日前,一篇描述因手机失窃信息被盗、带来一系列经济损失的文章在网上广泛传播。作者绑定了各种银行卡和个人信息用来日常移动支付的手机失窃,尽管他打电话挂失并锁定了银行卡,但偷手机犯罪团伙手法相当专业,解锁、重新绑定、转账,在很短时间内破解了手机原主设置的各种安全屏障,让人看了不寒而栗。
随着移动互联网的深入发展和应用,网络购物、移动支付日益普及,消费者对手机的依赖程度不断提高。中国互联网络信息中心最新发布的数据显示,截至2020年6月份,我国网络支付用户规模达8.05亿,较3月份增长了4.8%,占网民整体的85.7%,移动支付市场规模连续3年居全球第一。
当前,手机已成为移动互联网终端的主角,移动支付广泛应用带来的个人信息和财产安全问题引起各方高度重视。用户绑定银行卡和身份证完成认证后,可以线上缴费、订餐、订酒店等,这在带来便捷的同时,一旦手机失窃,也可能给用户带来严重经济损失。
记者调查发现,手机失窃后,运营商、银行、移动支付、电商平台、网贷平台等都存在安全漏洞,从而让犯罪团伙可以不断反挂失、解锁,并绑定和转账。那么,为了确保迅速升级的移动应用安全,运营商的业务流程是否应该再优化,截至记者发稿时,三大运营商对这一问题暂未明确回应。
北大科技园创新研究院产业研究分析师李朕告诉经济日报记者,不法分子通常将目标锁定在高频使用移动互联网的年轻人身上,同时选择在运营商、银行等下班时作案。手机被窃取后,迅速转移至犯罪团伙窝点,并进行流水作业,包括信息窃取、信息利用、网贷办理、资金提现等一系列操作,最终利用受害者信息实施资金套现和转移,侵害被害人财产。
360安全研究员俞奎对记者表示,在上述案例中,手机失窃导致的安全问题,存在漏洞的实体均没有考虑手机号验证的可信问题,即平台验证的是设备,设备在谁手中,谁就是设备的主人。
李朕介绍,当前用户在进行各类APP的注册、使用以及快递信息在线填报、家庭充值缴费等活动时,均会泄露个人信息,包括身份证号码、银行卡号码以及家庭住址等。用户发觉信息被盗用时,首先会想到让运营商进行号码冻结,但随着犯罪分子技术手段的不断进步,信息差始终存在,使得运营商对此毫无办法,不能及时辨别身份真假,贻误追回损失的时机。
“近来,许多平台发布的APP都加入了金融功能,推动用户使用个人信息简化办理信贷业务,其所需用户信息较少,安全性较低,给犯罪分子提供了操作空间。”李朕说。
从具体操作情况看,运营商和应用平台应提升安全验证手段,帮助用户做好信息安全管理。
“目前,行业内的做法均为双因子验证,即密码、验证码+问题的方式。”俞奎说。
那么,手机用户该如何防范?李朕提示,用户要提升个人信息管理和保护意识,对于各类平台提供的金融服务,在无需求的情况下应避免激活相关业务。不要在手机里保留个人身份信息,如身份证、驾照、护照、社保卡、银行卡等照片。手机丢失后,要第一时间向公安机关报案,并通过公安机关联系运营商进行号码锁定,防止不法分子对手机进一步操作。同时,运营商也要多加关注这类犯罪行为特征,摸清产业链运作方式,有的放矢对其进行防范和打击,与监管机构、公安机关等一起保障用户权益。
邮件:xiongyong@cybersecbase.com