“被消费”“被贷款”……一部手机失窃遭“盗刷”暴露哪些安全漏洞 _信息安全

新华社北京10月23日电题：“被消费”“被贷款”……一部手机失窃遭“盗刷”暴露哪些安全漏洞？
新华社“新华视点”采访人员吴雨、高亢、张千千
近来，一篇网络文章受广泛关注：一名网友叙述了家人手机遭盗窃后“被消费”“被贷款”的遭遇。文章引发公众对手机失窃可能带来的财产安全问题的担忧。
目前，大部分涉事支付机构已赔付受害人经济损失。工业和信息化部也于日前约谈涉事电信企业相关负责人，并提出对于服务密码重置、解挂等涉及用户身份的敏感环节，要在方便用户办理业务的同时强化安全防护。
“新华视点”采访人员发现，虽然这是一起偶发事件，但暴露出一系列涉及公民个人信息和财产安全的漏洞。
据了解，案件正在进一步调查中。
手机失窃被不法分子进行多笔消费和贷款
据网民“信息安全老骆驼”称，其家人手机失窃后，不法分子利用电信、金融、支付等机构以及互联网金融平台的安全漏洞，新建账户绑定银行卡，几个小时内，便在线办理了贷款，并进行多笔消费。
不法分子是如何利用手机盗取资金的？
“信息安全老骆驼”向采访人员复盘了遭遇“盗刷”的全过程：不法分子取出机主手机卡，将之安装在自己的手机上，通过短信校验的方式，登录了某政务平台App，由此获取了机主的姓名、身份证号、银行卡号等关键个人信息。通过这些关键信息及校验短信，进行服务密码重置，掌握了对手机卡的主动控制权。此后，在支付宝、财付通、苏宁易付宝、京东支付等开立了新账户，绑定机主的银行卡进行消费，并在美团平台申请贷款，造成机主经济损失。
整个过程中，登录政务平台App获取关键信息、绑定银行卡、贷款消费等操作，都是凭借手机短信验证码顺利通关。
采访人员了解到，此案之所以产生如此后果的一个重要原因，在于手机遭窃后机主没有第一时间挂失电话卡，令不法分子有了可乘之机。
专家解释，在电话卡未挂失的近2个小时，由于掌握了机主个人关键信息，不法分子通过手机在线服务，对服务密码进行了重置。这相当于掌握了通信业务办理的主动权，能进行远程解除挂失，还可以利用短信验证登录其他网站和App 。
手机失窃被“盗刷”暴露出哪些安全漏洞？

文章插图
这一网民的遭遇暴露出手机信息安全和支付安全的多个漏洞，引发多方担忧。
——电话卡解除挂失等安全机制有待升级。
据其本人介绍，案发当日，在通过电信客服挂失后不久，他们发现手机卡居然被不法分子解除挂失，仍能使用。双方进行了激烈斗争：挂失、解挂、再挂失、再解挂……来来回回几十次。其间，这张手机卡不断接收消费和贷款的验证短信。
多位业内人士表示，虽然机主手机被盗后未及时挂失电话卡，让不法分子钻了空子，但电信企业的服务密码重置和解挂失等业务规则是否完善、是否充分考虑了机主手机丢失的可能性，值得探讨。
按照中国电信的业务规则，已挂失账户可以通过拨打客服热线、服务密码鉴权后进行解挂。利用机主挂失前的“空档”，不法分子通过机主姓名、身份证号、短信随机码重置了服务密码，掌握了通信业务办理权，多次诱导电信企业客服人员对已挂失的电话卡进行解挂。
电信专家付亮认为，用户反复解除挂失的异常举动，应及时引起电信企业包括客服人员在内的系统的警觉，适当升级安全门槛，而不是依然机械地进行常规操作。