法治日報-法人網 全媒體實習記者 邵萌
近日�,《一部手機失竊而揭露的竊取個人信息實現資金盜取的黑色產業鏈》一文在朋友圈刷屏�,文章詳細講述了擁有十多年網絡攻防經驗的專家“老駱駝”與手機黑產團伙展開的一場“資金攻防戰”��。
這場“攻防戰”���,確實稱得上是“驚心動魄”��,而其背后隱藏的“盜竊手機——盜取個人信息——獲取貸款——轉移資產”這一手機黑產鏈�����,更讓人“不寒而栗”�。
黑產團伙盜取手機后��,取出SIM卡放入其他手機用于驗證�����。接著����,黑產團伙通過其他平臺快速獲取失主關鍵信息��,利用原手機號和關鍵個人信息注冊支付軟件新賬號�,繞過支付平臺漏洞�����,完成貸款申請和資金轉移�����。整個流程不過短短幾個小時�。
當前����,隨著移動支付的發展����,手機早已不再是簡單的通訊工具�,而是更多地充當了個人信息終端�����。手機黑產早已在人們不知不覺中瞄上了移動支付�。近幾年來相關事件頻現���?�!袄像橊劇眰兊脑庥?�,折射出了當前需要迫切解決的個人信息保護問題���,也給互聯網平臺的安全性打了個問號���。
手機被竊帶來瘋狂盜刷
擁有十多年網絡攻防經驗的“老駱駝”怎么也沒有想到��,“個人信息被盜�����、資金遭轉移”的事兒會發生在自己身上��。根據他在文中的自述��,此次盜刷事件的核心并不復雜��。
9月4日19點30分�����,“老駱駝”的妻子手機丟失后���,并未第一時間掛失手機SIM卡���?��!斑@個不果斷的決定�����,導致了后續悲劇的發生����?��!薄袄像橊劇痹谖闹蟹Q����,黑產團伙在竊取手機后�,將SIM卡取出放入其他手機�����,用于接收短信驗證碼����。隨后���,黑產團伙登錄當地社保app�����,獲取了失主的關鍵個人信息�����。
至此��,失主的手機號碼���、姓名����、身份證號碼��、社保金融卡的銀行卡信息均被獲得���,下一步����,黑產團伙利用這些信息開始了瘋狂盜刷�。
21點24分��,“老駱駝”發現手機賬戶在云服務中被解綁;21點48分��,手機SIM卡經歷了一輪失主掛失和黑產團伙解除掛失;9月5日0點23分�����,被盜手機鎖屏密碼被解開���,微信�����、支付寶等均被修改密碼�����。
隨后�����,黑產團伙在支付寶��、美團�、京東���、財付通����、蘇寧金融��、百度等多個平臺偽冒開戶��,實施盜刷���,申請網貸并轉移資產��。
9月5日早晨5點���,“老駱駝”通過中國電信網上營業廳�,關閉了短信功能��,“中止了他們后續的犯罪行為”�����。此時��,距離手機被盜不足10小時����。
文章發出后�,被點名的平臺陸續回應����。支付寶相關團隊回應稱��,黑產團伙未突破人臉識別功能���,未在支付寶套到錢和信息�,同時承諾資金被盜全額賠付�����。
“老駱駝“對此也發文更新了事件后續進展:“事件中涉及的幾家支付公司都積極聯系到我����,美團的貸款記錄消除了��,蘇寧金融把我們損失的幾千都賠付了��。銀聯云閃付的賠付也已打電話通知取消���?!彼瑫r表示�,四川電信也主動聯系致歉��,解釋稱黑產團伙跟其客服說是男女朋友鬧矛盾�,才會出現反復掛失與解掛的情況�。
回顧整個事件����,銀行�����、運營商��、移動支付����、網貸平臺等均在不同程度上暴露出安全隱患��,這些隱患恰恰就是黑產團伙盜取資金的“跳板 ”�。分析完整個犯罪過程后����,“老駱駝” 在文中這樣感嘆:實際上�,這個環節里的每一個點��,放在對應的業務節點里都不是什么大問題��。但手機丟失后���,把所有這些點串起來��,問題就大了�����?!?/p>
運營商遠程掛失�����、解掛業務流程是否合理
梳理“老駱駝”妻子手機被盜刷的經歷���,一個關鍵點在于:手機丟失后�����,他通過致電四川電信客服掛失手機卡���,但不久之后���,黑產團伙致電電信客服��,竟然可以輕松解除掛失�。手機卡被解除掛失��,意味著黑產團伙可以通過手機短信驗證的方式登錄了各大借貸App����。因此��,“老駱駝”通宵與黑產團伙就“掛失����、解掛”問題��,來來回回幾十次���,也未能阻止“解除掛失”成功��,直到“老駱駝”登錄手機網上營業廳����,關閉了短信功能��,才暫時制止了黑產團伙的犯罪�。
“老駱駝”認為���,四川電信掛失��、解掛業務流程存在漏洞��,他在文中表示:“機主幾次在電話中告知話務員自己正在遭受銀行卡盜刷犯罪����,要求停止解掛行為���,話務員還是以業務話術來敷衍客戶:“對不起�����,我們的掛失解掛有固定的業務流程�����,只要對方能提供服務密碼�,就可以正常解掛��?����!?/p>
事后����,四川電信致歉稱��,黑產團伙以“男女朋友鬧矛盾”為由哄騙客服�,才會出現反復掛失與解掛的情況�。
10月14日�,《法人》記者在四川電信客服處獲悉���,目前����,提供機主姓名����、電話號碼�����、上個月撥打的三個通話號碼或者電信網上營業廳密碼可以解除掛失���。不過��,掛失業務辦理后�����,針對線上渠道�,解掛業務24小時內僅能辦理一次��,有特殊情況需要本人持有效證件到營業廳解掛��。
北京市京師律師事務所律師孟博向記者表示����,依照《中華人民共和國電信條例》規定���,電信業務經營者應當按照國家有關電信安全的規定�����,建立健全內部安全保障制度�����,實行安全保障責任制����。
“相較于一般用戶����,電信業務經營者在電信服務領域處于優勢地位�����,其應當提供合理的遠程掛失����、解掛業務���,保障用戶的合法權益���,比如發現電信服務可能被他人利用并可能危害用戶的合法權益時���,采取更為嚴格的身份識別��、驗證程序來防范損害結果的發生等����?����!泵喜┍硎?����,從相關報道和當事人的陳述�,以及后續所形成的后果來看�,相關電信公司并未妥善履行相應義務�����,當事人受到了損失��。
互聯網平臺應補齊“安全性”短板
互聯網時代�����,獲取身份證信息可能比你想象中還要容易���。
“老駱駝”稱����,黑產團伙運用手機號和驗證碼快捷登錄四川人社App�,點開“電子社?��?ā?����,短信驗證碼重置社保密碼�,失主姓名�����、身份證信息�����、證件照片�����、銀行卡號就能輕而易舉地被獲取����。
實際上�����,不只是四川人社App�����,不少地方社保App�����、商旅訂票軟件等����,通過驗證碼登錄后�����,均能看到自己的姓名及身份證信息�,未做任何加密處理�����。
“老駱駝”的遭遇并非個例�,他表示���,文章發布后����,有幾個網友留言稱自己經歷過一模一樣的場景�����,損失最嚴重的一位被黑產團伙以線上貸款的方式盜刷了68萬��,目前還在索賠中�。
2019年9月�����,上海黃浦警方也對外披露了一起新型信用卡盜刷案�。嫌疑人盜竊手機后憑SIM卡成功登陸攜程�、去哪兒等出行軟件�����,從中獲取完整的個人身份信息�,進而實現盜刷操作�����。
“老駱駝”認為��,這些包含身份證信息的APP和網站����,對于身份證號碼信息泄露風險并非不知道�����,只是在權衡“用戶體驗”后����,放棄了出于安全性考慮的種種復雜設置�,未能對一些敏感數據進行加密保護�����,而這些技術得以實現并不困難����。
在9月8日舉辦的2020年中國國際服務貿易交易會北京金融科技成果專場發布會上����,央行科技司司長李偉提到�,金融科技發展��、金融業數字化轉型應重視監管科技應用�,增強數字化監管能力���。部分機構在利用技術創新業務模式�、提升服務效率�����、改善用戶體驗的同時��,一定程度上簡化了業務流程��、削弱了風控強度�、掩蓋了業務本質�,這給金融監管提出新挑戰�。
回顧此次盜刷事件�����,金融系統��、支付平臺�����、網貸平臺等像在“酣睡”�,在資質審查�、用戶隱私和財產保護等方面�����,似乎都需要補齊短板����。
北京云嘉律師事務所律師趙占領認為��,此次事件反映了電信��、社保���、金融系統各類企業或機構在個人信息保護方面��,或多或少都存在一些漏洞�。這些漏洞可能造成用戶部分個人信息被泄露���。
“此次事件還說明一個問題����,像電信����、金融����、社保���、互聯網等各平臺和機構�����,不僅要加強個人信息保護����,還需要有整體的觀念�。如果某一家企業��、某一類機構的個人信息保護存在漏洞����,都有可能對其他領域用戶的個人信息泄露造成嚴重的隱患����,進而可能會導致用戶遭受財產損失���。因此�,個人信息保護需要各類機構都提高保護水平�����,形成一個整體的保護機制��,才有可能堵住各種漏洞��?���!壁w占領進一步表示��。
以強監管應對黑產猖獗
近年來�,手機黑產猖獗�����,在移動支付領域更是如此���。即使手機并未丟失�,用戶信息安全及財產安全也常常受到威脅��。
360手機衛士��、360政企安全����、中國信息通信研究院聯合發布的《2020年上半年度中國手機安全狀況報告》顯示��,今年上半年�����,360手機先賠共接到手機詐騙舉報1561起�,其中提交理賠申請的詐騙舉報為776起�,涉案總金額高達778.9萬元����,人均損失10037元�。
騰訊手機管家發布的《2020年上半年手機安全報告》指出����,數字化浪潮下��,不法分子也搭上互聯網科技“快車”�����,形成從網站源碼搭建���、第三方App利用�、信息攔截�����,甚至海外“銷贓”渠道等專業化����、產業化�����、規?�;脑p騙集團���。
就以往侵害個人信息的犯罪案件來看��,個人信息泄露涉及銀行�、工商��、電信等諸多行業�����,涉案范圍廣�、規模大�����。手機信息安全問題的嚴重性進一步暴露���,加強個人信息保護的任務更加迫切����。
趙占領表示�����,目前在公民個人信息保護方面已經有了很多法律法規�,比如刑法規定有侵犯公民個人信息罪�,網絡安全法規定了網絡個人信息的保護����。還有一些部門規章�、國家標準�����、 行業標準規定的網絡個人信息���。在其他不同的領域��,有些行業主管部門也制定了個人信息保護的相關規定����。
個人信息保護法草案已于10月13日在十三屆全國人大常委會第二十二次會議上首次提請審議�����。
但趙占領認為�,目前的法律�、法規�、標準通常都規定個人信息的收集者��,依法需要采取相應的手段和措施來保證所收集用戶的個人信息安全��,防止因為自身的原因�,導致用戶的個人信息泄露�����,否則需要對此承擔民事責任和行政責任�����,包括向用戶承擔賠償責任��,接受相關監管部門的行政處罰等�。
“因此�����,我認為最關鍵的問題是加強執法�,加強監管���?����!壁w占領說��,“不能把所有的希望都寄托在個人信息保護法的出臺之上�。如果不解決執行的問題����,仍然不能提高整個社會個人信息保護的水平�����?��!?/p>
回到個人層面�,普通用戶應如何盡量避免被黑產團伙竊取個人信息呢?一位從事網絡安全工作的人士向記者表示���,重要且容易被忽視的一點是�,要給手機設置SIM卡卡鎖����?!昂芏嗳硕紩o手機設置屏幕鎖�����,但設置SIM卡卡鎖的人并不多���。設置SIM卡卡鎖之后��,一旦手機丟失�,即使犯罪分子將SIM卡拔下插入其他手機��,也無法正常使用和接收驗證碼����?!币蕴O果手機為例���,用戶可以通過“設置-蜂窩網絡-SIM卡PIN碼-更改PIN碼”進行設置��。華為手機則可以通過“設置-安全和隱私-更多安全設置-加密和憑據-設置卡鎖”��,選定手機卡后����,啟用密碼���,再選擇修改密碼����,完成手機卡的密碼設置�����。
這位網絡安全人士強調����,但這樣做并非萬無一失�,手機丟失后���,一定要第一時間掛失SIM卡����,阻斷犯罪分子通過手機號進一步獲取個人信息的途徑�。另外�����,如果不掛失SIM卡�����,除了可能會遭遇盜刷操作外��,還有可能被犯罪分子用來進行詐騙��。
此外�����,在網絡營業廳關閉短信服務�����,也可以進一步防止犯罪分子通過驗證碼修改支付密碼���、辦理貸款等��。同時聯系銀行凍結所有銀行卡�,換掉銀行卡預留手機號碼�,避免不必要的損失�。(責編 謝昱航)
(版權屬法治日報社《法人》雜志所有�,任何媒體�����、網站或個人未經授權不得轉載�����、摘編��、鏈接����、轉貼或以其他方式使用����。)
