手機(jī)失竊后有多可怕

近日，一篇以前的舊文在朋友圈熱傳，讓不少網(wǎng)友大驚失色：過去丟手機(jī)，可能損失的只是一部手機(jī)的錢；如今丟了手機(jī)，可能搭上“全部身家”，甚至因此背上貸款。

手機(jī)成了“萬能鑰匙”

引發(fā)熱議的這篇舊文，是一位自稱信息安全專家“老駱駝”的人，根據(jù)自己的經(jīng)歷寫成的。手機(jī)被盜后，黑色產(chǎn)業(yè)鏈利用個(gè)人信息來盜取手機(jī)銀行、各App賬戶資金，用被盜者身份在網(wǎng)貸平臺貸款。

這一案例的特殊性在于，“老駱駝”本身對信息安全有所研究，因此不斷和盜竊團(tuán)伙斗智斗勇。但從中，也暴露了個(gè)別App、銀行和互聯(lián)網(wǎng)平臺的安全漏洞。像“老駱駝”這樣的專業(yè)人士在家人丟失手機(jī)后都疲于應(yīng)對，我們這些普通人豈不是任網(wǎng)絡(luò)黑產(chǎn)“宰割”的小綿羊？

據(jù)相關(guān)機(jī)構(gòu)最新數(shù)據(jù)顯示，截至2020 年6 月份，國內(nèi)網(wǎng)民規(guī)模9.4 億，其中手機(jī)網(wǎng)民數(shù)量已經(jīng)突破9 億。正因如此，手機(jī)丟失引發(fā)的安全隱患才會屢次成為輿論熱點(diǎn)。

據(jù)悉，“老駱駝”手機(jī)丟失后，通過手機(jī)中的App，黑產(chǎn)組織獲取了大量個(gè)人信息，包括身份證號碼、銀行卡號等。更尷尬的是，在“老駱駝”機(jī)主本人口頭掛失手機(jī)卡后，網(wǎng)絡(luò)黑產(chǎn)組織竟騙取了運(yùn)營商的信任，順利解除了機(jī)主本人的臨時(shí)掛失。于是，“掛失—解掛—掛失—解掛……”的循環(huán)進(jìn)行了“來來回回幾十次”。

解除掛失后，“老駱駝”的手機(jī)號可以正常使用。于是，黑產(chǎn)組織使用“老駱駝”的身份證信息在多個(gè)平臺開戶，并且在各個(gè)平臺申請了數(shù)目不等的貸款。

從網(wǎng)文揭露的情況看，手機(jī)盜竊者早就不再滿足于把偷來的手機(jī)刷機(jī)，然后賣給二手市場，而是通過手機(jī)作出一連串的資金盜竊行為，而且在和被盜者拼手速、拼耐力。

雖然SIM 卡、銀行卡、支付平臺等可以申請凍結(jié)，但由于一些網(wǎng)貸平臺簡單依靠個(gè)人信息即可貸款，甚至凍結(jié)也可以靠個(gè)人信息解凍，所以，掌握了個(gè)人信息的盜竊者猶如掌握了“萬能鑰匙”，令人防不勝防。

這些年，很多銀行和互聯(lián)網(wǎng)平臺，也都在尋求便捷性和安全性之間的平衡。但便捷是加分項(xiàng)，安全是必答題；安全是“1”，便捷是后面的“0”，沒有安全的便捷，只會讓一些違法分子鉆了漏洞。

面對愈加熟練和專業(yè)的網(wǎng)絡(luò)黑產(chǎn)組織，不能指望每個(gè)人都成“老駱駝”，在消費(fèi)者提高安全意識之外，銀行和互聯(lián)網(wǎng)平臺顯然要承擔(dān)更多的責(zé)任。

系統(tǒng)認(rèn)人還是認(rèn)信息

從“老駱駝”與網(wǎng)絡(luò)黑產(chǎn)博弈的過程來看，相關(guān)銀行和一些互聯(lián)網(wǎng)平臺存在一些安全漏洞，其中一個(gè)核心問題是，當(dāng)個(gè)人信息暴露后，該如何辨別操作者是否是本人，也就是說，系統(tǒng)認(rèn)人還是認(rèn)信息？

對此，相關(guān)運(yùn)營商客服處接受媒體采訪時(shí)表示，如需解除掛失，可以聯(lián)系客服提供登錄電信網(wǎng)上營業(yè)廳的密碼，或者機(jī)主姓名和身份證號碼+上月?lián)艽虻娜齻€(gè)通話號碼進(jìn)行操作。

然而，“老駱駝”丟失的電信號碼被掛失后，確實(shí)被解除了掛失，合理的解釋就是黑產(chǎn)組織利用獲取的個(gè)人信息成功進(jìn)行了解除掛失。顯然，電信運(yùn)營商的掛失和解掛流程是有一些漏洞的。要想給消費(fèi)者提供一個(gè)安全的手機(jī)號碼掛失功能，運(yùn)營商需要梳理掛失的每一個(gè)環(huán)節(jié)，并且要增加更全面的身份驗(yàn)證手段。

移動支付平臺同樣也有安全漏洞。比如，這次“老駱駝”手機(jī)丟失后，網(wǎng)絡(luò)黑產(chǎn)重新注冊了某支付平臺賬號，并關(guān)聯(lián)了手機(jī)卡。對此，官方的回應(yīng)稱，黑產(chǎn)分子并沒有突破人臉識別，能注冊新號是通過其他渠道已掌握的身份信息和短信驗(yàn)證碼，在常用設(shè)備上實(shí)現(xiàn)的。

從表面來看，官方的回應(yīng)沒有不妥?？墒?，從技術(shù)角度來說，在常用設(shè)備上使用支付工具不需要人臉識別，這同樣是一個(gè)安全漏洞，意味著“個(gè)人信息”可以代替“本人”進(jìn)行操作；而系統(tǒng)則無法判斷注冊賬號的人是黑產(chǎn)分子還是本人。

設(shè)置“一攬子的解決方案”

事實(shí)上，無論是銀行還是互聯(lián)網(wǎng)平臺，很難達(dá)到“盡善盡美”，對此公眾也能理解。網(wǎng)絡(luò)黑客、黑產(chǎn)的技術(shù)也會不斷迭代、不斷去挖掘新的漏洞；但“魔高一尺”，就要“道高一丈”，相關(guān)方面有必要根據(jù)新的犯罪特點(diǎn)去不斷修補(bǔ)Bug（缺陷漏洞）——守護(hù)好用戶的“錢袋子”是任何時(shí)候都不能推卸的責(zé)任。

另外，對于這類問題，相關(guān)平臺不妨設(shè)置“一攬子的解決方案”，讓用戶以簡單的辦法來給保險(xiǎn)箱上一把鎖，而不是到處去上鎖。

例如，當(dāng)用戶的SIM 卡掛失后，說明相關(guān)信息已經(jīng)暴露，此時(shí)與手機(jī)號碼相關(guān)的任何業(yè)務(wù)如支付平臺、手機(jī)銀行、網(wǎng)貸平臺等，都不妨設(shè)置異常提示，此時(shí)便不宜采取身份證號、手機(jī)驗(yàn)證碼等單一信息驗(yàn)證的方式，而是要用能夠證明是本人的方式或是用線下的方式來驗(yàn)證。