如果发现手机被盗,你第一时间会怎么做?近日,一名网络安全工程师描述手机被盗后与不法分子周旋的“技术贴”引发网友关注。虽然他在手机失窃后以教科书式的操作试图阻止资金被盗,但还是被手法“专业”的犯罪团伙找到漏洞,结果造成了一系列经济损失。
原文链接:《一部手机失窃而揭露的黑色产业链——完整修订版》
失窃的这位工程师通过切身经历找出了我们日常生活中信息安全的薄弱环节,也对相关机构加强核验工作提出了宝贵意见。在这场对抗中,不法分子是如何获取个人信息并盗刷资金的?短信验证码、人脸识别等信息识别功能安全性有多高?手机被盗后第一时间应采取哪些措施?本期《关键问答》邀请App专项治理工作组专家何延哲为您复盘解读。
答:这起事件中,犯罪分子使用一张手机卡,突破了多个App层层安全措施,直至盗取资金、贷款,侵害了用户财产安全。难得的是,受害者是一位从事网络安全工作的专业人士,他将整个事件清晰地进行了描述,也将犯罪分子使用的手段予以推断和还原。
综合受害者的描述可以看出,整个过程是有严密组织的作案脚本和话术的,所利用的规则和漏洞除了账户找回密码机制的一些缺陷,在手机号解挂的环节还用到了“社会工程”手段——犯罪分子以情侣闹矛盾为借口,联系运营商客服解除了电话卡挂失。犯罪分子已经不是普通的“窃贼”了,而是可以与专业人员相“对抗”的“网络大盗”。
答:从下图我们可以看出,手机号或身份证号验证这种典型的“实名认证”模式,其安全性已经比单纯的“账号+密码”模式更安全。但是因为没有做到“实人认证”,还是无法有效分辨手机号是否为本人使用,安全性还存在不足。
并非没有更加复杂的方法去验证是否为本人操作,只是验证步骤越复杂,收集的用户信息就会越多,用户的使用体验也会随之变差。
答:比“实名认证”更加复杂和难以被破解的,其实还有很多种措施,使用最多的就有数字证书、人脸识别等方式。数字证书大家接触最多的就是下图中的U盾。
而这两年随着技术进步,人脸识别方式得以在手机终端上广泛使用,以应对需要“实人认证”的场景。就其安全性来看,目前用户量高的主流支付类App采用的人脸识别技术都比较成熟,安全系数高,要破解并非易事。这起事件中,受害人最初猜测犯罪分子绕过了支付App的人脸识别系统进行盗刷,但后经受害者本人及支付客户端相关企业予以澄清,人脸识别系统并未被直接突破,而是犯罪分子采取了其它手段。
答:手机失窃后,通过下图中几个操作,事件中的犯罪手段便无法达成。当然,与用户早已习惯且操作方便的手机锁屏不同,SIM卡密码设置本身大家还不熟悉,是不是存在用户遗忘后造成锁机带来不便,或者部分手机操作系统会触发一些反复验证的机制?这都会影响到用户的使用体验。建议在设置SIM卡密码的问题上,运营商及手机操作系统都进一步优化,以便于用户使用该功能。
答:此次事件的典型特点就如受害者所说,犯罪分子利用一个个被App认为是“正常”的操作,利用手机号逐步套取了用户的身份证号、银行卡号等信息,最终完成了整个“拼图”,从而实施了进一步骗取贷款等操作。有黑客就说过,“世界上不存在没有漏洞的系统”,网络安全要做到事事预知、面面俱到、毫无瑕疵几无可能。我们要做的是尽可能在一些细节方面持续加强,与犯罪分子“赛跑”,让作恶的成本不断增加,不给其可乘之机。比如“解除挂失”等关键流程的完善,对于身份证、银行卡号等的展示可以采取一些打码措施等。还可以通过一些高危风险“熔断”机制,“网络保险”等风险转嫁措施全方位保障安全。
答:不断消除App的安全隐患是App运营者理应履行的职责与义务,对此《网络安全法》第十条有明确规定:
对于不能有效履行网络安全义务的,在网信部门统筹协调下,电信主管部门、公安部门等部门开展监督管理工作,其中处罚方式包括责令整改、警告、行政罚款等,情节严重的可责令停业整顿、吊销执照。
其实只要构建较完备的安全技术和管理能力,除非是底层技术缺陷等特殊原因,大的安全漏洞一般不太会出现,或者不太会造成大范围影响,有足够完备的应急和善后措施也是一种重要的履责体现。
答:这个事件之所以让大家感到后怕,是因为大家会想,作为经验丰富的网络安全专家,面对犯罪分子的层层破解尚力不从心,最终也没能阻止犯罪,只能以补救方式止损。那么,对于普通网民岂不任人宰割?
我们不妨从全局分析,此次事件犯罪分子使用的手段,比起以往来看,事实上显得“性价比不高”,也就是说,万一当时受害者挂失成功,运营商没再听信其编造的谎言,后面的事情也就不会发生。犯罪的路径越复杂、越迂回,成功率一定是是越低的。因此,从某种意义上来看,是因为目前网络安全措施普遍有所提升的情况下,迫使犯罪分子想出这个“吃力不讨好的招”,并不代表网络安全真的难以保障,否则,手机失窃案恐怕要大幅度增加了。
其次,从相关数据和舆情来看,此种犯罪方式刚开始出现,还没有大范围发生,受害者从专业角度第一时间向全社会科普,也让有关环节App运营者加强了安全措施,再次降低了出现类似事件的可能性。
网络安全始终是一个黑白不断对抗、攻防不断演化的过程,加强相关宣传教育工作至关重要。面对纷繁复杂的网络空间,作为普通网民,只要学习必要的知识技能、提升安全意识,以不变应万变,做到有效保护自己切身利益并非难事。
答:如何把握“账户安全”和“隐私保护”的平衡,其实也是一个难题。
以收集个人信息为例,其一方面可以为用户提供服务,另一方面也成为追踪、画像、推送的途径,其实还有第三种使用方式,就是安全风控。除了前面提到的人脸识别用于安全风控的案例,事实上现在用的最多的还有“设备唯一识别符”。绝大部分App运营者都是利用其判断是否为常用设备,从而触发进一步验证身份的机制。但是,很多人并不清楚,大家时常看到的App弹窗索要“电话”或“设备信息”权限,其实就是为了收集这个标识符,是与账户安全目的有关联的。除此以外,应用程序列表、粗略地理位置等个人信息都可能用于安全风控。
目前,随着治理深入,用户的选择权越来越多,未经用户同意,这一类信息都不能被收集,大家选择不断关闭权限等收集个人信息渠道的同时,也对安全风控的数据源进行削减,这一点也不得不引人担忧。
在正在制定的国家标准《App收集个人信息基本规范》中,提出了设备唯一标识符可成为最小必要信息,但只能用于安全运营目的。但事实上,对目的的限制和要求还需企业能够真正自律才行,否则以安全目的收集个人信息挪作他用又可能侵犯个人隐私。当然,针对这个问题,研究机构和产业界也在不断探索更进一步的解决方案,以兼顾账户安全和隐私保护。
监制丨龚铭
制片人丨陶郎
策划丨孙诗乔
编辑丨樊景阳 段译
制图丨马泽宇