被消费被贷款 手机失窃遭盗刷暴露哪些安全漏洞?
近来,一篇网络文章受到广泛关注:一名网友叙述了家人手机遭盗窃后“被消费”“被贷款”的遭遇。文章引发公众对手机失窃可能带来的财产安全问题的担忧。
目前,大部分涉事支付机构已赔付受害人经济损失。“新华视点”记者发现,虽然这是一起偶发事件,但暴露出一系列涉及公民个人信息和财产安全的漏洞。
手机失窃被不法分子进行多笔消费和贷款
据网民“信息安全老骆驼”称,其家人手机失窃后,不法分子利用电信、金融、支付等机构以及互联网金融平台的安全漏洞,新建账户绑定银行卡
,几个小时内,便在线办理了贷款,并进行多笔消费。“信息安全老骆驼”向记者复盘了遭遇“盗刷”的全过程:不法分子取出机主手机卡,将之安装在自己的手机上,通过短信校验的方式,登录了某政务平台App,由此获取了机主的姓名、身份证号、银行卡号等关键个人信息。通过这些关键信息及校验短信,进行服务密码重置,掌握了对手机卡的主动控制权。此后,在支付宝、财付通、苏宁易付宝、京东支付等开立了新账户,绑定机主的银行卡进行消费,并在美团平台申请贷款,造成机主经济损失。
整个过程中,登录政务平台App获取关键信息、绑定银行卡、贷款消费等操作,都是凭借手机短信验证码顺利通关。
记者了解到,此案之所以产生如此后果的一个重要原因,在于手机遭窃后机主没有第一时间挂失电话卡,令不法分子有了可乘之机。
专家解释,在电话卡未挂失的近2个小时,由于掌握了机主个人关键信息,不法分子通过手机在线服务,对服务密码进行了重置。这相当于掌握了通信业务办理的主动权,能进行远程解除挂失,还可以利用短信验证登录其他网站和App。
手机失窃被“盗刷”暴露出哪些安全漏洞?
这一网民的遭遇暴露出手机信息安全和支付安全的多个漏洞,引发多方担忧。
——电话卡解除挂失等安全机制有待升级。据其本人介绍,案发当日,在通过电信客服挂失后不久,他们发现手机卡居然被不法分子解除挂失,仍能使用。双方激烈斗争:挂失、解挂、再挂失、再解挂……来来回回几十次。其间手机卡不断接收消费和贷款的验证短信。
多位业内人士表示,虽然机主手机被盗后未及时挂失电话卡,让不法分子钻了空子,但电信企业的服务密码重置和解挂失等业务规则是否完善、是否充分考虑了机主手机丢失的可能性,值得探讨。
按照中国电信的业务规则,已挂失账户可以通过拨打客服热线、服务密码鉴权后进行解挂。利用机主挂失前的“空当”,不法分子通过机主姓名、身份证号、短信随机码重置了服务密码,掌握了通信业务办理权,多次诱导电信企业客服人员对已挂失的电话卡进行解挂。
电信专家付亮认为,用户反复解除挂失的异常举动,应及时引起电信企业包括客服人员在内的系统的警觉,适当升级安全门槛,而不是依然机械地进行常规操作。
——校验手段普遍不足,风控水平参差不齐。目前,虽然监管部门对于支付机构开户身份的安全验证有相关规定,但执行打了折扣。
记者调查发现,不少金融平台和支付机构开立账户或绑定银行卡的流程较为简单,一些机构在授信流程中,只增加了银行短信校验或者公安网校验,就顺利放款。在此案中,不法分子通过机主的银行卡号、身份证号、姓名、银行预留手机号等信息,加上短信验证,就在美团平台上办理了贷款业务,并很快将贷款通过新开立的支付账户消费掉了。
专家表示,为吸引用户,部分金融平台不会在绑卡开户时增加繁琐的校验方式,而是简化开户流程。更有一些小公司,为节省成本而省略步骤,校验的完成度和可靠性难以保障。
与此同时,一些平台和机构风控水平不过硬。从网民“信息安全老骆驼”家人的遭遇来看,同样在凌晨三四点,有的支付系统风控成功识别了异常交易并进行阻断,有的则通过了不法分子的贷款申请,有的支持了不法分子数笔绑卡消费。
——个人敏感信息保护不力。该案中,不法分子通过短信验证方式登录了某政务平台App,获取机主的重要信息如探囊取物一般。
手机被盗或遗失后应第一时间挂失SIM卡
事件曝光后,大部分涉事的平台和支付机构消除了受害人的贷款记录,并赔付了损失。
普通民众如果手机被盗或遗失,应如何保护个人信息和财产安全?专家提示:
第一时间致电手机运营商挂失SIM卡,以免不法分子利用“时间差”窃取个人信息。尽快致电银行冻结手机网银,只要办过银行卡的银行都要覆盖到,不要给不法分子留下可乘之机。对支付宝、微信等具有金融功能的应用及时进行冻结,且密切关注账户服务和资金变动。通知亲朋好友手机遗失,让他们不要轻易相信陌生人打来的电话或发来的信息。如果发现异常的资金使用情况,及时拨打110报警电话报案。
原标题:“被消费”“被贷款”…… 手机失窃遭“盗刷”暴露哪些安全漏洞?
- 上一篇
弹窗成毒窗 6千元100万次商家可精准投放强迫观看
当前互联网治理力度持续保持高位。19日,据国家网信办信息,今年三季度,全国网信系统依法查处网上各类违法违规行为,累计约谈1211家网站平台,警告954家,暂停更新489家。但记者调查发现,部分网络弹窗仍在传播色情、赌博、暴力甚至诱导自杀等违法信息,成为增大安全风险、严重影响青少年身心健康的网络“毒疮”,而当前网上仍存在运营发布“毒”弹窗的产业链。部分网络弹窗成信息“毒”窗“未成年的妹妹用电脑时,页面上突然就弹出色情照片了。
- 下一篇
弹窗为何成“毒”窗?——部分网络弹窗违法信息治理难现象调查
新华社南宁10月23日电 题:弹窗为何成“毒”窗?——部分网络弹窗违法信息治理难现象调查新华社记者覃星星、黄庆刚当前互联网治理力度持续保持高位。19日,据国家网信办信息,今年三季度,全国网信系统依法查处网上各类违法违规行为,累计约谈1211家网站平台,警告954家,暂停更新489家。但新华社记者调查发现,部分网络弹窗仍在传播色情、赌博、暴力甚至诱导自杀等违法信息,成为增大安全风险、严重影响青少年身心健康的网络“毒疮”,而当前网上仍存在