移动互联网便利背后的安全隐患
1、盖小姐两年前遗失身份证;
2、不法分子假冒盖小姐,拿她身份证到营业厅挂失手机卡后领取新卡;
3、通过手机取回密码的方法,进入盖小姐支付宝账户;
4、通过支付宝转走了盖小姐银行账户内的3万元存款。
各环节漏洞如下:
1、二代身份证办新证,旧证仍可使用,这是二代身份证系统的漏洞,即使到系统识别身份证,也难发现问题;这问题已有多次反映,二代身份证应尽快打补丁。
2、直接拿身份证假冒本人到运营商营业厅办理挂失补办业务,如果人长得和身份证上的照片有点像,很难被辨识出来。文中还提到,拿真身份证和委托书到运营商营业厅“代办”手机号挂失。目前的验证方式,同样很难判别为假冒。
3、手机号取回支付宝密码,这是骗子得手的关键,通过“忘记登录密码”,骗子得以进入用户的账户,进入账户后,通过“找回支付密码”通过“手机检验码+证件号码”成功获取然后实施盗窃。目前大量的手机应用采取了手机号找回密码,如果手机丢失,这些应用的后门相当于自动打开了(更甚者是设置了应用密码自动登陆,捡到手机后可直接操作,如果此帐号涉及资金或虚拟币,结果可想而知)。
4、用支付宝“快捷支付”转走银行帐号内的3万元钱,此帐号居然是工资卡帐号。
从此流程看,盗用者很有经验,利用了多个环节的漏洞。
首先,丢失的二代身份证还有效,这应该尽快升级。
其次,拿真身份证假冒本人挂失,运营商营业厅难识别,这确实很难辨别,运营商难做到,银行也难做到。
第三,手机号可取回关联的支付宝帐号密码,“手机检验码+证件号码”取回支付密码,流程设计好的话,这应该可以避免;该案中,“支付宝方面表示,已对盖小姐的案例进行评估,将由合作的保险公司对盖小姐损失进行全额理赔。”“支付宝方面称,正开发相应程序,逐步完善密码找回功能。”
第四,支付宝“快捷支付”不再需要银行卡密码就可转走银行帐号的钱,这个关联的银行帐号里的钱也太多了点。
《新闻晨报》文章中的警官和律师都将矛头对准了运营商,而从上面的流程看,如果持证人和身份证上的照片差距不大,而要求营业厅营业员识别,很难做到,运营商的责任其实并不大。可以假设,如果手机丢失呢?是不是也会在半小时内转走3万元?
从支付宝角度看,验证流程和手机号捆绑方便了使用,但也带来了漏洞,快捷支付功能,方便了支付,但也为安全留下了隐患。
从被盗人自身看,关联的银行帐号里钱多了些,建议单独开设一个专用的支付账户,账户中金额不要太多。
另该案中,盖小姐一个月前曾出现过一次骗子拿身份证假冒盖小姐委托去过户,这已经是诈骗行为,当时为什么营业厅和盖小姐都没有报案?
移动互联网时代,手机和互联网在智能手机上融合在一起,这方便了用户,但也带来了新的安全隐患,很可能直接带来资金或虚拟货币的损失。有关各方及每一个用户都应该多加注意。
青春就应该这样绽放 游戏测试:三国时期谁是你最好的兄弟!! 你不得不信的星座秘密