央广网北京10月12日消息 据中央广播电视总台中国之声《新闻超链接》报道,近日,一篇题目为《一部手机失窃而揭露的窃取个人信息 实现资金盗取的黑色产业链》的文章引发了网民的热议和担心。文章作者记录了自己手机失窃后,不法分子干扰其对手机号进行挂失,而后对方又通过手机号+验证码的方式,以文章作者身份登陆其金融支付平台或注册相关平台并办理了贷款业务的一系列过程。
这样一来,即便文章作者此后不断要求挂失停机,冻结了部分银行卡,也还是造成了财产损失。
如今,手机承载了我们支付、理财、出行等方方面面的信息。手机失窃或丢失,用你的手机,花你的话费,这些已经不是不法分子的目的了。
该文作者“信息安全老骆驼”称自己就从事信息安全工作。这也让不少网民更加担心,专业人士尚且有这样的遭遇,如果普通用户手机丢失,遭遇损失可怎么办?
在手机扮演着重要角色的今天,普通用户该如何尽量避免个人信息泄露,保障自己的财产安全呢?
手机号本身也有密码
“信息安全老骆驼”总结、分析了自己的遭遇和教训,他说自己也是“心存侥幸,未第一时间挂失手机卡、挂失银行卡时没找齐所有卡,这些都给犯罪分子留下了机会”。
手机卡挂失为什么这么关键?
具体来看,在“信息安全老骆驼”发现手机丢失后一个多小时的时候,对方把其手机卡取出来放在了其他手机中,开始使用这个手机号,并且,利用短信验证码从某个绑定了该手机号码的APP上获取到机主的身份证、银行卡号信息;同时,还用获取的信息修改了运营商服务密码、手机厂商云密码。
这才有了之后,利用手机号、验证码、机主身份证号等信息注册支付平台新账号、申请贷款等等的一系列操作。
那么,我们如何才能保证我们手机号的安全呢?
这里要注意几个密码。
没错,手机号本身也有密码,手机卡也可以锁。
首先,就是PIN码。
在手机的安全设置中,就可以设置“锁定SIM卡”,需要输入PIN码才能使用手机。如果有别人试图乱猜PIN码,多次输入错误,SIM卡就会被锁。需要再进一步向运营商获取PUK码。如果PUK码错输了10次,卡就报废了。
独立电信分析师付亮介绍,会特意去修改这个密码的手机用户,确实不多:“这个密码在2G时代大家认为这个密码非常重要的,因为当时如果有人捡到了我的手机,就可能用它发短信、打电话,那时价钱都很贵。但随着使用,大家发现设置了以后不那么方便,而且,如果丢失后马上去和运营商申请停机,问题也能解决。此外,从手机角度讲,有人觉得,现在手机本身有开机密码,一定程度限制了其他人的使用。”
但是,付亮提醒,手机开机密码抵御不了,拔卡换手机。
所以,要想丢失的手机号不被恶意使用,还是要设置一个SIM卡密码。具体初始密码是什么,如何修改,可以向电信运营商咨询。
此外,还可以加一道“防线”,那就是运营商服务码。
某运营商客服人员介绍,通过短信设置或更改服务密码,“如果手机丢失,打客服电话,有服务密码可以办理挂失。挂失后,丢失的手机卡就解不开、用不了了。此后,机主可以再去营业厅补卡。”
手机和卡都还在 也可能被盗刷
设置这些密码是用户个人可以做出的努力。
但是,在以往的案例中,即便机主手机没有丢失,也有可能遭遇“GSM劫持+短信嗅探”,而被“偷看”了短信验证码,最终被盗刷。
付亮指出,这是GSM 2G网络的缺陷,对方可以伪装成机主手机,这样一来,发给机主的短信就被他收到了,尤其“偷看”验证码”,而现在大量的互联网应用都支持手机号+验证码登陆。
在“信息安全老骆驼”的案例中,也是因为手机号没能第一时间挂失,不法分子通过手机号+验证码的方式突破了多个平台。
付亮认为,短信验证码这个方式,安全级别较低,不应单一作为保障支付、金融平台的安全手段:“比如,小孩子在网络上打赏或者玩网游买装备,可能花掉父母几年的积累。这个实际上就是一个‘倒备书’。用安全性比较低的模式去给安全性要求比较高的网络支付、实名认证备书,这不合理。”
平台应如何保存信息?
在“信息安全老骆驼”的遭遇中,还有一个关键的步骤是,对方用他的信息登陆某平台后,因该平台没有做脱敏、模糊处理,其某些个人关键信息泄露了。
在以往的案例中,也有嫌疑人盗窃手机后凭SIM卡成功登陆网络出行旅游平台,从中获取到用户完整的身份信息,进而实现了盗刷操作。
工信部互动媒体产业联盟数字文化工作组组长、专家委委员包冉指出,模糊处理、数据脱敏是任何网络信息服务平台都必须做到的事情:“没做到的一定是他们做错了。如果在欧盟没有做到这一点触动了GDPR(《通用数据隐私保护条例》)的话,会被罚得倾家荡产,有可能会被罚这个公司上个财政年度全球营业额的4%。如果我们的安全意识上不去的话就无法倒逼网络信息服务平台去强化其安全系统。”
作为手机和网络平台用户,我们个人能做的是:设置各种密码,并且,尽量复杂,不跨平台重复使用密码;如手机被盗或遗失,第一时间联系运营商进行紧急挂失停机。
(编辑:鸣嫡)