如果發(fā)現(xiàn)手機(jī)被盜,你第一時(shí)間會(huì)怎么做?近日,一名網(wǎng)絡(luò)安全工程師描述手機(jī)被盜后與不法分子周旋的“技術(shù)貼”引發(fā)網(wǎng)友關(guān)注。雖然他在手機(jī)失竊后以教科書式的操作試圖阻止資金被盜,但還是被手法“***”的犯罪團(tuán)伙找到漏洞,結(jié)果造成了一系列經(jīng)濟(jì)損失。
原文鏈接:《一部手機(jī)失竊而揭露的黑色產(chǎn)業(yè)鏈——完整修訂版》
失竊的這位工程師通過(guò)切身經(jīng)歷找出了我們?nèi)粘I钪行畔踩谋∪醐h(huán)節(jié),也對(duì)相關(guān)機(jī)構(gòu)加強(qiáng)核驗(yàn)工作提出了寶貴意見。在這場(chǎng)對(duì)抗中,不法分子是如何獲取個(gè)人信息并盜刷資金的?短信驗(yàn)證碼、人臉識(shí)別等信息識(shí)別功能安全性有多高?手機(jī)被盜后第一時(shí)間應(yīng)采取哪些措施?本期《關(guān)鍵問(wèn)答》邀請(qǐng)App專項(xiàng)治理工作組專家何延哲為您復(fù)盤解讀。
答:這起事件中,犯罪分子使用一張手機(jī)卡,突破了多個(gè)App層層安全措施,直至盜取資金、貸款,侵害了用戶財(cái)產(chǎn)安全。難得的是,受害者是一位從事網(wǎng)絡(luò)安全工作的***人士,他將整個(gè)事件清晰地進(jìn)行了描述,也將犯罪分子使用的手段予以推斷和還原。
綜合受害者的描述可以看出,整個(gè)過(guò)程是有嚴(yán)密組織的作案腳本和話術(shù)的,所利用的規(guī)則和漏洞除了賬戶找回密碼機(jī)制的一些缺陷,在手機(jī)號(hào)解掛的環(huán)節(jié)還用到了“社會(huì)工程”手段——犯罪分子以情侶鬧矛盾為借口,聯(lián)系運(yùn)營(yíng)商客服解除了***卡掛失。犯罪分子已經(jīng)不是普通的“竊賊”了,而是可以與***人員相“對(duì)抗”的“網(wǎng)絡(luò)大盜”。
答:從下圖我們可以看出,手機(jī)號(hào)或***號(hào)驗(yàn)證這種典型的“實(shí)名認(rèn)證”模式,其安全性已經(jīng)比單純的“賬號(hào)+密碼”模式更安全。但是因?yàn)闆]有做到“實(shí)人認(rèn)證”,還是無(wú)法有效分辨手機(jī)號(hào)是否為本人使用,安全性還存在不足。
并非沒有更加復(fù)雜的***去驗(yàn)證是否為本人操作,只是驗(yàn)證步驟越復(fù)雜,收集的用戶信息就會(huì)越多,用戶的使用體驗(yàn)也會(huì)隨之變差。
答:比“實(shí)名認(rèn)證”更加復(fù)雜和難以被破解的,其實(shí)還有很多種措施,使用最多的就有數(shù)字證書、人臉識(shí)別等方式。數(shù)字證書大家接觸最多的就是下圖中的U盾。
而這兩年隨著技術(shù)進(jìn)步,人臉識(shí)別方式得以在手機(jī)終端上廣泛使用,以應(yīng)對(duì)需要“實(shí)人認(rèn)證”的場(chǎng)景。就其安全性來(lái)看,目前用戶量高的主流支付類App采用的人臉識(shí)別技術(shù)都比較成熟,安全系數(shù)高,要破解并非易事。這起事件中,受害人最初猜測(cè)犯罪分子繞過(guò)了支付App的人臉識(shí)別系統(tǒng)進(jìn)行盜刷,但后經(jīng)受害者本人及支付客戶端相關(guān)企業(yè)予以澄清,人臉識(shí)別系統(tǒng)并未被直接突破,而是犯罪分子采取了其它手段。
答:手機(jī)失竊后,通過(guò)下圖中幾個(gè)操作,事件中的犯罪手段便無(wú)法達(dá)成。當(dāng)然,與用戶早已習(xí)慣且操作方便的手機(jī)鎖屏不同,SIM卡密碼設(shè)置本身大家還不熟悉,是不是存在用戶遺忘后造成鎖機(jī)帶來(lái)不便,或者部分手機(jī)操作系統(tǒng)會(huì)觸發(fā)一些反復(fù)驗(yàn)證的機(jī)制?這都會(huì)影響到用戶的使用體驗(yàn)。建議在設(shè)置SIM卡密碼的問(wèn)題上,運(yùn)營(yíng)商及手機(jī)操作系統(tǒng)都進(jìn)一步優(yōu)化,以便于用戶使用該功能。
答:此次事件的典型特點(diǎn)就如受害者所說(shuō),犯罪分子利用一個(gè)個(gè)被App認(rèn)為是“正常”的操作,利用手機(jī)號(hào)逐步套取了用戶的***號(hào)、銀行卡號(hào)等信息,最終完成了整個(gè)“拼圖”,從而實(shí)施了進(jìn)一步騙取貸款等操作。有***就說(shuō)過(guò),“世界上不存在沒有漏洞的系統(tǒng)”,網(wǎng)絡(luò)安全要做到事事預(yù)知、面面俱到、毫無(wú)瑕疵幾無(wú)可能。我們要做的是盡可能在一些細(xì)節(jié)方面持續(xù)加強(qiáng),與犯罪分子“賽跑”,讓作惡的成本不斷增加,不給其可乘之機(jī)。比如“解除掛失”等關(guān)鍵流程的完善,對(duì)于***號(hào)、銀行卡號(hào)等的展示可以采取一些打碼措施等。還可以通過(guò)一些高危風(fēng)險(xiǎn)“熔斷”機(jī)制,“網(wǎng)絡(luò)保險(xiǎn)”等風(fēng)險(xiǎn)轉(zhuǎn)嫁措施全方位保障安全。
答:不斷消除App的安全隱患是App運(yùn)營(yíng)者理應(yīng)履行的職責(zé)與義務(wù),對(duì)此《網(wǎng)絡(luò)安全法》第十條有明確規(guī)定:
對(duì)于不能有效履行網(wǎng)絡(luò)安全義務(wù)的,在網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下,電信主管部門、***部門等部門開展監(jiān)督管理工作,其中處罰方式包括責(zé)令整改、警告、行政罰款等,情節(jié)嚴(yán)重的可責(zé)令停業(yè)整頓、吊銷執(zhí)照。
其實(shí)只要構(gòu)建較完備的安全技術(shù)和管理能力,除非是底層技術(shù)缺陷等特殊原因,大的安全漏洞一般不太會(huì)出現(xiàn),或者不太會(huì)造成大范圍影響,有足夠完備的應(yīng)急和善后措施也是一種重要的履責(zé)體現(xiàn)。
答:這個(gè)事件之所以讓大家感到后怕,是因?yàn)榇蠹視?huì)想,作為經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專家,面對(duì)犯罪分子的層層破解尚力不從心,最終也沒能阻止犯罪,只能以補(bǔ)救方式止損。那么,對(duì)于普通網(wǎng)民豈不任人宰割?
我們不妨從全局分析,此次事件犯罪分子使用的手段,比起以往來(lái)看,事實(shí)上顯得“性價(jià)比不高”,也就是說(shuō),萬(wàn)一當(dāng)時(shí)受害者掛失成功,運(yùn)營(yíng)商沒再聽信其編造的謊言,后面的事情也就不會(huì)發(fā)生。犯罪的路徑越復(fù)雜、越迂回,成功率一定是越低的。因此,從某種意義上來(lái)看,是因?yàn)槟壳熬W(wǎng)絡(luò)安全措施普遍有所提升的情況下,迫使犯罪分子想出這個(gè)“吃力不討好的招”,并不代表網(wǎng)絡(luò)安全真的難以保障,否則,手機(jī)失竊案恐怕要大幅度增加了。
其次,從相關(guān)數(shù)據(jù)和輿情來(lái)看,此種犯罪方式剛開始出現(xiàn),還沒有大范圍發(fā)生,受害者從***角度第一時(shí)間向全社會(huì)科普,也讓有關(guān)環(huán)節(jié)App運(yùn)營(yíng)者加強(qiáng)了安全措施,再次降低了出現(xiàn)類似事件的可能性。
網(wǎng)絡(luò)安全始終是一個(gè)黑白不斷對(duì)抗、攻防不斷演化的過(guò)程,加強(qiáng)相關(guān)宣傳教育工作至關(guān)重要。面對(duì)紛繁復(fù)雜的網(wǎng)絡(luò)空間,作為普通網(wǎng)民,只要學(xué)習(xí)必要的知識(shí)技能、提升安全意識(shí),以不變應(yīng)萬(wàn)變,做到有效保護(hù)自己切身利益并非難事。
答:如何把握“賬戶安全”和“隱私保護(hù)”的平衡,其實(shí)也是一個(gè)難題。
以收集個(gè)人信息為例,其一方面可以為用戶提供服務(wù),另一方面也成為追蹤、畫像、推送的途徑,其實(shí)還有第三種使用方式,就是安全風(fēng)控。除了前面提到的人臉識(shí)別用于安全風(fēng)控的案例,事實(shí)上現(xiàn)在用的最多的還有“設(shè)備唯一識(shí)別符”。絕大部分App運(yùn)營(yíng)者都是利用其判斷是否為常用設(shè)備,從而觸發(fā)進(jìn)一步驗(yàn)證身份的機(jī)制。但是,很多人并不清楚,大家時(shí)常看到的App彈窗索要“***”或“設(shè)備信息”權(quán)限,其實(shí)就是為了收集這個(gè)標(biāo)識(shí)符,是與賬戶安全目的有關(guān)聯(lián)的。除此以外,應(yīng)用程序列表、粗略地理位置等個(gè)人信息都可能用于安全風(fēng)控。
目前,隨著治理深入,用戶的選擇權(quán)越來(lái)越多,未經(jīng)用戶同意,這一類信息都不能被收集,大家選擇不斷關(guān)閉權(quán)限等收集個(gè)人信息渠道的同時(shí),也對(duì)安全風(fēng)控的數(shù)據(jù)源進(jìn)行削減,這一點(diǎn)也不得不引人擔(dān)憂。
在正在制定的國(guó)家標(biāo)準(zhǔn)《App收集個(gè)人信息基本規(guī)范》中,提出了設(shè)備唯一標(biāo)識(shí)符可成為最小必要信息,但只能用于安全運(yùn)營(yíng)目的。但事實(shí)上,對(duì)目的的限制和要求還需企業(yè)能夠真正自律才行,否則以安全目的收集個(gè)人信息挪作他用又可能侵犯?jìng)€(gè)人隱私。當(dāng)然,針對(duì)這個(gè)問(wèn)題,研究機(jī)構(gòu)和產(chǎn)業(yè)界也在不斷探索更進(jìn)一步的解決方案,以兼顧賬戶安全和隱私保護(hù)。
監(jiān)制丨龔銘
制片人丨陶郎
策劃丨孫詩(shī)喬
編輯丨樊景陽(yáng)段譯
制圖丨馬澤宇
