如果發(fā)現(xiàn)手機被盜,你第一時間會怎么做?近日,一名網(wǎng)絡(luò)安全工程師描述手機被盜后與不法分子周旋的“技術(shù)貼”引發(fā)網(wǎng)友關(guān)注。雖然他在手機失竊后以教科書式的操作試圖阻止資金被盜,但還是被手法“***”的犯罪團伙找到漏洞,結(jié)果造成了一系列經(jīng)濟損失。
原文鏈接:《一部手機失竊而揭露的黑色產(chǎn)業(yè)鏈——完整修訂版》
失竊的這位工程師通過切身經(jīng)歷找出了我們?nèi)粘I钪行畔踩谋∪醐h(huán)節(jié),也對相關(guān)機構(gòu)加強核驗工作提出了寶貴意見。在這場對抗中,不法分子是如何獲取個人信息并盜刷資金的?短信驗證碼、人臉識別等信息識別功能安全性有多高?手機被盜后第一時間應(yīng)采取哪些措施?本期《關(guān)鍵問答》邀請App專項治理工作組專家何延哲為您復(fù)盤解讀。
答:這起事件中,犯罪分子使用一張手機卡,突破了多個App層層安全措施,直至盜取資金、貸款,侵害了用戶財產(chǎn)安全。難得的是,受害者是一位從事網(wǎng)絡(luò)安全工作的***人士,他將整個事件清晰地進行了描述,也將犯罪分子使用的手段予以推斷和還原。
綜合受害者的描述可以看出,整個過程是有嚴密組織的作案腳本和話術(shù)的,所利用的規(guī)則和漏洞除了賬戶找回密碼機制的一些缺陷,在手機號解掛的環(huán)節(jié)還用到了“社會工程”手段——犯罪分子以情侶鬧矛盾為借口,聯(lián)系運營商客服解除了***卡掛失。犯罪分子已經(jīng)不是普通的“竊賊”了,而是可以與***人員相“對抗”的“網(wǎng)絡(luò)大盜”。
答:從下圖我們可以看出,手機號或***號驗證這種典型的“實名認證”模式,其安全性已經(jīng)比單純的“賬號+密碼”模式更安全。但是因為沒有做到“實人認證”,還是無法有效分辨手機號是否為本人使用,安全性還存在不足。
并非沒有更加復(fù)雜的***去驗證是否為本人操作,只是驗證步驟越復(fù)雜,收集的用戶信息就會越多,用戶的使用體驗也會隨之變差。
答:比“實名認證”更加復(fù)雜和難以被破解的,其實還有很多種措施,使用最多的就有數(shù)字證書、人臉識別等方式。數(shù)字證書大家接觸最多的就是下圖中的U盾。
而這兩年隨著技術(shù)進步,人臉識別方式得以在手機終端上廣泛使用,以應(yīng)對需要“實人認證”的場景。就其安全性來看,目前用戶量高的主流支付類App采用的人臉識別技術(shù)都比較成熟,安全系數(shù)高,要破解并非易事。這起事件中,受害人最初猜測犯罪分子繞過了支付App的人臉識別系統(tǒng)進行盜刷,但后經(jīng)受害者本人及支付客戶端相關(guān)企業(yè)予以澄清,人臉識別系統(tǒng)并未被直接突破,而是犯罪分子采取了其它手段。
答:手機失竊后,通過下圖中幾個操作,事件中的犯罪手段便無法達成。當然,與用戶早已習慣且操作方便的手機鎖屏不同,SIM卡密碼設(shè)置本身大家還不熟悉,是不是存在用戶遺忘后造成鎖機帶來不便,或者部分手機操作系統(tǒng)會觸發(fā)一些反復(fù)驗證的機制?這都會影響到用戶的使用體驗。建議在設(shè)置SIM卡密碼的問題上,運營商及手機操作系統(tǒng)都進一步優(yōu)化,以便于用戶使用該功能。
答:此次事件的典型特點就如受害者所說,犯罪分子利用一個個被App認為是“正常”的操作,利用手機號逐步套取了用戶的***號、銀行卡號等信息,最終完成了整個“拼圖”,從而實施了進一步騙取貸款等操作。有***就說過,“世界上不存在沒有漏洞的系統(tǒng)”,網(wǎng)絡(luò)安全要做到事事預(yù)知、面面俱到、毫無瑕疵幾無可能。我們要做的是盡可能在一些細節(jié)方面持續(xù)加強,與犯罪分子“賽跑”,讓作惡的成本不斷增加,不給其可乘之機。比如“解除掛失”等關(guān)鍵流程的完善,對于***號、銀行卡號等的展示可以采取一些打碼措施等。還可以通過一些高危風險“熔斷”機制,“網(wǎng)絡(luò)保險”等風險轉(zhuǎn)嫁措施全方位保障安全。
答:不斷消除App的安全隱患是App運營者理應(yīng)履行的職責與義務(wù),對此《網(wǎng)絡(luò)安全法》第十條有明確規(guī)定:
對于不能有效履行網(wǎng)絡(luò)安全義務(wù)的,在網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下,電信主管部門、***部門等部門開展監(jiān)督管理工作,其中處罰方式包括責令整改、警告、行政罰款等,情節(jié)嚴重的可責令停業(yè)整頓、吊銷執(zhí)照。
其實只要構(gòu)建較完備的安全技術(shù)和管理能力,除非是底層技術(shù)缺陷等特殊原因,大的安全漏洞一般不太會出現(xiàn),或者不太會造成大范圍影響,有足夠完備的應(yīng)急和善后措施也是一種重要的履責體現(xiàn)。
答:這個事件之所以讓大家感到后怕,是因為大家會想,作為經(jīng)驗豐富的網(wǎng)絡(luò)安全專家,面對犯罪分子的層層破解尚力不從心,最終也沒能阻止犯罪,只能以補救方式止損。那么,對于普通網(wǎng)民豈不任人宰割?
我們不妨從全局分析,此次事件犯罪分子使用的手段,比起以往來看,事實上顯得“性價比不高”,也就是說,萬一當時受害者掛失成功,運營商沒再聽信其編造的謊言,后面的事情也就不會發(fā)生。犯罪的路徑越復(fù)雜、越迂回,成功率一定是越低的。因此,從某種意義上來看,是因為目前網(wǎng)絡(luò)安全措施普遍有所提升的情況下,迫使犯罪分子想出這個“吃力不討好的招”,并不代表網(wǎng)絡(luò)安全真的難以保障,否則,手機失竊案恐怕要大幅度增加了。
其次,從相關(guān)數(shù)據(jù)和輿情來看,此種犯罪方式剛開始出現(xiàn),還沒有大范圍發(fā)生,受害者從***角度第一時間向全社會科普,也讓有關(guān)環(huán)節(jié)App運營者加強了安全措施,再次降低了出現(xiàn)類似事件的可能性。
網(wǎng)絡(luò)安全始終是一個黑白不斷對抗、攻防不斷演化的過程,加強相關(guān)宣傳教育工作至關(guān)重要。面對紛繁復(fù)雜的網(wǎng)絡(luò)空間,作為普通網(wǎng)民,只要學習必要的知識技能、提升安全意識,以不變應(yīng)萬變,做到有效保護自己切身利益并非難事。
答:如何把握“賬戶安全”和“隱私保護”的平衡,其實也是一個難題。
以收集個人信息為例,其一方面可以為用戶提供服務(wù),另一方面也成為追蹤、畫像、推送的途徑,其實還有第三種使用方式,就是安全風控。除了前面提到的人臉識別用于安全風控的案例,事實上現(xiàn)在用的最多的還有“設(shè)備唯一識別符”。絕大部分App運營者都是利用其判斷是否為常用設(shè)備,從而觸發(fā)進一步驗證身份的機制。但是,很多人并不清楚,大家時常看到的App彈窗索要“***”或“設(shè)備信息”權(quán)限,其實就是為了收集這個標識符,是與賬戶安全目的有關(guān)聯(lián)的。除此以外,應(yīng)用程序列表、粗略地理位置等個人信息都可能用于安全風控。
目前,隨著治理深入,用戶的選擇權(quán)越來越多,未經(jīng)用戶同意,這一類信息都不能被收集,大家選擇不斷關(guān)閉權(quán)限等收集個人信息渠道的同時,也對安全風控的數(shù)據(jù)源進行削減,這一點也不得不引人擔憂。
在正在制定的國家標準《App收集個人信息基本規(guī)范》中,提出了設(shè)備唯一標識符可成為最小必要信息,但只能用于安全運營目的。但事實上,對目的的限制和要求還需企業(yè)能夠真正自律才行,否則以安全目的收集個人信息挪作他用又可能侵犯個人隱私。當然,針對這個問題,研究機構(gòu)和產(chǎn)業(yè)界也在不斷探索更進一步的解決方案,以兼顧賬戶安全和隱私保護。
監(jiān)制丨龔銘
制片人丨陶郎
策劃丨孫詩喬
編輯丨樊景陽段譯
制圖丨馬澤宇
