从9月初一篇《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》文章开始,关于“手机盗窃引起的个人信息和财产窃取”的话题讨论持续至今。
文中指出“黑产”操作的关键:利用“短信验证码”作为目前通行的账户安全验证手段,窃取用户身份信息、账户信息,然后解锁手机,再把银行卡、信用卡、微信、支付宝等金融和网络账户内的资金洗劫一空,甚至可以“帮”你申请网贷再转出。
问题分析:复盘整个过程 揭示问题
第一阶段,获取你的身份控制权。首先,获取手机号身份控制权。盗取手机;拔出SIM卡;获取该SIM卡对应的手机号码,并拿到你的短信验证码。其次,基于手机号身份控制权获取其他应用账号控制权以及姓名、身份证号、人脸等身份信息。修改手机密码,解锁手机,获取你的手机控制权;获取你的身份信息、银行卡号。至此,违法分子已获取你的身份信息、金融账户信息,完全控制了你的手机;如果你手机内有你的照片,甚至可以模拟你的动态人脸;你的身份信息及身份控制权已被盗取,盗窃分子足以在网络世界“代位”你本人。
第二阶段,洗劫你的可见财富和信用。盗取你微信、支付宝、银行卡内的所有余额;套现并盗取你所有信用卡内的所有额度;申请并盗取网贷额度。
总结现象来看,短信验证码已经成为相当多账号安全认证的通用手段,因此,违法份子可以通过短信验证码,获取你的信息、账号和手机的控制权,然后在网络世界取代你,并将一切后果转嫁给现实世界的你。
如何解决:针对问题根源 标本兼治
深入分析上述情况原因,其根本是:在底线思维上,缺乏一种让消费者能够掌握身份控制权的安全手段。
以往,账户安全的一般原则就是用户有什么就用什么,通过增添各种用户拥有的要素交叉验证,确保是用户本人。用户拥有的这些要素可以分成信息凭证(身份号码、账户号码等)、生物凭证(人脸、指纹)和密码凭证(基于密码技术的手段)三类。
随着应用的爆炸式增长和技术的快速迭代,信息凭证和生物凭证的攻击门槛越来越低。现在账户安全的接力棒,尤其是核心的安全手段,已经在逐渐向密码凭证转移。国内,最早大规模普及的密码凭证就是二代证、U盾,但移动互联网出现后这些安全手段因普及成本高、周期长,一直不被重视。
不过,这一情况正在发生改变。一方面,个人信息安全事件、个人财富“隔空”盗取事件、网络电信诈骗事件频发,使个人用户安全意识逐渐觉醒;另一方面,管理、服务部门也在加强普及网络安全意识和基础设施。此外,随着智能手机TEE/SE的标准化和开放性,密码凭证的普及成本正在大幅度降低,其中最为典型的安全手段就是eID。
eID是以国产自主密码技术为基础、以智能安全芯片为载体,由“公民网络身份识别系统”签发给公民的网络电子身份标识。与手机短信验证码不同,eID的使用天然具备密码保护;每人只有一个有效的eID;eID安全认证是在线服务的;手机丢失后,挂失eID立即有效阻止身份被盗用和冒用,犯罪份子无法解挂。
所以,只要用户挂失eID,马上就会隔离与eID关联账户的风险,不给违法分子可乘之机。一旦充分意识到风险离我们很近,相应的解决方案(比如eID的安全认证),也就会离我们越来越近。