「如果他們可以用隱私換取便利、安全或者效率。在很多情況下,他們就願意這麼做」,這是某網際網路公司董事長兼ceo眼中的中國使用者。雖然大家都義憤填膺,但令人遺憾的是:在便利面前,大家真的一點都不在乎。
「哪有人會花心思搞我的手機啊,我微信支付寶裡沒錢也沒卡,搞這個有什麼用嘛?」
這是我乙個在手機維修店工作的朋友「小京」的原話。「小京」當然不是真名,但這句話他是確確實實說過的。「開啟門做生意」的小京放在 2020 年顯然是個異類——他的iphone 8plus是自己裝攢的,不設指紋也不設密碼。問其原因,他的回答不外乎就是「反正裡面也沒有錢」以及「別人也沒機會拿到我的手機」。
是啊,聯絡人裡只有同事,微信支付寶沒錢也沒卡,你就是真的偷了他的手機,也搞不出任何錢來……真的是這樣嗎?這裡我強烈推薦大家看看***「資訊保安老駱駝」裡的文章,裡面就完整講述了「從被偷到賠付」的全過程。
不過好在各大金融機構都願意為此次文章裡的主人公作出賠付,支付寶也在覆盤後也表示此次事件中不法分子沒能攻破支付寶的安全防線,銀行卡號等支付資訊是從其他黑色產業中獲取的。支付寶的「刷臉支付」採用的是3d人臉識別技術。在進行人臉識別前,也會通過軟硬體結合的方式進行檢測,來判斷採集到的人臉是否是**、**或者軟體模擬生成的,能有效地避免各種人臉偽造帶程式設計客棧來的身份冒用情況。
支付寶同時也會根據使用者使用的裝置、登入的地點與消費習慣,在風控系統中對異常消費進行自動攔截。支付寶也建議大家單獨為sim卡設定密碼,能在一定程度上防止黑產接收驗證碼。另外,如果使用支付寶時有什麼問題,可以隨時致電客服95188。
但在皆大歡喜的同時,我們也應該對其中的安全隱患感到警惕。在這個案例中,簡訊驗證碼就成為了不法分子的可乘之機。
為什麼會有簡訊驗證碼?
先說說簡訊驗證碼是怎麼一回事吧,其實簡訊驗證程式設計客棧碼最初誕生的目的並不是用來給大家「快捷登入」,而是用做密碼登入後的二步驗證。在「登陸1.0」時代,賬戶登入時只對賬戶和密碼做驗證,比如大家熟知的qq,最初就只驗證賬號和密碼。
但隨著黑色產業的發展,傳統的「登陸1.0」已經無法保證資訊的安全。舉個例子,我敢肯定正看這篇文章的大多數網友,微信支付寶的密碼、常用郵箱的密碼、以及隨便乙個不知名論壇的密碼用的都是同乙個。你能保證密碼不外洩,微信支付寶也能,但那些不知名的論壇卻難以保證。一旦他們的伺服器被入侵(甚至是主動**你的資料),你的常用郵箱、手機號和密碼幾乎能傳遍全國。
針對這種狀況,網際網路巨頭們開始引入二步驗證,也就是「登陸2.0」。此時登陸不僅需要驗證賬戶密碼,還需要提交某些只有你會知道的東西,比如你qq密保卡第二排第三行的數字是什麼?你最喜歡的樂隊叫什麼?當然也有些動態的二步驗證,比如steam在登入時給你發的驗證碼郵件,或者登陸滴滴出行時的手機驗證碼。
換句話說,手機驗證碼在設計時只是乙個輔助的驗證手段。但在現實生活中,越來越多機構選擇將「輔助手段」當作「主要手段」。不可否認的是,簡訊驗證碼登陸比傳統的密碼登入方便太多,但這樣的方便、快捷卻恰好印證了導語裡李彥巨集說的那句話。
「快捷登入」的背後有多危險?
首先,單是手機驗證就能獲取不少個人資訊。比如我這裡演示用的「新華書店」app,即使在新裝置上,我也只需要手機號和簡訊驗證碼就可以登陸,且無需任何密碼認證就能直接看到完整的收件資訊。生活中像這樣的app還有很多,大家可以自己回想一下自己還註冊過哪些app,再想想其中的資訊風險。
然後,現在不少手機品牌都可以通過手機驗證碼修改賬戶密碼,即使我們鎖定了手機不法分子也能用新密碼繞過丟失鎖。
可能有人可能認為「我掛失手機號,對方不就收不到驗證碼了?」其實並沒有這麼簡單。不法分子可以通過傳送簡訊的方式辦理簡訊轉移業務,辦理後即使掛失補辦了手機號卡,不法分子依然可以獲取簡訊驗證碼,從而繼續進行相關操作。
比如在「資訊保安老駱駝」的案例中,不法分子就通過「四川人社」的app,以簡訊驗證登陸的方式獲得了該手機號對應的身份證號。除了這種**機構的app以外,連鎖酒店與商務訂票app通常也是資訊洩露的盲點。甚至是南方航空的官方頁面,就可以用手機號+驗證碼登陸並檢視卡號,再通過卡號+驗證碼修改密碼,從而用新密碼檢視所有繫結證件號碼。
至此,不法分子已經獲得了你的手機號碼、收件資訊、身份證號碼、真實姓名,同時還能用簡訊轉移獲取你的所有驗證碼。對不少app來說,不法分子和你本人已經沒有任何區別。憑藉身份證號他可以向銀行客服**查詢你的卡號,再用你的資訊進行綁卡消費,甚至是信用貸款。
保護好個人資訊有多難?
看到這裡,相信大家也發現問題所在了:sim卡密碼以及部分機構脆弱的資訊管理方式。首先是sim卡的密碼,都不要說修改pin碼了,估計現在很多人都不知道sim卡是可以設定密碼的。這一方面和運營商的不宣傳有關,另一方面和我們不願意每次開機輸入兩個密碼有關。
其次是我們某些機構「馬奇諾防線」級別的個人資訊管理體系。以南航為例,無論是一開始登陸還是找回密碼,整個操作邏輯裡登陸賬號都可以用手機號代替,根本起不到交叉驗證的效果。這裡用南航舉例並不是針對南航,因為我們身邊還有無數個可以憑藉手機號+驗證碼暢行的例子,航司也好qhpwvkcrn酒店也罷,這都只是冰山一角而已。
我們能怎麼做?
首先,給自己的sim卡加上pin碼。這樣就算別人偷了你的手機,也沒辦法換機收發簡訊。
第二,清理、登出不用的軟體賬號資訊,牽涉到位址、證件的app更是要格外留心。比如我剛剛提到的新華書店app,我現在買書要麼是實體書店要麼是京東**,這個已經棄用的app完全可以直接登出,免除後顧之憂。
南航的會員我不能取消,程式設計客棧已新增的證件資訊南航又不允許自助刪除,所以我直接將繫結的手機號改成了平時在用的美國虛擬運營商號碼,沒有實體卡自然更安全。
除此之外,不用的賬戶也應該及時登出。比如我曾經用另一張sim卡註冊過微信、**與支付寶,並繫結了銀行卡。儘管那個手機號已經銷號了。但在一段時間後這個號碼會重新放出,如果某位幸運使用者抽到了我的號碼,並在他的手機裡用簡訊登陸支付寶和微信,那他無意間也能獲得我的個人資訊與支付資訊。儘管這位幸運使用者沒有惡意,但我們也應該對此做好防範措置,從而將風險降到最低。
哦對差點就忘記小京的事了,把文章發給他後,小京趕緊拉黑了我。
本文標題: 盜刷銀行卡到底多簡單?一張sim卡就行
本文位址: