网上支付依赖“短信验证”存隐患 信息安全保护需重视

2020-10-22 08:23:02   来源:人民网

近日,有网友将自己手机失窃后遭遇的一系列个人信息被盗用的经历写成文章,刷屏朋友圈,引发热议。

文章中,用户手机被盗后未及时挂失电话卡,给不法分子留下了钻空子的空间,不法分子通过“手机号+验证码”弱验证方式获取某政务APP中用户身份证号等个人重要信息,利用用户个人信息更改了手机服务密码,利用话术欺骗诱导电信企业客服人员将已挂失的电话卡进行解挂,利用部分网贷平台“找回用户密码”漏洞重置用户支付密码骗取网贷资金,最终造成用户财产损失。

值得注意的是,当前,使用手机短信验证码验证用户身份的技术,被广泛应用于银行金融、社交媒体、电子商务等各类移动APP服务。然而短信作为一种2G网络的通信方式,其本身安全防护等级并不高。

对此,工信部近日发文表示,建议相关单位和企业及时对数据进行脱敏处理,并建议相关行业按照最小必要原则收集、存储、使用用户个人信息,对已收集存储的用户个人信息分级分类妥善保存。同时,工信部也提醒广大用户及时设置SIM卡密码,在丢失手机后应第一时间挂失,强化安全风险意识。

相关业内专家在接受人民网IT频道采访时指出,这一事件也暴露了目前网上APP、支付等环节过于依赖“短信验证”这一安全短板。基于2G网络的短信安全验证犹如“沙滩上的堡垒”,便捷之外存有安全隐患,网上支付平台、APP服务提供商应尽快堵住这一安全短板,完善用户身份验证措施,以确保用户个人信息和财产的安全。

网上支付依赖“短信验证”存隐患

当前,手机已成为许多人生活工作必备品,承载了手机号码、银行卡信息、社交媒体账号信息等诸多个人信息,手机对保护个人信息安全的重要性日益突出。

虽然手机丢失只是极小概率的事件,但是也给个人信息安全保护敲响了警钟。

随着移动支付的普及,“短信验证”是目前最便捷的验证方式,人们只需要在手机上操作,就可以便捷快速地完成开通业务、支付款项等活动。然而,科技的进步带来的不仅是便捷,还有安全隐患。因此手机短信验证码已被广泛应用于各类移动应用、网站服务。用户可以通过短信验证码进行修改密码、修改绑定邮箱等敏感操作。

同时,短信验证码也能让用户不输账号密码直接登陆。目前大多数APP,在掌握手机号码的前提下,都可以无密码登陆。手机只要收到系统发送的验证码,就可以快速登陆。

对手机用户来说,一旦短信验证码内容被外泄,不法分子就可以利用获取的用户手机号码和验证码登录个人账户,用户会面临个人信息泄露甚至财产损失的风险。

360安全研究员俞奎认为,从研究所得的短信验证码多个攻击角度来看,在这个案例中,存在漏洞的实体均没有考虑手机号验证的可信问题,即平台验证的是设备,设备在谁手中,谁就是设备的“主人”,“这种情况下,一旦手机丢失、手机卡落到不法分子手中,或手机短信验证码被劫持,就可能存在身份被冒用、资金盗刷的情况”。

独立电信分析师付亮认为,基于2G网络的短信安全验证犹如“沙滩上的堡垒”,便捷之外存有安全隐患,网上支付平台、APP服务提供商应尽快堵住这一安全短板,完善用户身份验证措施,以确保用户个人信息和财产的安全。

人民网IT频道在采访过程中,多位来自通信、安全领域的业内人士均表示,目前涉及到支付确认、修改支付密码等高度涉及用户资金安全的验证时,如果仅仅是依靠短信验证码来确认用户身份,具有一定的安全隐患,希望有关部门及网上支付平台重视这个问题,尤其是网上支付平台不能为了便捷而牺牲用户的资金安全。

从技术上来说,2G的GSM网络使用单向鉴权技术,且短信内容以明文形式传输,该缺陷由GSM设计造成,且GSM网络覆盖范围广,因此修复难度大、成本高。

更重要的是,对于网上支付平台来说,除了短信验证之外,在涉及大额支付及修改用户交易密码等关键环节,增加新的验证手段,比如引入指纹、人脸识别等方式,也刻不容缓。

用户身份信息保护机制仍待完善

在这起案件中,不法分子在失主挂失电话卡后,利用话术欺骗诱导电信企业客服人员将已挂失的电话卡进行解挂,从而获取了某些APP的短信验证码。

工信部对此强调,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,在方便用户办理业务的同时强化安全防护,加强客服人员风险防范意识培训,警惕业务异常办理行为。

人民网记者从中国电信了解到,目前,丢失手机所属地运营商四川电信,已经取消了电话解挂的方式。

中国联通则表示,为了保障用户的信息安全和财产安全,将强化现有解挂流程的身份认证。未来,用户办理挂失业务后,可通过两种方式办理解挂,一是携带有效证件到营业厅办理解挂业务,二是通过人证一致的活体认证后在手厅进行解挂操作。

同时,中国联通现阶段暂时关闭手厅、10010人工和智能客服等渠道的解挂操作,号码登记人需要携带本人有效身份证件至联通营业厅核验身份信息后补卡或解除挂失;用户仍可通过营业厅、手厅、10010等渠道便捷挂失。

据了解,为方便异地用户,中国联通已实现跨域服务,在异地的联通自有营业厅也可提供补卡/解挂失服务,用户可以选择就近联通自有营业厅进行办理。

中国移动表示,将按工信部要求,优化客户服务密码重置、解挂流程,在涉及用户身份的敏感环节强化安全防护,加快应用远程人像比对身份鉴权,保障客户办理便捷性和安全性,并进一步强化信息安全防范意识宣传,做好同类场景的客户沟通和风险提示。

互联网企业应承担更大安全责任

针对短信验证带来的安全隐患,全国信息安全标准化技术委员会在2018年2月曾联合多家单位发布了《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,明确指出了基于短信验证码实现身份验证的安全风险现状、困难点,并给出了目前专家们认为可行的方案。

《安全指南》建议,各移动应用、网站服务提供商对业务系统中短信验证码的使用方式进行摸底,例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况,并评估相关安全风险,优化用户身份验证措施。建议采用多种方式组合,加强安全性。

这份指南同时强调,个人用户应做好手机号、身份证号、银行卡号、支付平台账号等敏感信息的保护。在收到来历不明的短信验证码等异常情况时,提高警惕,及时联系相关移动应用、网站服务提供商。

专家提出,面对层出不穷的网络攻击技术,互联网企业更应该有所行动,加强风险防范,承担起更大的责任。

对此,人民网IT频道采访了微信、京东金融等互联网企业。微信官方表示,目前微信具有“帐号保护”机制、紧急冻结功能,以及防诈骗提醒机制;同时微信支付具有一整套的安全机制和手段,包括:钱包锁、支付密码验证、终端异常判断、交易异常实时监控、交易拦截等。若用户不慎丢失手机,应该第一时间拨打微信支付客服专线“95017”转9键自助冻结账户支付能力,可有效避免资金损失。

京东金融方面表示,建议用户及时拨打京东金融官方客服电话:95118,与官方客服取得联系,在核实身份信息后,为用户提供止付等动作,协助用户降低资金被盗风险,避免资金损失。

俞奎则建议,针对这起案例中出现的情况,从攻击角度来看,作为用户可以通过以下几个层面来安全防护:

1、给手机SIM卡设置密码,防止手机丢失后,手机卡被盗用。

2、手机丢失后,及时联系运营商挂失手机卡,防止手机丢失后,手机卡被盗用。

3、给手机设置复杂的解锁密码(超过6位的数字+字母),防止手机锁屏密码短期内被破解。

4、给手机应用设置安全锁,防止他人获得手机应用内信息。

太原申报2022年“东亚文化之都” 进入验收环节

热点

山西省太原市文化和旅游局12日对外发布消息称,根据文化和旅游部消息,经评审,太原市与浙江省温州市,山东省济南市、烟台市、淄博市进入20

今年春运人口流动规模将显著低于常年

热点

12日,中国国家发改委联合多部门发布《关于做好2021年春运工作和加强春运疫情防控的意见》(下称:意见)。意见指出,经会商研判,2021年春运

山西全面落实心脏冠脉支架集采价格 均价从1.3万降至700元

热点

记者5日晚从山西省医保局获悉,自2021年1月1日起,山西全面联动落实国家组织心脏冠脉支架集采价格,支架价格从均价1 3万元左右下降至700元

2020广州国际时尚产业大会开幕

热点

以时尚之都·魅力广州为主题的2020广州国际时尚产业大会4日开幕。为期两天的时间里,海内外时尚力量将汇聚羊城,展示千年商都时尚魅力。时

郑太高铁全线正式开始试运行

热点

20日6时55分,随着D55562次高速列车从郑州站开出驶向太原南站,郑太高铁全线正式开始按图试运行。郑太高铁位于河南省与山西省境内,包括已

云南国际人才交流会:采用“线上+线下”双线融合模式

热点

第五届云南国际人才交流会20日在云南昆明启动。大会首次采用线上+线下双线融合的模式举办,并开通网络招聘会等平台,面向南亚东南亚招才引

中央气象台发布今年首个暴雪橙色预警

热点

18日早晨,中央气象台发布今年首个暴雪橙色预警:今天(18日)是本轮中东部地区雨雪天气的最强时段,未来24小时,黑龙江东南部、吉林西部和北

“100+N”开放协同创新体系建设会议在北京召开

热点

11月15日,由科技部农村中心和中国农业机械化科学研究院共同主办的100+N开放协同创新体系建设会议在京召开。科技部农村中心主任邓小明表示

专家提出:应把积极应对人口老龄化融入所有政策

热点

十四五规划建议提出实施积极应对人口老龄化国家战略。在中国老龄科学研究中心14日就这一议题举行的座谈会上,不少专家提出,应把积极应对人

太原地铁2号线模拟运行:寻求城市更新和传承文脉的平衡

热点

明代太原府城镇远桥遗址馆与地铁2号线同步建设,实现桥站共生。 李新锁 摄山西太原有2500年建城史,历史上曾七次为都。初冬,太原老城区

近期持续强降雨影响 第46届武汉渡江节因长江水位过高取消

武汉7·16渡江节组委会14日发布公告,由于长江武汉关水位超警戒水位,按照规定取消2020年第46届武汉7·16渡江节。受近期持续强降雨影响,

“非遗”普及受众最看重“动手”参观大师工作室非常享受

过去一段时间,国家级非遗项目灰塑传承人邵成村,多次在陈家祠等工作现场,向身边那些带着好奇目光的人们讲解灰塑的种种技术细节:草根灰、

璧山冷酒夜市 丰富市民夜间文旅活动

7月13日,位于璧山区南门唐城夜市街区的璧山冷酒夜市开街。这是璧山区打造夜间经济消费载体、培育夜间经济活动品牌的举措之一。璧山市民一

残疾人题材电影《梦想森林》举办线上启动仪式

记者14日从中国残联了解到,残疾人题材电影《梦想森林》日前举办了线上启动仪式。电影讲述了一个孤独症患者家庭在社会各界帮助下,为梦想不

全国民企招聘月活动启动 近4万家企业提供超60万个岗位

2020年全国民营企业招聘月活动推出生活服务业专场,近4万家企业提供岗位超60万个。其中,58同城专场有北京华联、北大投资等近1000家企业参

“重构数字战斗力”共探企业数字化转型之道

图为活动现场。 张伟 摄2020年,中国企业如何破局而出、迎难而上?金蝶云重构数字战斗力EBC与数字化转型巡展(贵阳站)活动16日举行,线上线

葵花药业实控人被司法机关控制 "关二代"接班公司回购实控人减持玩的什么把戏?

葵花药业(002737,股吧)去年爆出实控人关彦斌因涉嫌故意杀妻事件被司法机关控制,近日有了新的进展。据经济观察网消息,7月16日,葵花药业集

蓝盾股份业绩巨亏近10亿、大股东近100%质押 实控人之一柯宗贵违规减持收监管函

蓝盾股份(300297,股吧)如今的局面可谓是不太乐观,去年业绩巨亏近10,大股东近100%的质押,财报被出具非标,近日公司公告的两则消息对于蓝

古越龙山晚间公告:副总经理傅武翔先生退休辞职

古越龙山(SH:600059 )今日晚间发布公告称,公司副总经理、总会计师傅武翔先生因已到退休年龄申请辞去公司副总经理、总会计师职务,辞职报

子公司增资信息晚披 广东劲胜智能收深交所监管函

深圳证券交易所网站近日公布的关于对广东劲胜智能集团股份有限公司的监管函(创业板监管函〔2020〕第110号)显示,2019年1月7日,广东劲胜智

皇氏集团半年报:预计净利同比下降100%-86.52%

皇氏集团(SZ:002329)今日发布2020年半年度业绩预告,预告显示,2020年1月1日至2020年6月30日归属于上市公司股东的净利润0万元-200万元,比