個人信息。通過這些關鍵信息及校驗短信,進行服務密碼重置,掌握了對手機卡的主動控制權。此後,在支付寶、財付通、蘇寧易付寶、京東支付等開立了新賬户,綁定機主的銀行卡進行消費,並在美團平台申請貸款,造成機主經濟損失。
整個過程中,登錄政務平台App獲取關鍵信息、綁定銀行卡、貸款消費等操作,都是憑藉手機短信驗證碼順利通關。
記者瞭解到,此案之所以產生如此後果的一個重要原因,在於手機遭竊後機主沒有第一時間掛失電話卡,令不法分子有了可乘之機。
專家解釋,在電話卡未掛失的近2個小時,由於掌握了機主個人關鍵信息,不法分子通過手機在線服務,對服務密碼進行了重置。這相當於掌握了通信業務辦理的主動權,能進行遠程解除掛失,還可以利用短信驗證登錄其他網站和App。
手機失竊被“盜刷”暴露出哪些安全漏洞?
這一網民的遭遇暴露出手機信息安全和支付安全的多個漏洞,引發多方擔憂。
——電話卡解除掛失等安全機制有待升級。
據其本人介紹,案發當日,在通過電信客服掛失後不久,他們發現手機卡居然被不法分子解除掛失,仍能使用。雙方進行了激烈鬥爭:掛失、解掛、再掛失、再解掛……來來回回幾十次。其間,這張手機卡不斷接收消費和貸款的驗證短信。
多位業內人士表示,雖然機主手機被盜後未及時掛失電話卡,讓不法分子鑽了空子,但電信企業的服務密碼重置和解掛失等業務規則是否完善、是否充分考慮了機主手機丟失的可能性,值得探討。
按照中國電信的業務規則,已掛失賬户可以通過撥打客服熱線、服務密碼鑑權後進行解掛。利用機主掛失前的“空檔”,不法分子通過機主姓名、身份證號、短信隨機碼重置了服務密碼,掌握了通信業務辦理權,多次誘導電信企業客服人員對已掛失的電話卡進行解掛。
電信專家付亮認為,用户反覆解除掛失的異常舉動,應及時引起電信企業包括客服人員在內的系統的警覺,適當升級安全門檻,而不是依然機械地進行常規操作。
——校驗手段普遍不足,風控水平參差不齊。
目前,雖然監管部門對於支付機構開户身份的安全驗證有相關規定,但部分機構執行打了折扣。
記者調查發現,不少金融平台和支付機構開立賬户或綁定銀行卡的流程較為簡單,一些機構在授信流程中,只增加了銀行短信校驗或者公安網校驗,就順利放款。在此案中,不法分子通過機主的銀行卡號、身份證號、姓名、銀行預留手機號等信息,加上短信驗證,就在美團平台上辦理了貸款業務,並很快將貸款通過新開立的支付賬户消費掉了。
業內專家表示,為吸引用户,部分金融平台不會在綁卡開户時增加煩瑣的校驗方式,而是簡化開户流程。更有一些小公司,為節省成本而省略步驟,校驗的完成度和可靠性難以保障。
與此同時,一些平台和機構風控水平不過硬。從網民“信息安全老駱駝”家人的遭遇來看,同樣在凌晨三四點,有的支付系統風控成功識別了異常交易並進行阻斷,有的則通過了不法分子的貸款申請,有的支持了不法分子數筆綁卡消費。
——個人敏感信息保護不力。
該案中,不法分子通過短信驗證的方式便登錄了某政務平台App,獲取機主的重要信息如探囊取物一般。
業內專家表示,身份證信息和銀行卡信息屬於個人敏感信息,一旦遭泄露後果嚴重。身份驗證要強化甄別“確為本人意願”,如藉助人臉識別等方式提高驗證門檻。
此外,一些通信行業人士表示,一些無良手機App過度收集個人信息,也為個人信息安全埋下隱患,一旦App被侵入就會造成嚴重信息泄露。在公安部組織開展的“淨網2019”專項行動中,被查處的違法違規採集個人信息的App就多達683款,其中不乏知名企業。
機構與平台應提高安全驗證手段,手機丟失第一時間掛失SIM卡
事件曝光後,大部分涉事的平台和支付機構消除了受害人的貸款記錄,並賠付了損失。記者瞭解到,相關支付機構已着手加強手機丟失防控策略,提升風控水平,適時升級身份驗證手段。
針對電信企業存在的漏洞,工業和信息化部日前約談了此次涉事電信企業相關負責人,並對三家基礎電信企業提出要求,對於服務密碼重置、解掛等涉及用户身份的敏感環節,在方便用户辦理業務的同時要強化安全防護,加強客服人員風險防範意識培訓,警惕業務異常辦理行為。
中國電信相關人員表示,為進一步防範此類風險,將強化和規範掛失、解掛、呼轉等業務的鑑權方式和流程,增加技術核驗手段,提高服務人員風險防範意識,對頻繁辦理業務的行為加強監控,對異常行為進行限制和升級操作授權。
“無論是支付業務還是其他金融業務,都應該把安全性放在第一位,其次才是便捷性。”國家金融與發展實驗室特聘研究員董希淼表示,非銀支付機構及互聯網金融公司擔負着數以億計用户的財產安全,有責任不斷加強風險防控。針對手機失竊這種情況,金融機構應該考慮得更全面些,不光要“實名認證”更要“實人認證”。
此外,付亮説,相關單位和企業應及時對用户數據進行脱敏處理,按照最小必要原則收集、存儲、使用,並注意分級分類保存。
普通民眾如果手機被盜或遺失,應如何保護個人信息和財產安全?專家提示:
——第一時間致電手機運營商掛失SIM卡,以免不法分子利用“時間差”竊取個人信息。
——儘快致電銀行凍結手機網銀,只要辦過銀行卡的銀行都要覆蓋到,不要給不法分子留下可乘之機。
——對支付寶、微信等具有金融功能的應用及時進行凍結,且密切關注賬户服務和資金變動。
——通知親朋好友手機遺失,讓他們不要輕易相信陌生人打來的電話或發來的信息。
——如果發現異常的資金使用情況,及時撥打110報警電話報案。
(原題為《“被消費”“被貸款”……一部手機失竊遭“盜刷”暴露哪些安全漏洞?》)
(本文來自澎湃新聞,更多原創資訊請下載“澎湃新聞”APP)
責任編輯:陳建慧
澎湃新聞報料:4009-20-4009   澎湃新聞,未經授權不得轉載
關鍵詞 >> 手機失竊,盜刷

相關推薦

評論(119)

熱新聞

澎湃新聞APP下載

客户端下載

熱話題

關於澎湃 在澎湃工作 聯繫我們 廣告及合作 版權聲明 隱私政策 友情鏈接 澎湃新聞舉報受理和處置辦法 嚴正聲明