如果發現手機被盜,你第一時間會怎么做?近日,一名網絡安全工程師描述手機被盜后與不法分子周旋的“技術貼”引發網友關注。雖然他在手機失竊后以教科書式的操作試圖阻止資金被盜,但還是被手法“***”的犯罪團伙找到漏洞,結果造成了一系列經濟損失。
原文鏈接:《一部手機失竊而揭露的黑色產業鏈——完整修訂版》
失竊的這位工程師通過切身經歷找出了我們日常生活中信息安全的薄弱環節,也對相關機構加強核驗工作提出了寶貴意見。在這場對抗中,不法分子是如何獲取個人信息并盜刷資金的?短信驗證碼、人臉識別等信息識別功能安全性有多高?手機被盜后第一時間應采取哪些措施?本期《關鍵問答》邀請App專項治理工作組專家何延哲為您復盤解讀。
答:這起事件中,犯罪分子使用一張手機卡,突破了多個App層層安全措施,直至盜取資金、貸款,侵害了用戶財產安全。難得的是,受害者是一位從事網絡安全工作的***人士,他將整個事件清晰地進行了描述,也將犯罪分子使用的手段予以推斷和還原。
綜合受害者的描述可以看出,整個過程是有嚴密組織的作案腳本和話術的,所利用的規則和漏洞除了賬戶找回密碼機制的一些缺陷,在手機號解掛的環節還用到了“社會工程”手段——犯罪分子以情侶鬧矛盾為借口,聯系運營商客服解除了***卡掛失。犯罪分子已經不是普通的“竊賊”了,而是可以與***人員相“對抗”的“網絡大盜”。
答:從下圖我們可以看出,手機號或***號驗證這種典型的“實名認證”模式,其安全性已經比單純的“賬號+密碼”模式更安全。但是因為沒有做到“實人認證”,還是無法有效分辨手機號是否為本人使用,安全性還存在不足。
并非沒有更加復雜的***去驗證是否為本人操作,只是驗證步驟越復雜,收集的用戶信息就會越多,用戶的使用體驗也會隨之變差。
答:比“實名認證”更加復雜和難以被破解的,其實還有很多種措施,使用最多的就有數字證書、人臉識別等方式。數字證書大家接觸最多的就是下圖中的U盾。
而這兩年隨著技術進步,人臉識別方式得以在手機終端上廣泛使用,以應對需要“實人認證”的場景。就其安全性來看,目前用戶量高的主流支付類App采用的人臉識別技術都比較成熟,安全系數高,要破解并非易事。這起事件中,受害人最初猜測犯罪分子繞過了支付App的人臉識別系統進行盜刷,但后經受害者本人及支付客戶端相關企業予以澄清,人臉識別系統并未被直接突破,而是犯罪分子采取了其它手段。
答:手機失竊后,通過下圖中幾個操作,事件中的犯罪手段便無法達成。當然,與用戶早已習慣且操作方便的手機鎖屏不同,SIM卡密碼設置本身大家還不熟悉,是不是存在用戶遺忘后造成鎖機帶來不便,或者部分手機操作系統會觸發一些反復驗證的機制?這都會影響到用戶的使用體驗。建議在設置SIM卡密碼的問題上,運營商及手機操作系統都進一步優化,以便于用戶使用該功能。
答:此次事件的典型特點就如受害者所說,犯罪分子利用一個個被App認為是“正常”的操作,利用手機號逐步套取了用戶的***號、銀行卡號等信息,最終完成了整個“拼圖”,從而實施了進一步騙取貸款等操作。有***就說過,“世界上不存在沒有漏洞的系統”,網絡安全要做到事事預知、面面俱到、毫無瑕疵幾無可能。我們要做的是盡可能在一些細節方面持續加強,與犯罪分子“賽跑”,讓作惡的成本不斷增加,不給其可乘之機。比如“解除掛失”等關鍵流程的完善,對于***號、銀行卡號等的展示可以采取一些打碼措施等。還可以通過一些高危風險“熔斷”機制,“網絡保險”等風險轉嫁措施全方位保障安全。
答:不斷消除App的安全隱患是App運營者理應履行的職責與義務,對此《網絡安全法》第十條有明確規定:
對于不能有效履行網絡安全義務的,在網信部門統籌協調下,電信主管部門、***部門等部門開展監督管理工作,其中處罰方式包括責令整改、警告、行政罰款等,情節嚴重的可責令停業整頓、吊銷執照。
其實只要構建較完備的安全技術和管理能力,除非是底層技術缺陷等特殊原因,大的安全漏洞一般不太會出現,或者不太會造成大范圍影響,有足夠完備的應急和善后措施也是一種重要的履責體現。
答:這個事件之所以讓大家感到后怕,是因為大家會想,作為經驗豐富的網絡安全專家,面對犯罪分子的層層破解尚力不從心,最終也沒能阻止犯罪,只能以補救方式止損。那么,對于普通網民豈不任人宰割?
我們不妨從全局分析,此次事件犯罪分子使用的手段,比起以往來看,事實上顯得“性價比不高”,也就是說,萬一當時受害者掛失成功,運營商沒再聽信其編造的謊言,后面的事情也就不會發生。犯罪的路徑越復雜、越迂回,成功率一定是越低的。因此,從某種意義上來看,是因為目前網絡安全措施普遍有所提升的情況下,迫使犯罪分子想出這個“吃力不討好的招”,并不代表網絡安全真的難以保障,否則,手機失竊案恐怕要大幅度增加了。
其次,從相關數據和輿情來看,此種犯罪方式剛開始出現,還沒有大范圍發生,受害者從***角度第一時間向全社會科普,也讓有關環節App運營者加強了安全措施,再次降低了出現類似事件的可能性。
網絡安全始終是一個黑白不斷對抗、攻防不斷演化的過程,加強相關宣傳教育工作至關重要。面對紛繁復雜的網絡空間,作為普通網民,只要學習必要的知識技能、提升安全意識,以不變應萬變,做到有效保護自己切身利益并非難事。
答:如何把握“賬戶安全”和“隱私保護”的平衡,其實也是一個難題。
以收集個人信息為例,其一方面可以為用戶提供服務,另一方面也成為追蹤、畫像、推送的途徑,其實還有第三種使用方式,就是安全風控。除了前面提到的人臉識別用于安全風控的案例,事實上現在用的最多的還有“設備唯一識別符”。絕大部分App運營者都是利用其判斷是否為常用設備,從而觸發進一步驗證身份的機制。但是,很多人并不清楚,大家時常看到的App彈窗索要“***”或“設備信息”權限,其實就是為了收集這個標識符,是與賬戶安全目的有關聯的。除此以外,應用程序列表、粗略地理位置等個人信息都可能用于安全風控。
目前,隨著治理深入,用戶的選擇權越來越多,未經用戶同意,這一類信息都不能被收集,大家選擇不斷關閉權限等收集個人信息渠道的同時,也對安全風控的數據源進行削減,這一點也不得不引人擔憂。
在正在制定的國家標準《App收集個人信息基本規范》中,提出了設備唯一標識符可成為最小必要信息,但只能用于安全運營目的。但事實上,對目的的限制和要求還需企業能夠真正自律才行,否則以安全目的收集個人信息挪作他用又可能侵犯個人隱私。當然,針對這個問題,研究機構和產業界也在不斷探索更進一步的解決方案,以兼顧賬戶安全和隱私保護。
監制丨龔銘
制片人丨陶郎
策劃丨孫詩喬
編輯丨樊景陽段譯
制圖丨馬澤宇
