“被消费”“被贷款”……手机失窃遭“盗刷”暴露哪些安全漏洞？

近来，一篇网络文章受到广泛关注：一名网友叙述了家人手机遭盗窃后“被消费”“被贷款”的遭遇。虽然这是一起偶发事件，但暴露出一系列涉及公民个人信息和财产安全的漏洞。

目前，大部分涉事支付机构已赔付受害人经济损失。工业和信息化部也于日前约谈涉事电信企业相关负责人，并提出对于服务密码重置、解挂等涉及用户身份的敏感环节，要在方便用户办理业务的同时强化安全防护。案件正在进一步调查中。

回放：不法分子利用安全漏洞盗刷

据网民“信息安全老骆驼”称，其家人手机失窃后，不法分子利用电信、金融、支付等机构以及互联网金融平台的安全漏洞，新建账户绑定银行卡，几个小时内，便在线办理了贷款，并进行多笔消费。

“信息安全老骆驼”复盘了遭遇“盗刷”的全过程：不法分子取出机主手机卡，将之安装在自己的手机上，通过短信校验的方式，登录了某政务平台APP，由此获取了机主的姓名、身份证号、银行卡号等关键个人信息。通过这些关键信息及校验短信，进行服务密码重置，掌握了对手机卡的主动控制权。此后，在支付宝、财付通、苏宁易付宝、京东支付等开立了新账户，绑定机主的银行卡进行消费，并在美团平台申请贷款，造成机主经济损失。

整个过程中，登录政务平台APP获取关键信息、绑定银行卡、贷款消费等操作，都是凭借手机短信验证码顺利通关。

记者了解到，此案之所以产生如此后果的一个重要原因，在于手机遭窃后机主没有第一时间挂失电话卡，令不法分子有了可乘之机。

专家解释，在电话卡未挂失的近两个小时内，由于掌握了机主个人关键信息，不法分子通过手机在线服务，对服务密码进行了重置。这相当于掌握了通信业务办理的主动权，能进行远程解除挂失，还可以利用短信验证登录其他网站和APP。

漏洞：金融平台安全验证普遍不足

这一网民的遭遇暴露出手机信息安全和支付安全的多个漏洞，引发多方担忧。

——电话卡解除挂失等安全机制有待升级。

据其本人介绍，案发当日，在通过电信客服挂失后不久，他们发现手机卡居然被不法分子解除挂失，仍能使用。双方进行了激烈斗争：挂失、解挂、再挂失、再解挂……来来回回几十次。其间，这张手机卡不断接收消费和贷款的验证短信。

多位业内人士表示，虽然机主手机被盗后未及时挂失电话卡，让不法分子钻了空子，但电信企业的服务密码重置和解挂失等业务规则是否完善、是否充分考虑了机主手机丢失的可能性，值得探讨。

电信专家付亮认为，用户反复解除挂失的异常举动，应及时引起电信企业包括客服人员在内的系统的警觉，适当升级安全门槛，而不是依然机械地进行常规操作。

——校验手段普遍不足，风控水平参差不齐。

目前，虽然监管部门对于支付机构开户身份的安全验证有相关规定，但部分机构执行打了折扣。

记者调查发现，不少金融平台和支付机构开立账户或绑定银行卡的流程较为简单，一些机构在授信流程中，只增加了银行短信校验或者公安网校验，就顺利放款。在此案中，不法分子通过机主的银行卡号、身份证号、姓名、银行预留手机号等信息，加上短信验证，就在美团平台上办理了贷款业务，并很快将贷款通过新开立的支付账户消费掉了。

与此同时，一些平台和机构风控水平不过硬。从网民“信息安全老骆驼”家人的遭遇来看，同样在凌晨三四时，有的支付系统风控成功识别了异常交易并进行阻断，有的则通过了不法分子的贷款申请，有的支持了不法分子数笔绑卡消费。

——个人敏感信息保护不力。

该案中，不法分子通过短信验证的方式便登录了某政务平台APP，获取机主的重要信息如探囊取物一般。

业内专家表示，身份证信息和银行卡信息属于个人敏感信息，一旦遭泄露后果严重。身份验证要强化甄别“确为本人意愿”，如借助人脸识别等方式提高验证门槛。

此外，一些通信行业人士表示，一些无良手机APP过度收集个人信息，也为个人信息安全埋下隐患，一旦APP被侵入就会造成严重信息泄露。在公安部组织开展的“净网2019”专项行动中，被查处的违法违规采集个人信息的APP就多达683款，其中不乏知名企业。

应对：丢手机后第一时间挂失SIM卡

事件曝光后，大部分涉事的平台和支付机构消除了受害人的贷款记录，并赔付了损失。针对电信企业存在的漏洞，工业和信息化部日前约谈了此次涉事电信企业相关负责人，并对三家基础电信企业提出要求，对于服务密码重置、解挂等涉及用户身份的敏感环节，在方便用户办理业务的同时要强化安全防护，加强客服人员风险防范意识培训，警惕业务异常办理行为。

中国电信相关人员表示，为进一步防范此类风险，将强化和规范挂失、解挂、呼转等业务的鉴权方式和流程，增加技术核验手段，提高服务人员风险防范意识，对频繁办理业务的行为加强监控，对异常行为进行限制和升级操作授权。

“无论是支付业务还是其他金融业务，都应该把安全性放在第一位，其次才是便捷性。”国家金融与发展实验室特聘研究员董希淼表示，非银支付机构及互联网金融公司担负着数以亿计用户的财产安全，有责任不断加强风险防控。针对手机失窃这种情况，金融机构应该考虑得更全面些，不光要“实名认证”更要“实人认证”。

此外，付亮说，相关单位和企业应及时对用户数据进行脱敏处理，按照最小必要原则收集、存储、使用，并注意分级分类保存。

普通民众如果手机被盗或遗失，应如何保护个人信息和财产安全？专家提示：

——第一时间致电手机运营商挂失SIM卡，以免不法分子利用“时间差”窃取个人信息。

——尽快致电银行冻结手机网银，只要办过银行卡的银行都要覆盖到，不要给不法分子留下可乘之机。

——对支付宝、微信等具有金融功能的应用及时进行冻结，且密切关注账户服务和资金变动。

——通知亲朋好友手机遗失，让他们不要轻易相信陌生人打来的电话或发来的信息。

——如果发现异常的资金使用情况，及时拨打110报警电话报案。

（新华社）

延伸

工信部喊你设SIM卡密码

针对近日网民曝光的“手机失窃遭盗刷”事件，工业和信息化部及时组织核查处理了此事，并提醒广大用户及时设置SIM卡密码，在丢失手机后应第一时间挂失，强化安全风险意识。

什么是SIM卡密码？SIM卡密码就是PIN码，是运营商提供的针对SIM卡的安全设置，也是SIM卡的个人识别密码。

一般而言，第一次使用PIN码时，需要输入PIN码的原始密码。当设置了PIN码后，手机每次开机将会自动提示需输入PIN码进行解锁。

为什么要设置PIN码？如果设置了PIN码，手机启动时只有输入正确的PIN码，手机卡才能正常使用，否则不能拨打、接听电话，也不能收发短信。若输入PIN码错误三次，手机便会自动锁卡。当手机丢失或被盗后，没有及时挂失SIM卡时，不法分子将不能通过“手机号+验证码”弱验证方式，获得手机里的个人信息和个人财产。

怎么设置PIN码？针对安卓系统，用户可点击设置，选择安全选项——点击更多安全设置——选择加密和凭据——点击锁定SIM卡按钮——第一次设置密码时需先输入原始默认的PIN码（一般为“1234”或“0000”）——输入个人四位密码后即设置成功。

针对IOS系统，用户可点击设置——蜂窝网络——选择设置SIM卡PIN码——滑动按钮进行设置密码——当第一次设置密码时需先输入原始默认的PIN码（一般为“1234”或“0000”）——输入个人四位密码后即设置成功。

另外需要提醒的是，若个人忘记SIM卡密码或者不小心将SIM卡锁住，可致电运营商通过信息核对等方式获取一个PUK码。正确输入PUK码后，可重新设置PIN码。若PUK码输错10次，SIM卡将启动自毁程序。  （据央视）

评论

网络支付安全为先

以前手机丢了，损失的只是一部手机。如今手机丢了，却可能赔上全部身家，甚至背上贷款。前不久，一位网友家人手机被盗后的一连串遭遇引起热议。不法分子利用机主手机卡，进行一系列操作就能绑定机主银行卡办理贷款，进行充值和消费。

这一事件再度将互联网金融安全问题拉回公众面前。数据显示，今年二季度，非银行支付机构处理网络支付业务2035.08亿笔，金额高达70.22万亿元。在网络支付、借贷、消费驶入“快车道”的今天，非银行支付机构和互联网金融平台怎样系紧风控“安全带”，保障庞大的网络支付安全，事关金融安全和行业未来发展。

当下，“弱验证”成为互联网金融安全的一大隐患。为了提高便捷性，快速绑卡、一键注册等操作应运而生，认证方式上人脸识别等验证手段优先级下降。如果仅凭身份证、短信验证码、银行卡号等信息就支持用户进行各类操作，很可能导致在识别认证的过程中，“个人信息”代替“真人”做决定，严重威胁账户安全。对互联网金融而言，安全性是底线，便捷性是锦上添花。没有安全的便捷，只会给不法分子留下漏洞与可乘之机。

面对不法分子技术不断升级、手段花样翻新，频频冲击互联网安全防线，平台筑牢风控“盾牌”绝不应该成为一句空话。通过优化算法、主动排查等积极有效的手段，永远跑在前面堵住漏洞，保护好用户的“钱袋子”，这是平台应尽的义务。

（新华社）