热点 >

网上支付依赖“短信验证”存隐患 信息安全保护需重视

2020-10-22 08:23:02   来源:人民网

近日,有网友将自己手机失窃后遭遇的一系列个人信息被盗用的经历写成文章,刷屏朋友圈,引发热议。

文章中,用户手机被盗后未及时挂失电话卡,给不法分子留下了钻空子的空间,不法分子通过“手机号+验证码”弱验证方式获取某政务APP中用户身份证号等个人重要信息,利用用户个人信息更改了手机服务密码,利用话术欺骗诱导电信企业客服人员将已挂失的电话卡进行解挂,利用部分网贷平台“找回用户密码”漏洞重置用户支付密码骗取网贷资金,最终造成用户财产损失。

值得注意的是,当前,使用手机短信验证码验证用户身份的技术,被广泛应用于银行金融、社交媒体、电子商务等各类移动APP服务。然而短信作为一种2G网络的通信方式,其本身安全防护等级并不高。

对此,工信部近日发文表示,建议相关单位和企业及时对数据进行脱敏处理,并建议相关行业按照最小必要原则收集、存储、使用用户个人信息,对已收集存储的用户个人信息分级分类妥善保存。同时,工信部也提醒广大用户及时设置SIM卡密码,在丢失手机后应第一时间挂失,强化安全风险意识。

相关业内专家在接受人民网IT频道采访时指出,这一事件也暴露了目前网上APP、支付等环节过于依赖“短信验证”这一安全短板。基于2G网络的短信安全验证犹如“沙滩上的堡垒”,便捷之外存有安全隐患,网上支付平台、APP服务提供商应尽快堵住这一安全短板,完善用户身份验证措施,以确保用户个人信息和财产的安全。

网上支付依赖“短信验证”存隐患

当前,手机已成为许多人生活工作必备品,承载了手机号码、银行卡信息、社交媒体账号信息等诸多个人信息,手机对保护个人信息安全的重要性日益突出。

虽然手机丢失只是极小概率的事件,但是也给个人信息安全保护敲响了警钟。

随着移动支付的普及,“短信验证”是目前最便捷的验证方式,人们只需要在手机上操作,就可以便捷快速地完成开通业务、支付款项等活动。然而,科技的进步带来的不仅是便捷,还有安全隐患。因此手机短信验证码已被广泛应用于各类移动应用、网站服务。用户可以通过短信验证码进行修改密码、修改绑定邮箱等敏感操作。

同时,短信验证码也能让用户不输账号密码直接登陆。目前大多数APP,在掌握手机号码的前提下,都可以无密码登陆。手机只要收到系统发送的验证码,就可以快速登陆。

对手机用户来说,一旦短信验证码内容被外泄,不法分子就可以利用获取的用户手机号码和验证码登录个人账户,用户会面临个人信息泄露甚至财产损失的风险。

360安全研究员俞奎认为,从研究所得的短信验证码多个攻击角度来看,在这个案例中,存在漏洞的实体均没有考虑手机号验证的可信问题,即平台验证的是设备,设备在谁手中,谁就是设备的“主人”,“这种情况下,一旦手机丢失、手机卡落到不法分子手中,或手机短信验证码被劫持,就可能存在身份被冒用、资金盗刷的情况”。

独立电信分析师付亮认为,基于2G网络的短信安全验证犹如“沙滩上的堡垒”,便捷之外存有安全隐患,网上支付平台、APP服务提供商应尽快堵住这一安全短板,完善用户身份验证措施,以确保用户个人信息和财产的安全。

人民网IT频道在采访过程中,多位来自通信、安全领域的业内人士均表示,目前涉及到支付确认、修改支付密码等高度涉及用户资金安全的验证时,如果仅仅是依靠短信验证码来确认用户身份,具有一定的安全隐患,希望有关部门及网上支付平台重视这个问题,尤其是网上支付平台不能为了便捷而牺牲用户的资金安全。

从技术上来说,2G的GSM网络使用单向鉴权技术,且短信内容以明文形式传输,该缺陷由GSM设计造成,且GSM网络覆盖范围广,因此修复难度大、成本高。

更重要的是,对于网上支付平台来说,除了短信验证之外,在涉及大额支付及修改用户交易密码等关键环节,增加新的验证手段,比如引入指纹、人脸识别等方式,也刻不容缓。

用户身份信息保护机制仍待完善

在这起案件中,不法分子在失主挂失电话卡后,利用话术欺骗诱导电信企业客服人员将已挂失的电话卡进行解挂,从而获取了某些APP的短信验证码。

工信部对此强调,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,在方便用户办理业务的同时强化安全防护,加强客服人员风险防范意识培训,警惕业务异常办理行为。

人民网记者从中国电信了解到,目前,丢失手机所属地运营商四川电信,已经取消了电话解挂的方式。

中国联通则表示,为了保障用户的信息安全和财产安全,将强化现有解挂流程的身份认证。未来,用户办理挂失业务后,可通过两种方式办理解挂,一是携带有效证件到营业厅办理解挂业务,二是通过人证一致的活体认证后在手厅进行解挂操作。

同时,中国联通现阶段暂时关闭手厅、10010人工和智能客服等渠道的解挂操作,号码登记人需要携带本人有效身份证件至联通营业厅核验身份信息后补卡或解除挂失;用户仍可通过营业厅、手厅、10010等渠道便捷挂失。

据了解,为方便异地用户,中国联通已实现跨域服务,在异地的联通自有营业厅也可提供补卡/解挂失服务,用户可以选择就近联通自有营业厅进行办理。

中国移动表示,将按工信部要求,优化客户服务密码重置、解挂流程,在涉及用户身份的敏感环节强化安全防护,加快应用远程人像比对身份鉴权,保障客户办理便捷性和安全性,并进一步强化信息安全防范意识宣传,做好同类场景的客户沟通和风险提示。

互联网企业应承担更大安全责任

针对短信验证带来的安全隐患,全国信息安全标准化技术委员会在2018年2月曾联合多家单位发布了《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,明确指出了基于短信验证码实现身份验证的安全风险现状、困难点,并给出了目前专家们认为可行的方案。

《安全指南》建议,各移动应用、网站服务提供商对业务系统中短信验证码的使用方式进行摸底,例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况,并评估相关安全风险,优化用户身份验证措施。建议采用多种方式组合,加强安全性。

这份指南同时强调,个人用户应做好手机号、身份证号、银行卡号、支付平台账号等敏感信息的保护。在收到来历不明的短信验证码等异常情况时,提高警惕,及时联系相关移动应用、网站服务提供商。

专家提出,面对层出不穷的网络攻击技术,互联网企业更应该有所行动,加强风险防范,承担起更大的责任。

对此,人民网IT频道采访了微信、京东金融等互联网企业。微信官方表示,目前微信具有“帐号保护”机制、紧急冻结功能,以及防诈骗提醒机制;同时微信支付具有一整套的安全机制和手段,包括:钱包锁、支付密码验证、终端异常判断、交易异常实时监控、交易拦截等。若用户不慎丢失手机,应该第一时间拨打微信支付客服专线“95017”转9键自助冻结账户支付能力,可有效避免资金损失。

京东金融方面表示,建议用户及时拨打京东金融官方客服电话:95118,与官方客服取得联系,在核实身份信息后,为用户提供止付等动作,协助用户降低资金被盗风险,避免资金损失。

俞奎则建议,针对这起案例中出现的情况,从攻击角度来看,作为用户可以通过以下几个层面来安全防护:

1、给手机SIM卡设置密码,防止手机丢失后,手机卡被盗用。

2、手机丢失后,及时联系运营商挂失手机卡,防止手机丢失后,手机卡被盗用。

3、给手机设置复杂的解锁密码(超过6位的数字+字母),防止手机锁屏密码短期内被破解。

4、给手机应用设置安全锁,防止他人获得手机应用内信息。

相关阅读

八成白领关注亚健康 90后开始花式养生

热点

996常态加班,刷手机惯性熬夜,数字时代的快节奏,白领人群的健康问题频频报警。白领健康数据报告显示,80%的白领人群关注亚健康问题,90后

双十一第一波结束 尾款人们还好吗?

热点

11月好啊,没钱人!哦不,双11消费者们。2020年的双11狂欢,比以往时候来得更早一些。11月1日零点,双11购物节开幕。在两次爆发、双倍快乐的

双11第一波正式开卖,全国2000个产业带迎来开门红

热点

广州增城卖出317万条牛仔裤、浙江诸暨卖出942万双袜子、江苏常熟卖出212万件羽绒服、福建泉州卖出2 13亿片纸尿裤、河北清河卖出20万件羊绒

5G、AR等新技术助力进博会,打造升级版保电工作体系

热点

第三届中国国际进口博览会即将在上海举行。一流国际盛会离不开一流的能源保障,第三届进博会电力保障工作中更多应用了5G、AR(增强现实)、人

人口普查“查房”为常规动作,无需过度解读

热点

人口普查查房是要收房产税?对此,国家统计局官方微信近日发文称,其实,以房查人是世界各国进行人口普查普遍采用的方法,因为人都居住在房

中国首个农产品原产地电子束辐照保鲜示范中心投运

热点

工作人员正在卸下经过电子束辐照加工后的农产品。中广核供图中国首个农产品原产地电子束辐照保鲜示范中心29日在广西壮族自治区百色市正式投

减免社保费政策 企业受益累计超1.3万亿元

热点

在国务院新闻办28日举行的国务院政策例行吹风会上,人力资源和社会保障部副部长李忠表示,截至今年9月底,基本养老、失业、工伤三项社会保

长三角农业科技成果竞价会:16项农业科技成果拍卖

热点

16项农业科技成果现场拍卖,总成交额达1918万元——27日下午,一场在农田上举办的拍卖会出现在浙江省嘉兴市嘉善县。据了解,这场别开生面的

开箱视频火爆流行 成为年轻人“种草”新渠道

热点

如今,在买买买之前大家都要先种个草。是铺天盖地推广告,还是找网红写试用心得?如何高效种草成为目前商家推广产品时的重要营销手段。最近

2020知识产权交易博览会线上举办 参展展品超万件

热点

2020知交会海报。2020知交会大会执委会 供图2020粤港澳大湾区知识产权交易博览会(下称2020知交会)今年创新形式,打破地域、时间的限制,将

“非遗”普及受众最看重“动手”参观大师工作室非常享受

过去一段时间,国家级非遗项目灰塑传承人邵成村,多次在陈家祠等工作现场,向身边那些带着好奇目光的人们讲解灰塑的种种技术细节:草根灰、

璧山冷酒夜市 丰富市民夜间文旅活动

7月13日,位于璧山区南门唐城夜市街区的璧山冷酒夜市开街。这是璧山区打造夜间经济消费载体、培育夜间经济活动品牌的举措之一。璧山市民一

残疾人题材电影《梦想森林》举办线上启动仪式

记者14日从中国残联了解到,残疾人题材电影《梦想森林》日前举办了线上启动仪式。电影讲述了一个孤独症患者家庭在社会各界帮助下,为梦想不

全国民企招聘月活动启动 近4万家企业提供超60万个岗位

2020年全国民营企业招聘月活动推出生活服务业专场,近4万家企业提供岗位超60万个。其中,58同城专场有北京华联、北大投资等近1000家企业参

2020世界人工智能大会云端峰会 全息影像技术恍如嘉宾亲临

2020世界人工智能大会云端峰会正在上海举行。现在,人工智能已经广泛应用于众多领域。接下来,我们一起去大会现场感受一下。本届世界人工智

“重构数字战斗力”共探企业数字化转型之道

图为活动现场。 张伟 摄2020年,中国企业如何破局而出、迎难而上?金蝶云重构数字战斗力EBC与数字化转型巡展(贵阳站)活动16日举行,线上线

葵花药业实控人被司法机关控制 "关二代"接班公司回购实控人减持玩的什么把戏?

葵花药业(002737,股吧)去年爆出实控人关彦斌因涉嫌故意杀妻事件被司法机关控制,近日有了新的进展。据经济观察网消息,7月16日,葵花药业集

蓝盾股份业绩巨亏近10亿、大股东近100%质押 实控人之一柯宗贵违规减持收监管函

蓝盾股份(300297,股吧)如今的局面可谓是不太乐观,去年业绩巨亏近10,大股东近100%的质押,财报被出具非标,近日公司公告的两则消息对于蓝

古越龙山晚间公告:副总经理傅武翔先生退休辞职

古越龙山(SH:600059 )今日晚间发布公告称,公司副总经理、总会计师傅武翔先生因已到退休年龄申请辞去公司副总经理、总会计师职务,辞职报

子公司增资信息晚披 广东劲胜智能收深交所监管函

深圳证券交易所网站近日公布的关于对广东劲胜智能集团股份有限公司的监管函(创业板监管函〔2020〕第110号)显示,2019年1月7日,广东劲胜智

皇氏集团半年报:预计净利同比下降100%-86.52%

皇氏集团(SZ:002329)今日发布2020年半年度业绩预告,预告显示,2020年1月1日至2020年6月30日归属于上市公司股东的净利润0万元-200万元,比