手機失竊遭“盜刷”暴露哪些安全漏洞？

　　近來，一篇網絡文章受到廣泛關注：一名網友敘述了家人手機遭盜竊後“被消費”“被貸款”的遭遇。雖然這是一起偶發事件，但暴露出一系列涉及公民個人信息和財産安全的漏洞。

　　目前，大部分涉事支付機構已賠付受害人經濟損失。工業和信息化部也于日前約談涉事電信企業相關負責人，並提出對於服務密碼重置、解挂等涉及用戶身份的敏感環節，要在方便用戶辦理業務的同時強化安全防護。案件正在進一步調查中。

　　回放

　　不法分子利用安全漏洞盜刷

　　據網民“信息安全老駱駝”稱，其家人手機失竊後，不法分子利用電信、金融、支付等機構以及互聯網金融平臺的安全漏洞，新建賬戶綁定銀行卡，幾個小時內，便在線辦理了貸款，並進行多筆消費。

　　“信息安全老駱駝”復盤了遭遇“盜刷”的全過程：不法分子取出機主手機卡，將之安裝在自己的手機上，通過短信校驗的方式，登錄了某政務平臺APP，由此獲取了機主的姓名、身份證號、銀行卡號等關鍵個人信息。通過這些關鍵信息及校驗短信，進行服務密碼重置，掌握了對手機卡的主動控制權。此後，在支付寶、財付通、蘇寧易付寶、京東支付等開立了新賬戶，綁定機主的銀行卡進行消費，並在美團平臺申請貸款，造成機主經濟損失。

　　整個過程中，登錄政務平臺APP獲取關鍵信息、綁定銀行卡、貸款消費等操作，都是憑藉手機短信驗證碼順利通關。

　　記者了解到，此案之所以産生如此後果的一個重要原因，在於手機遭竊後機主沒有第一時間挂失電話卡，令不法分子有了可乘之機。

　　專家解釋，在電話卡未挂失的近兩個小時內，由於掌握了機主個人關鍵信息，不法分子通過手機在線服務，對服務密碼進行了重置。這相當於掌握了通信業務辦理的主動權，能進行遠程解除挂失，還可以利用短信驗證登錄其他網站和APP。

　　漏洞

　　金融平臺安全驗證普遍不足

　　這一網民的遭遇暴露出手機信息安全和支付安全的多個漏洞，引發多方擔憂。

　　——電話卡解除挂失等安全機制有待升級。

　　據其本人介紹，案發當日，在通過電信客服挂失後不久，他們發現手機卡居然被不法分子解除挂失，仍能使用。雙方進行了激烈鬥爭：挂失、解挂、再挂失、再解挂……來來回回幾十次。其間，這張手機卡不斷接收消費和貸款的驗證短信。

　　多位業內人士表示，雖然機主手機被盜後未及時挂失電話卡，讓不法分子鑽了空子，但電信企業的服務密碼重置和解挂失等業務規則是否完善、是否充分考慮了機主手機丟失的可能性，值得探討。

　　電信專家付亮認為，用戶反復解除挂失的異常舉動，應及時引起電信企業包括客服人員在內的系統的警覺，適當升級安全門檻，而不是依然機械地進行常規操作。

　　——校驗手段普遍不足，風控水平參差不齊。

　　目前，雖然監管部門對於支付機構開戶身份的安全驗證有相關規定，但部分機構執行打了折扣。

　　記者調查發現，不少金融平臺和支付機構開立賬戶或綁定銀行卡的流程較為簡單，一些機構在授信流程中，只增加了銀行短信校驗或者公安網校驗，就順利放款。在此案中，不法分子通過機主的銀行卡號、身份證號、姓名、銀行預留手機號等信息，加上短信驗證，就在美團平臺上辦理了貸款業務，並很快將貸款通過新開立的支付賬戶消費掉了。

　　與此同時，一些平臺和機構風控水平不過硬。從網民“信息安全老駱駝”家人的遭遇來看，同樣在淩晨三四時，有的支付系統風控成功識別了異常交易並進行阻斷，有的則通過了不法分子的貸款申請，有的支持了不法分子數筆綁卡消費。

　　——個人敏感信息保護不力。

　　該案中，不法分子通過短信驗證的方式便登錄了某政務平臺APP，獲取機主的重要信息如探囊取物一般。

　　業內專家表示，身份證信息和銀行卡信息屬於個人敏感信息，一旦遭洩露後果嚴重。身份驗證要強化甄別“確為本人意願”，如借助人臉識別等方式提高驗證門檻。

　　此外，一些通信行業人士表示，一些無良手機APP過度收集個人信息，也為個人信息安全埋下隱患，一旦APP被侵入就會造成嚴重信息洩露。在公安部組織開展的“凈網2019”專項行動中，被查處的違法違規採集個人信息的APP就多達683款，其中不乏知名企業。

　　應對

　　丟手機後第一時間挂失SIM卡

　　事件曝光後，大部分涉事的平臺和支付機構消除了受害人的貸款記錄，並賠付了損失。針對電信企業存在的漏洞，工業和信息化部日前約談了此次涉事電信企業相關負責人，並對三家基礎電信企業提出要求，對於服務密碼重置、解挂等涉及用戶身份的敏感環節，在方便用戶辦理業務的同時要強化安全防護，加強客服人員風險防範意識培訓，警惕業務異常辦理行為。

　　中國電信相關人員表示，為進一步防範此類風險，將強化和規範挂失、解挂、呼轉等業務的鑒權方式和流程，增加技術核驗手段，提高服務人員風險防範意識，對頻繁辦理業務的行為加強監控，對異常行為進行限制和升級操作授權。

　　“無論是支付業務還是其他金融業務，都應該把安全性放在第一位，其次才是便捷性。”國家金融與發展實驗室特聘研究員董希淼表示，非銀支付機構及互聯網金融公司擔負著數以億計用戶的財産安全，有責任不斷加強風險防控。針對手機失竊這種情況，金融機構應該考慮得更全面些，不光要“實名認證”更要“實人認證”。

　　此外，付亮説，相關單位和企業應及時對用戶數據進行脫敏處理，按照最小必要原則收集、存儲、使用，並注意分級分類保存。

　　普通民眾如果手機被盜或遺失，應如何保護個人信息和財産安全？專家提示：

　　——第一時間致電手機運營商挂失SIM卡，以免不法分子利用“時間差”竊取個人信息。

　　——儘快致電銀行凍結手機網銀，只要辦過銀行卡的銀行都要覆蓋到，不要給不法分子留下可乘之機。

　　——對支付寶、微信等具有金融功能的應用及時進行凍結，且密切關注賬戶服務和資金變動。

　　——通知親朋好友手機遺失，讓他們不要輕易相信陌生人打來的電話或發來的信息。

　　——如果發現異常的資金使用情況，及時撥打110報警電話報案。

　　（新華社）

　　延伸

　　工信部喊你設SIM卡密碼

　　針對近日網民曝光的“手機失竊遭盜刷”事件，工業和信息化部及時組織核查處理了此事，並提醒廣大用戶及時設置SIM卡密碼，在丟失手機後應第一時間挂失，強化安全風險意識。

　　什麼是SIM卡密碼？SIM卡密碼就是PIN碼，是運營商提供的針對SIM卡的安全設置，也是SIM卡的個人識別密碼。

　　一般而言，第一次使用PIN碼時，需要輸入PIN碼的原始密碼。當設置了PIN碼後，手機每次開機將會自動提示需輸入PIN碼進行解鎖。

　　為什麼要設置PIN碼？如果設置了PIN碼，手機啟動時只有輸入正確的PIN碼，手機卡才能正常使用，否則不能撥打、接聽電話，也不能收發短信。若輸入PIN碼錯誤三次，手機便會自動鎖卡。當手機丟失或被盜後，沒有及時挂失SIM卡時，不法分子將不能通過“手機號+驗證碼”弱驗證方式，獲得手機裏的個人信息和個人財産。

　　怎麼設置PIN碼？針對安卓系統，用戶可點擊設置，選擇安全選項——點擊更多安全設置——選擇加密和憑據——點擊鎖定SIM卡按鈕——第一次設置密碼時需先輸入原始默認的PIN碼（一般為“1234”或“0000”）——輸入個人四位密碼後即設置成功。

　　針對IOS系統，用戶可點擊設置——蜂窩網絡——選擇設置SIM卡PIN碼——滑動按鈕進行設置密碼——當第一次設置密碼時需先輸入原始默認的PIN碼（一般為“1234”或“0000”）——輸入個人四位密碼後即設置成功。

　　另外需要提醒的是，若個人忘記SIM卡密碼或者不小心將SIM卡鎖住，可致電運營商通過信息核對等方式獲取一個PUK碼。正確輸入PUK碼後，可重新設置PIN碼。若PUK碼輸錯10次，SIM卡將啟動自毀程序。 （據央視）

　　評論

　　網絡支付安全為先

　　以前手機丟了，損失的只是一部手機。如今手機丟了，卻可能賠上全部身家，甚至背上貸款。前不久，一位網友家人手機被盜後的一連串遭遇引起熱議。不法分子利用機主手機卡，進行一系列操作就能綁定機主銀行卡辦理貸款，進行充值和消費。

　　這一事件再度將互聯網金融安全問題拉回公眾面前。數據顯示，今年二季度，非銀行支付機構處理網絡支付業務2035.08億筆，金額高達70.22萬億元。在網絡支付、借貸、消費駛入“快車道”的今天，非銀行支付機構和互聯網金融平臺怎樣繫緊風控“安全帶”，保障龐大的網絡支付安全，事關金融安全和行業未來發展。

　　當下，“弱驗證”成為互聯網金融安全的一大隱患。為了提高便捷性，快速綁卡、一鍵註冊等操作應運而生，認證方式上人臉識別等驗證手段優先級下降。如果僅憑身份證、短信驗證碼、銀行卡號等信息就支持用戶進行各類操作，很可能導致在識別認證的過程中，“個人信息”代替“真人”做決定，嚴重威脅賬戶安全。對互聯網金融而言，安全性是底線，便捷性是錦上添花。沒有安全的便捷，只會給不法分子留下漏洞與可乘之機。

　　面對不法分子技術不斷升級、手段花樣翻新，頻頻衝擊互聯網安全防線，平臺築牢風控“盾牌”絕不應該成為一句空話。通過優化算法、主動排查等積極有效的手段，永遠跑在前面堵住漏洞，保護好用戶的“錢袋子”，這是平臺應盡的義務。

　　（新華社）