近來，一篇網(wǎng)絡(luò)文章受廣泛關(guān)注：一名網(wǎng)友敘述了家人手機(jī)遭盜竊后“被消費(fèi)”“被貸款”的遭遇。文章引發(fā)公眾對手機(jī)失竊可能帶來的財(cái)產(chǎn)安全問題的擔(dān)憂。

目前，大部分涉事支付機(jī)構(gòu)已賠付受害人經(jīng)濟(jì)損失。工業(yè)和信息化部也于日前約談涉事電信企業(yè)相關(guān)負(fù)責(zé)人，并提出對于服務(wù)密碼重置、解掛等涉及用戶身份的敏感環(huán)節(jié)，要在方便用戶辦理業(yè)務(wù)的同時強(qiáng)化安全防護(hù)。

記者發(fā)現(xiàn)，雖然這是一起偶發(fā)事件，但暴露出一系列涉及公民個人信息和財(cái)產(chǎn)安全的漏洞。據(jù)了解，案件正在進(jìn)一步調(diào)查中。

手機(jī)失竊被不法分子進(jìn)行多筆消費(fèi)和貸款

據(jù)網(wǎng)民“信息安全老駱駝”稱，其家人手機(jī)失竊后，不法分子利用電信、金融、支付等機(jī)構(gòu)以及互聯(lián)網(wǎng)金融平臺的安全漏洞，新建賬戶綁定銀行卡，幾個小時內(nèi)，便在線辦理了貸款，并進(jìn)行多筆消費(fèi)。

不法分子是如何利用手機(jī)盜取資金的？

“信息安全老駱駝”向記者復(fù)盤了遭遇“盜刷”的全過程：不法分子取出機(jī)主手機(jī)卡，將之安裝在自己的手機(jī)上，通過短信校驗(yàn)的方式，登錄了某政務(wù)平臺App，由此獲取了機(jī)主的姓名、身份證號、銀行卡號等關(guān)鍵個人信息。通過這些關(guān)鍵信息及校驗(yàn)短信，進(jìn)行服務(wù)密碼重置，掌握了對手機(jī)卡的主動控制權(quán)。

此后，在支付寶、財(cái)付通、蘇寧易付寶、京東支付等開立了新賬戶，綁定機(jī)主的銀行卡進(jìn)行消費(fèi)，并在美團(tuán)平臺申請貸款，造成機(jī)主經(jīng)濟(jì)損失。

整個過程中，登錄政務(wù)平臺App獲取關(guān)鍵信息、綁定銀行卡、貸款消費(fèi)等操作，都是憑借手機(jī)短信驗(yàn)證碼順利通關(guān)。

記者了解到，此案之所以產(chǎn)生如此后果的一個重要原因，在于手機(jī)遭竊后機(jī)主沒有第一時間掛失電話卡，令不法分子有了可乘之機(jī)。

專家解釋，在電話卡未掛失的近2個小時，由于掌握了機(jī)主個人關(guān)鍵信息，不法分子通過手機(jī)在線服務(wù)，對服務(wù)密碼進(jìn)行了重置。這相當(dāng)于掌握了通信業(yè)務(wù)辦理的主動權(quán)，能進(jìn)行遠(yuǎn)程解除掛失，還可以利用短信驗(yàn)證登錄其他網(wǎng)站和App。

手機(jī)失竊被“盜刷”暴露出哪些安全漏洞？

這一網(wǎng)民的遭遇暴露出手機(jī)信息安全和支付安全的多個漏洞，引發(fā)多方擔(dān)憂。

——電話卡解除掛失等安全機(jī)制有待升級。

據(jù)其本人介紹，案發(fā)當(dāng)日，在通過電信客服掛失后不久，他們發(fā)現(xiàn)手機(jī)卡居然被不法分子解除掛失，仍能使用。雙方進(jìn)行了激烈斗爭：掛失、解掛、再掛失、再解掛……來來回回幾十次。其間，這張手機(jī)卡不斷接收消費(fèi)和貸款的驗(yàn)證短信。

多位業(yè)內(nèi)人士表示，雖然機(jī)主手機(jī)被盜后未及時掛失電話卡，讓不法分子鉆了空子，但電信企業(yè)的服務(wù)密碼重置和解掛失等業(yè)務(wù)規(guī)則是否完善、是否充分考慮了機(jī)主手機(jī)丟失的可能性，值得探討。

按照中國電信的業(yè)務(wù)規(guī)則，已掛失賬戶可以通過撥打客服熱線、服務(wù)密碼鑒權(quán)后進(jìn)行解掛。利用機(jī)主掛失前的“空檔”，不法分子通過機(jī)主姓名、身份證號、短信隨機(jī)碼重置了服務(wù)密碼，掌握了通信業(yè)務(wù)辦理權(quán)，多次誘導(dǎo)電信企業(yè)客服人員對已掛失的電話卡進(jìn)行解掛。

電信專家付亮認(rèn)為，用戶反復(fù)解除掛失的異常舉動，應(yīng)及時引起電信企業(yè)包括客服人員在內(nèi)的系統(tǒng)的警覺，適當(dāng)升級安全門檻，而不是依然機(jī)械地進(jìn)行常規(guī)操作。

——校驗(yàn)手段普遍不足，風(fēng)控水平參差不齊。

目前，雖然監(jiān)管部門對于支付機(jī)構(gòu)開戶身份的安全驗(yàn)證有相關(guān)規(guī)定，但部分機(jī)構(gòu)執(zhí)行打了折扣。

記者調(diào)查發(fā)現(xiàn)，不少金融平臺和支付機(jī)構(gòu)開立賬戶或綁定銀行卡的流程較為簡單，一些機(jī)構(gòu)在授信流程中，只增加了銀行短信校驗(yàn)或者公安網(wǎng)校驗(yàn)，就順利放款。在此案中，不法分子通過機(jī)主的銀行卡號、身份證號、姓名、銀行預(yù)留手機(jī)號等信息，加上短信驗(yàn)證，就在美團(tuán)平臺上辦理了貸款業(yè)務(wù)，并很快將貸款通過新開立的支付賬戶消費(fèi)掉了。

業(yè)內(nèi)專家表示，為吸引用戶，部分金融平臺不會在綁卡開戶時增加煩瑣的校驗(yàn)方式，而是簡化開戶流程。更有一些小公司，為節(jié)省成本而省略步驟，校驗(yàn)的完成度和可靠性難以保障。

與此同時，一些平臺和機(jī)構(gòu)風(fēng)控水平不過硬。從網(wǎng)民“信息安全老駱駝”家人的遭遇來看，同樣在凌晨三四點(diǎn)，有的支付系統(tǒng)風(fēng)控成功識別了異常交易并進(jìn)行阻斷，有的則通過了不法分子的貸款申請，有的支持了不法分子數(shù)筆綁卡消費(fèi)。

——個人敏感信息保護(hù)不力。

該案中，不法分子通過短信驗(yàn)證的方式便登錄了某政務(wù)平臺App，獲取機(jī)主的重要信息如探囊取物一般。

業(yè)內(nèi)專家表示，身份證信息和銀行卡信息屬于個人敏感信息，一旦遭泄露后果嚴(yán)重。身份驗(yàn)證要強(qiáng)化甄別“確為本人意愿”，如借助人臉識別等方式提高驗(yàn)證門檻。

此外，一些通信行業(yè)人士表示，一些無良手機(jī)App過度收集個人信息，也為個人信息安全埋下隱患，一旦App被侵入就會造成嚴(yán)重信息泄露。在公安部組織開展的“凈網(wǎng)2019”專項(xiàng)行動中，被查處的違法違規(guī)采集個人信息的App就多達(dá)683款，其中不乏知名企業(yè)。

機(jī)構(gòu)與平臺應(yīng)提高安全驗(yàn)證手段，手機(jī)丟失第一時間掛失SIM卡

事件曝光后，大部分涉事的平臺和支付機(jī)構(gòu)消除了受害人的貸款記錄，并賠付了損失。記者了解到，相關(guān)支付機(jī)構(gòu)已著手加強(qiáng)手機(jī)丟失防控策略，提升風(fēng)控水平，適時升級身份驗(yàn)證手段。

針對電信企業(yè)存在的漏洞，工業(yè)和信息化部日前約談了此次涉事電信企業(yè)相關(guān)負(fù)責(zé)人，并對三家基礎(chǔ)電信企業(yè)提出要求，對于服務(wù)密碼重置、解掛等涉及用戶身份的敏感環(huán)節(jié)，在方便用戶辦理業(yè)務(wù)的同時要強(qiáng)化安全防護(hù)，加強(qiáng)客服人員風(fēng)險(xiǎn)防范意識培訓(xùn)，警惕業(yè)務(wù)異常辦理行為。

中國電信相關(guān)人員表示，為進(jìn)一步防范此類風(fēng)險(xiǎn)，將強(qiáng)化和規(guī)范掛失、解掛、呼轉(zhuǎn)等業(yè)務(wù)的鑒權(quán)方式和流程，增加技術(shù)核驗(yàn)手段，提高服務(wù)人員風(fēng)險(xiǎn)防范意識，對頻繁辦理業(yè)務(wù)的行為加強(qiáng)監(jiān)控，對異常行為進(jìn)行限制和升級操作授權(quán)。

“無論是支付業(yè)務(wù)還是其他金融業(yè)務(wù)，都應(yīng)該把安全性放在第一位，其次才是便捷性。”國家金融與發(fā)展實(shí)驗(yàn)室特聘研究員董希淼表示，非銀支付機(jī)構(gòu)及互聯(lián)網(wǎng)金融公司擔(dān)負(fù)著數(shù)以億計(jì)用戶的財(cái)產(chǎn)安全，有責(zé)任不斷加強(qiáng)風(fēng)險(xiǎn)防控。針對手機(jī)失竊這種情況，金融機(jī)構(gòu)應(yīng)該考慮得更全面些，不光要“實(shí)名認(rèn)證”更要“實(shí)人認(rèn)證”。

此外，相關(guān)單位和企業(yè)應(yīng)及時對用戶數(shù)據(jù)進(jìn)行脫敏處理，按照最小必要原則收集、存儲、使用，并注意分級分類保存。

普通民眾如果手機(jī)被盜或遺失，應(yīng)如何保護(hù)個人信息和財(cái)產(chǎn)安全？

專家提示：

——第一時間致電手機(jī)運(yùn)營商掛失SIM卡，以免不法分子利用“時間差”竊取個人信息。

——盡快致電銀行凍結(jié)手機(jī)網(wǎng)銀，只要辦過銀行卡的銀行都要覆蓋到，不要給不法分子留下可乘之機(jī)。

——對支付寶、微信等具有金融功能的應(yīng)用及時進(jìn)行凍結(jié)，且密切關(guān)注賬戶服務(wù)和資金變動。

——通知親朋好友手機(jī)遺失，讓他們不要輕易相信陌生人打來的電話或發(fā)來的信息。

——如果發(fā)現(xiàn)異常的資金使用情況，及時撥打110報(bào)警電話報(bào)案。