网贷大数据
信用查询系统

手机失窃被“盗刷”暴露出哪些安全漏洞?

这一网民的遭遇暴露出手机信息安全和支付安全的多个漏洞,引发多方担忧。
——电话卡解除挂失等安全机制有待升级。
据其本人介绍,案发当日,在通过电信客服挂失后不久,他们发现手机卡居然被不法分子解除挂失,仍能使用。双方进行了激烈斗争:挂失、解挂、再挂失、再解挂……来来回回几十次。其间,这张手机卡不断接收消费和贷款的验证短信。
多位业内人士表示,虽然机主手机被盗后未及时挂失电话卡,让不法分子钻了空子,但电信企业的服务密码重置和解挂失等业务规则是否完善、是否充分考虑了机主手机丢失的可能性,值得探讨。
按照中国电信的业务规则,已挂失账户可以通过拨打客服热线、服务密码鉴权后进行解挂。利用机主挂失前的“空档”,不法分子通过机主姓名、身份证号、短信随机码重置了服务密码,掌握了通信业务办理权,多次诱导电信企业客服人员对已挂失的电话卡进行解挂。
电信专家付亮认为,用户反复解除挂失的异常举动,应及时引起电信企业包括客服人员在内的系统的警觉,适当升级安全门槛,而不是依然机械地进行常规操作。
——校验手段普遍不足,风控水平参差不齐。
目前,虽然监管部门对于支付机构开户身份的安全验证有相关规定,但部分机构执行打了折扣。
记者调查发现,不少金融平台和支付机构开立账户或绑定银行卡的流程较为简单,一些机构在授信流程中,只增加了银行短信校验或者公安网校验,就顺利放款。在此案中,不法分子通过机主的银行卡号、身份证号、姓名、银行预留手机号等信息,加上短信验证,就在美团平台上办理了贷款业务,并很快将贷款通过新开立的支付账户消费掉了。
业内专家表示,为吸引用户,部分金融平台不会在绑卡开户时增加烦琐的校验方式,而是简化开户流程。更有一些小公司,为节省成本而省略步骤,校验的完成度和可靠性难以保障。
与此同时,一些平台和机构风控水平不过硬。从网民“信息安全老骆驼”家人的遭遇来看,同样在凌晨三四点,有的支付系统风控成功识别了异常交易并进行阻断,有的则通过了不法分子的贷款申请,有的支持了不法分子数笔绑卡消费。
——个人敏感信息保护不力。
该案中,不法分子通过短信验证的方式便登录了某政务平台App,获取机主的重要信息如探囊取物一般。
业内专家表示,身份证信息和银行卡信息属于个人敏感信息,一旦遭泄露后果严重。身份验证要强化甄别“确为本人意愿”,如借助人脸识别等方式提高验证门槛。
此外,一些通信行业人士表示,一些无良手机App过度收集个人信息,也为个人信息安全埋下隐患,一旦App被侵入就会造成严重信息泄露。在公安部组织开展的“净网2019”专项行动中,被查处的违法违规采集个人信息的App就多达683款,其中不乏知名企业。
文章来源于网络:信用查询 » 手机失窃被“盗刷”暴露出哪些安全漏洞?