“一部手机失窃引发的战争”刷屏,移动时代的信息安全在哪?
以前,一篇“一部手机失窃引发的战争“刷了屏幕,成都一个用户因为丢失了一部手机开展与犯罪分子斗智斗勇的过程。其中的描述真得惊心动魄。
最近几年,随着移动互联网的发展,越来越多的人通过手机银行、微信、支付宝来支付,越来越多的钱通过各种渠道绑定了这些途径。越来越多的小额贷款都通过远程来发放,人们的生活越来越方便。
然而,在方便便捷的背后。安全问题也暴露了出来。一部手机失窃,直接威胁到用户的各个账户,依靠身份证、手机卡,盗窃者几乎畅行无阻。这引发了大众恐慌。
移动时代的信息安全在哪?
用户是如何被突破的
从“一部手机失窃引发的战争“一文描述看,被盗取手机的用户本来就是行家。
如果是普通人,就是新闻中那种丢失手机,所有账户都被清空,报案后说不清责任的懵懂者。
而这个用户门清,发现手机丢失后,处理基本是合理的,及时的。
但是,因为现在各个行业移动支付普及,均使用短信验证码作为最高等级的验证标识,结果各种防御均被轻松绕过。
犯罪分子盗取手机后,首先获取了被盗手机的号码,然后通过号码的验证码功能,在社保网站获取了身份证号码、个人电子社保卡上的照片。
然后,有了身份证信息,有了验证码,就可以在多个地方通过修改密码,绕开验证,变成合法用户。
随后,犯罪分子又通过华为EMUI提供的解锁码功能,通过被盗手机上的信息,解锁了手机的解锁密码
这样一来,用户就可以进入到机主的支付宝中获取到银行账号。
有了银行账号,有了身份证,有了验证码,解锁了手机,自然无往而不利了。
而且,犯罪份子还利用这段时间,给机主的各个账户绑定了其他手机和账户,申请了各种贷款。
虽然机主很警觉,但是依然造成了比较大的损失。
关键问题,验证码
从手机失窃,到机主挂失时间并不长。但是机主的运营商四川电信提供了一个非常有利于犯罪分子的功能,手机解除挂失。
在丢失手机之后,有很长一段时间,机主未能锁机更换手机卡,机主办理挂失停机。犯罪分子办理解除挂失。两边斗争了一夜。一直到第二天补办新卡才终结。
这段时间,犯罪份子一直时不时的取得各种渠道的验证码,在各个渠道进行密码修改,解绑,绑定等工作。
在所有的泄露中,手机验证码成为根源。应该说,在如今的安全环境下,个人的隐私信息,包括身份证号,银行卡号等信息,早已经泄露的七七八八了。黑产网站几毛钱什么都有了。
唯一起到安全作用的就是密码和验证码,而现在多APP、网站的密码都是可以用验证码去改的。顶多再加一点其他背景信息。
这样基本就是一个验证码走天下了。用户手机被盗取,只要能够拿到用户的验证码。用户就没有什么安全可言了。
如何保护自己的信息安全
目前,用户手机基本都有了开机密码。大多是手机的开机密码,在不开启USB调试的情况下都是不太容易破解的。
提供云端密码解锁的厂商并不太多。如果是苹果手机,破解的难度就更大一些。
所以,问题主要出在SIM卡的安全上。其实SIM卡自己是有安全机制的。用户可以甚至PIN码,但是PIN码可以通过PUK码重置,而PUK码可以通过比较简单的一些信息从运营商处获得。
结果,你设置的PIN码,还是有可能被破解,造成损失。只是给你增加了一点点挂失的时间。
真正的问题,在于电信运营商的政策上。
手机卡的挂失,不是一个手机卡的问题,而是关联到很多金融服务安全的问题。
手机卡的挂失与重置,应该有合理的流程,挂失条件可以宽松,有密码可以挂失,有通话记录可以挂失,有缴费明细可以挂失。
但是,解除挂失与补卡,应该是同级别的。应该由机主本人带着身份证去前台办理解除挂失或者补卡的手续。
这样,用户发现手机丢失后挂失,就可以避免在此期间因为验证码的问题,造成各种密码被重置,各种安全信息被绕开。