手机SIM卡安全问题值得重视起来
手机不慎被盗,你需要做的第一件事是什么?答案很明确,立即挂失手机SIM卡并以最快的速度补办手机SIM卡。
或许有人会问,需要这样“如临大敌”吗?实际案例证明,这样做非常有必要。如果SIM卡和手机落入不法分子手中,不仅个人信息会泄露,手机支付、银行卡、信用卡极有可能会被盗刷,甚至会产生意想不到的贷款,损失无法估量。
9月25日,媒体报道《手机被盗,30分钟后你可能倾家荡产》引起广泛关注,文中讲述了一位从事10多年网络攻防工作的人士“老骆驼”(网名),在家人手机丢失后,与黑产分子展开一番较量。但最终,“老骆驼”还是被盗刷了数千元。需要注意的是,此类事件并不少见,越来越多的用户手机被盗后“中招”,遭遇财产损失。
这些惨痛教训告诉我们,需要给自己的手机屏幕和SIM卡上一把密码锁。
9小时被盗刷数万元
“老骆驼”的经历并非个例。
据封面新闻报道,四川眉山大学生张灵(化名)在自己的手机被偷9小时内,虽然采取了各种措施,但依然损失了1.2万元,其中微信被转账5388元,京东白条消费7300元。
类似的事情,也发生苏苏(化名)身上。手机被偷后,苏苏没有及时挂失手机SIM卡,不法分子抢先修改了苏苏的手机服务密码,将其信用卡绑定在另一个微信上,还申请了邮政银行、建设银行以及京东的借贷。最终,不法分子转走了苏苏微信账户中的钱款,而且通过京东白条借款3000元、京东金条借款15000元。
一不小心“被”贷款
手机被盗,不法分子在借贷平台上申请贷款会很困难吗?答案是,NO!
上述案例中,苏苏补办电话卡后,立刻收到了邮储银行发来9笔不同金额交易提醒的短信通知。尽管对多张银行卡及时做了挂失处理,但因为漏掉了一张多年不用的银行卡,还是被盗刷,而且在京东白条和京东金条上“被”借款。
10月15日,沿着苏苏被盗刷的轨迹,记者登录京东金融App了解贷款细则,通过手机号码和短信验证的方式即可登录。点击“激活京东白条”后,界面跳出了两张记者本人名下的银行卡,不需要输入银行卡号任选一张银行卡,设置支付密码、同意相关协议后就能激活白条,可以进行话费充值、借款等。
令人担忧的是,由于很多银行类、金融类App都提供“常用设备登录”,如果是本机登录操作,一般会默认是机主本人,通过手机号码和验证码方式便可登录。一定程度上,这为不法分子提供了便利。
屏幕锁能轻易被打开
梳理用户被盗刷案例后,记者发现,尽管有些用户设置手机屏幕密码锁,但被破解的难度不高,在这背后有成熟的产业链条,在电商平台上花费几十至几百元,半小时内就能破解手机锁屏密码,将手机恢复出厂状态。
在某主流电商平台,记者输入关键字“手机屏幕解锁”并搜索,跳出不少提供此类服务的商户,费用大多在50元至200元之间,iOS系统、安卓系统、Win系统手机都可以解锁。
记者曾在9月23日通过某电商平台购买了解锁华为手机屏幕的服务。卖家告诉记者:“(解锁)大约需要1小时,账户、ID全包,做好了可升级、刷机、可登录账户、数据清空。”
花了160元之后,只用了30分钟,对方便顺利解开了一部华为Mate20 X,将其恢复至出厂状态。
通过商品详情信息可见,上述解锁安卓手机的卖家是一个10人团队,为安卓手机提供“刷机救砖ROOT”“账户屏幕锁”“保留资料解锁”等服务,与上万家维修店铺达成合作。
至于大众普遍认为安全系数较高的苹果手机,记者也于9月23日通过电商平台购买了相关的屏幕解锁服务,卖家承诺5天内破解。但直至发稿,并无实质性消息。
手机卡也应设置密码
如果手机丢失,第一时间一定要挂失号码、补办新卡,同时挂失所有的银行卡。
“破解手机后,除了进行上述盗刷操作,有经验的骗子还会打印出手机话费详单,通过手机号码来分辨哪些可能是家人,再进行电话诈骗,”一位从事网络安全工作的人士表示:“如果机主不挂失SIM卡,一旦手机卡流入黑市,犯罪分子还会用来注册微信号进行诈骗,后果不堪设想。只有新的手机、新SIM卡到手,成功登录微信、支付宝等重要App后,才能确保万无一失。”
技术专家建议,除了给手机屏幕上锁之外,手机卡也需要上密码。这样,换了手机便无法正常使用手机卡,具体的设置根据手机型号不同有所区别。
受害人“老骆驼”对此深有感触:“哪种手机更安全的问题可以忽视,设置SIM卡密码才是关键。”
挂失/解挂手机卡
或可引入活体认证
梳理这些实际案例,可以发现,手机卡挂失/解挂是问题的关键。通常情况下,挂失/解挂需要用户提供手机服务密码及个人信息进行验证,通过后即可挂失/解挂。一旦用户挂失不及时,不法分子在掌握了机主的身份信息后抢先修改手机服务密码,借机实施盗刷。
以“老骆驼”的经历为例,不法分子通过一些途径获取了机主的个人信息,抢先修改了手机SIM卡密码,致使“老骆驼”在后续挂失手机卡过程中遭遇困难。
另外,即便失主抢先挂失了手机卡,也不能保证不法分子解除挂失的可能。“老骆驼”之所以与不法分子展开了一夜的“搏斗”,原因在于不法分子解挂了手机SIM卡。
10月14日,《IT时报》记者致电四川、北京、浙江、上海等地运营商,了解手机卡挂失及解绑规则。
各地运营商的普遍做法是,在用户知道自己手机卡服务密码的情况下,可直接办理挂失。不过,不少用户记不住自己的手机卡服务密码,这时用户需要提供机主姓名、身份证号码以及近1-3个月主动呼叫过的3个手机号码。
如果以上验证方式仍有难度,不同运营商做法不同。北京移动客服人员表示,用户报出近3个月消费金额、入网时间、最后一次为手机充值的金额,再对申请提出挂失的手机号码进行电话验证,通过后办理挂失。北京联通客服表示,在联通App里上传身份证信息,进行人脸面部识别后挂失手机卡。
解挂方面,上海移动、上海联通、四川移动、北京电信、北京移动、北京联通的客服人员表示,需要用户提供姓名、身份证号以及近3个月拨出的电话,验证成功后解挂。
手机卡解挂受理方式方面,运营商做法不一,有的需要挂失者本人去营业厅办理,有的可以通过App客户端人脸识别后进行操作,有的需要用户正确回答多个问题后才能办理。
在“老骆驼”手机卡丢失并被盗刷事件发生后,当地运营商对解挂规则进行了优化,用户在拨打人工客服进行解挂的同时,需要提供手机服务密码、机主姓名、身份证号等方式验证外,24小时之内只能解挂一次。
技术人员建议,在运营商受理手机卡挂失或者解挂的过程中,可以引入活体认证方式,进一步提升安全性,也在一定程度上方便用户。