在线4G补卡、换卡全面叫停 虚拟运营商安全性堪忧
近日,北京网友小许发布的“为什么一条短信就能骗走我所有的财产?”的文章在网上广为传播。小许称,自己在几个短信之间,半天之内支付宝、银行卡上的资金被席卷一空。对此,工信部通信发展司司长闻库表示,上述案例中运营商可能存在潜在漏洞,北京移动已暂停网站自助换卡业务。
面对这种危害巨大的诈骗形式,普通用户不禁会问,网上补卡、换卡究竟安全吗?《IT时报》记者调查了上海三大运营商和部分虚拟运营商的补卡、换卡流程,发现每家运营商面对在线换卡政策不完全相同,安全级别也存在明显差异:除了上海联通已经彻底停止网络补卡外,三大运营商中,上海电信的在线换卡服务安全性最高,而相较之下,部分虚拟运营商的换卡策略则安全系数更低。
在线4G补卡、换卡全面叫停
据悉,小许案例中涉及的在线补办业务来源于运营商的一项4G服务。2G/3G用户升级、换发4G卡,可以不必到营业厅办理,通过网上营业厅提交申请,运营商收到申请后,寄发空白USIM卡给用户,用户拿到后,可远程激活新卡生效。就是这个看似方便通信用户的便民服务,被不法分子钻了空子。
而对于2G/3G卡更换4G卡的服务,目前上海电信和上海移动均可在线办理,而上海联通用户则必须携带身份证件去线下营业厅办理。
电信换卡流程最安全
在小许的案例中,北京移动推送给当事人的验证码短信中,没有提供任何验证码用途的信息,只是简单地表述为“尊敬的客户,您好!你的USIM卡6位验证码为XXXXX。”这让当事人根本不清楚该验证码作何用途,情急之下认为是为了取消那个所谓的增值业务的验证码。
据了解,在上海移动的在线补卡流程中,虽然要求用户提供手机号、服务密码、动态密码、身份证件号码等详细个人信息以核实个人身份,但在推送给用户的验证码短信中,依然没有明确说明动态验证码的用途。“上海移动商城动态密码:XXXXXX,30分钟内有效,请您尽快使用……”记者体验发现,短信内容并未对验证码用途做明确说明。
相较之下,如果上海电信用户在网上发起换卡需求,那么上海电信会通过10000号向用户发送短信和验证码,并在短信中明确提示“正在办理申请卡业务”,让消费者做到对验证码的用途心中有数。
同时,如果电信3G用户发起4G换卡业务,那么后台系统会将该发起人的信息记录下来,并与其所更换的新卡之间进行“一对一对应捆绑”,也就是说,这张新卡只能绑定发起用户手里的那个手机号,其它任何手机号码均无法激活使用。这一安全举措,大大提高了整个网上换卡流程的安全性。
虚拟运营商安全性堪忧
与三大运营商相比,虚拟运营商在补卡和换卡的安全性方面,显然漏洞更多。
小米移动客服表示,小米移动的补卡业务只能在线办理,而其最重要的安全性保障是用户的小米账户和密码,只要有人能通过账户密码登录小米移动官网,即能有效办理换卡、补卡业务。也就是说,一旦用户的小米账户被黑客等盗取,那么手机号码的安全亦堪忧。
而蜗牛移动的密码保护机制更令人不安。蜗牛移动客服人员表示,如果想要登录蜗牛移动官方网站办理换卡业务,只要用手机号和密码登录即可,而一般情况下默认密码即为身份证号码的后六位。
业内人士认为,由于目前虚拟运营商用户数较少,利用手机号与银行卡、支付宝等捆绑的消费者更少,所以暂时还没被更多不法分子瞄上。但虚拟运营商应该在方便用户的同时,应开发出更安全的在线业务流程。
TIPS
如何防范“验证码攻击”?
面对此类针对短信验证码的“精准诈骗”和“组合攻击”,信息安全专家介绍,下面这四招一定要记住:
招数一:静态密码设置一定要复杂。
静态密码首先要足够复杂,并妥善保管,防止泄露。
招数二:遭遇“干扰信息”,仔细甄别莫慌张。
攻击者经常利用各种手段对短信进行伪装,并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”“银行”等身份的手机短信和来电认真甄别。
招数三:手机离奇“瘫痪”,紧急“挂失”当先。
如果手机瘫痪,要马上查清故障原因。如非手机本身或信号故障,要立刻挂失手机卡,冻结第三方支付和银行账户,避免骗子趁机冒名机主身份窃取账户。
招数四:最重要的是——短信验证码不要告诉任何人!
运营商和提供相关服务的企业只会将短信验证码下发给用户,绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。