一夜被盗刷5万元运营商、互金平台谁来背锅?
近日有新闻报道,深圳的何先生发现,自己的手机曾经被一个陌生号码接管,骗子接收了短信验证码,用何先生的京东账户白条消费和申请贷款,一夜间了5万多元。
然而,这个事情为什么会发生?何先生被盗刷的原因是什么?客户又应该如何防范?能否从根本上解决问题?
让我们像破案一样,根据报道中的几个细节来,还原事实线手机公司经过与何先生联系沟通,并与移动运营商合作取证调查,现已查明何先生账户被盗的过程,公告如下:
一、1月30日,上海一个IP的设备利用弱密码和社工库密码,频繁尝试破解何先生的360OS云服务账号,试错密码的间隔时间最短为3秒钟,最长为10分钟。
二、2月3日凌晨,IP位于辽宁的犯罪嫌疑人登陆何先生的360OS云服务账号,利用“回复短信”接口把何先生号码绑定。犯罪又利用云服务“找手机—资料”功能,每隔5、6分钟就发出一次“资料”指令,使何先生的手机持续处于离网状态。
三、在何先生手机被“资料”期间,犯罪嫌疑人接收了何先生的短信验证码,入侵其京东账号用白条消费,造成实际损失1000元;再用金条贷款52000元,转入何先生名下的中国银行卡中,随后转账50000元到犯罪嫌疑人账户,又用ATM机无卡取款2000元。何先生的损失总计达到53000元。在此事件中,何先生的银行卡号、取款密码、预留手机号及身份证号已通过其他途径泄漏并被犯罪嫌疑人所掌握,再利用短信验证码,犯罪嫌疑人窃取了何先生银行卡资金。种种迹象表明,这是一种由团伙作案、分工严密的新型诈骗手段。
我们先看看这个案例中的几个高科技新业务名词:运营商提供的副号码、智能手机云服务-资料、京东白条/金条账户贷款。
运营商提供的副号码,是在一张SIM卡上多个号码。当你不希望自己的主用号码被对方了解,却需要进行电话/短信沟通时,就可以给对方一个副号码来联系,等到沟通完再取消即可。这项业务与网购、房产租售、快递、打车等场景的适配度非常好,广受客户欢迎,并结合客户需求增加了一些衍生功能,比如主副号码可以在线随时切换,副号码来电提醒等。
智能手机云服务这个名字,一听就非常高大上,各家产品形态和特点也不尽相同,360提供的云服务自然更强调安全性。360云服务将通讯录、照片、短信及通话记录等个人数据备份与恢复于一身,而且操作非常简便,可以一键自动备份与恢复手机中的重要信息。使用云服务最大的好处就是对数据,即使换机换号的情况下也不用担心数据的丢失。
考虑到不同客户的需求,360云服务也有一些独门暗器,万一用户手机丢了怎么办?可以通过云的方式在远程资料,原有手机的持有者拿的是一块废铁,也就没有信息泄露的风险了。
京东白条/金条账户贷款,都是京东金融旗下的产品,在互联网+的发展大势之下,借助于京东在电商方面的积累,京东金融不仅帮客户解决购物场景,还为客户提供了理财、信贷等服务。
最初,京东白条是为客户提供先消费,后付款的支付方式,改善客户的购物体验。后来又推出了现金借贷产品,就是京东金条,这个业务是为信用良好的白条用户提供现金借贷服务,是白条信用在现金消费场景下的延伸。
据报道,事主何先生的云服务密码是弱口令,于1月30日被撞库,就是被犯罪嫌疑人试了出来。这就意味着,犯罪嫌疑人可以用何先生的身份使用360云服务。2月3日凌晨,犯罪嫌疑人先用自己的手机向何先生的号码发送副号码绑定申请,再登录何先生的云服务账号,用回复短信的功能发送确认短信,完成了主副号码绑定。这样何先生的号码就成了犯罪嫌疑人手机的副号码。
接下来,犯罪嫌疑人在360云服务平台上发起资料功能,导致何先生的手机一度处于关机离网状态,无法接收到任何信息。与此同时,犯罪嫌疑人以何先生的手机号码作为ID登陆京东,京东平台的短信验证码发送不到何先生的手机上,于是转到何先生的手机主号码,也就是犯罪嫌疑人的号码上。
按照京东的业务规则,贷款必须打到客户自己的账户上。但这重保障手段,也没能何先生的损失,因为此前犯罪嫌疑人已经得到了他的中国银行卡的卡号、取款密码以及身份证信息等,因此当贷款转到何先生卡之后,犯罪嫌疑人将资金以转账和无卡取款等方式,将卡上资金全部转走。当然,这时如果有验证码,信息也如法被转到犯罪嫌疑人的手机上。
表面来看,运营商、360、京东,甚至包括银行,谁也没有做错什么。从运营商来看,整个过程完全符合一个正常用户的行为逻辑:先用一个号码发起绑定副号码,被绑定的手机也发送了回复确认短信。平台发送验证码,运营商也及时准确地将信息传递给接收手机;当副号码关机短信发送不成功时,为保持通信畅通将信息转发至主号。
360云服务看起来也挺冤:通过云服务回复短信是为了方便客户,结果反而成了犯罪冒用客户身份的平台和工具;本来资料是为了防止用户手机丢失时造成客户的信息泄露,没想到却成了。而因为用户的弱密码被攻破,所以360无法判断登录上来的是李逵还是李鬼,被执行资料的是丢失的手机还是真正的用户。
京东的金融创新,让一个卡里没钱的客户损失数万;但从京东来看,对用户的身份验证全部通过,发起的业务又合规,有什么理由拦截请求不提供服务?银行的网上转账和无卡取款更是如今非常普遍的服务手段,也没有错啊。
如此看来,似乎何先生才是犯错误最多造成影响最大的关键:一是在360云服务平台上使用弱口令;二是账户信息密码泄露。
看到这样的新闻,读者的脑海中会做出什么反应?运营商的新业务有风险?互联网的新业务有风险?对于这些新鲜事物,是不是还是远离比较好?
入口曾是众多企业争夺的焦点,更是互联网故事的核心。但是打来打去发现谁也取代不了谁,于是形成了多入口并存的格局。
这个案例,恰恰表现出多入口并存的情况下,出现的新问题。前面分析过,从运营商、360和京东来看,都难以识别操作者是何先生还是假冒者:
梦网时代,运营商是手机用户的入口,客户订购的各种业务,都必须在运营商这里留下订购关系,然后运营商据此向用户收费,与SP分账。所以运营商有责任为用户提供Total Solution,提供包括信息安全在内的一切服务。如今的移动互联网时代,运营商不再拥有用户的全量订购关系,很多业务貌似与运营商有关,只是因为互联网企业将用户的手机作为ID,运营商提供验证码等通道类服务,不再具备提供完整服务的能力。
那么有没有运营商的替代者,成为客户服务的集成者呢?在这个案例中,当事人何先生既是中国移动的客户,又是360云服务的客户,还是京东的客户。这三者每家都只能提供一部分信息服务,而将其集成在一起的,是用户自己。
于是,当客户自身安全意识不强,而犯罪又对业务精通的时候,这种利用不同服务商信息不完备,钻漏洞甚至犯罪的风险就会越来越大。
首先,用户增强自己的安全防范意识,是眼下唯一有效的解决方案。隐私、密码设定,以及面对各种时的应对方式,越来越成为这个时代必要的防护手段。
尤其对于那些匪夷所思的大便宜,个人以为还是别信的好。第二种方式是形成信息安全联盟,实现不同入口之间的信息共享和互通,加大安全联合防范的能力。
但是这种方式难度非常大,因为各家平台之间都是竞争关系,缺乏实现信息共享的信任感。而且在很多时候,增强安全性意味着降低操作的便利性,这是很多创新企业都不愿意做的事情。第三种方式是形成信息安全中心,将多入口的信息汇集在一起,提高安全防护能力。要做到这一点也不易,因为这个平台的权威性和服务能力要非常高,想找到这样的平台,太难了。
如今一个客户拥有多个号码的情况并不罕见。从开始的“双枪将”,到后来应运而生的双卡双待手机,都是满足一个客户同时拥有几张卡的需求。那么有没有一张卡支持多个号码的业务呢?运营商回答:“我有!”
运营商曾经基于STK推出过业务,将多张SIM卡的数据集成在一张SIM卡上。使用方式与目前的双卡双待手机类似,在终端上选择哪个号码发起短信、呼叫或者上网。
这个业务虽然在是一张卡,但业务特性还是两个号分别使用,占用了多个号码资源,本质上与双卡客户没什么差别。因此在优化之后,运营商推出了新的业务形态,称之为“副号码”。
所谓副号码,就是客户在自己的号码之外还有一个号,用户使用副号码发起主叫或者短信时,需要在对端号码前加拨一组数字,这样在对端手机上显示的就是副号码。做被叫时,来电前面也会有一串数字,表示这是打给副号码的电话。
在使用场景方面,副号码是对付电话和垃圾短信的有效手段:当需要提供移动号码,但又觉得对方不可完全信任时,可以留下副号码作为联系方式,这样即使泄露出去也不会受太多,再烦还可以换一个新的副号码。
副号码业务比原来的或者双卡双待有一定好处,比如月使用费比较低廉、副号码可以更换等,所以未来的会与副号码业务合一,业务名称还叫。劣势在于:这一业务目前只话音和短信功能,并不支持上网流量业务,这么看起来,还是话音时代的业务。
还有一种国际漫游业务,是运营商与部分国际漫游合作伙伴协商开发的。如果用户申请了国际业务,当他漫游到这些合作伙伴的网络时,系统自动识别并给他分配一个国外的号码,因此他发起的呼叫和短信,计费按照漫游地的本地资费来计算,费用则由国内运营商向该用户统一收取。国际漫游最大的优势是:在用户无的情况下,给客户分配了价格较优的本地号码。但不足之处在于:用户变更为漫游地的当地号码后,原号码就接不到电话和短信了。而且,与副号码存在同样的业务,国际漫游只支持话音和短信业务,不支持流量上网。
随着时间的推移,新的问题出现了:国际漫游是漫游双方协作开发的业务,资费相对比较固化;而运营商之间激烈的竞争导致资费快速下滑,因此国际漫游并不一定是当地最优惠的资费。
正是由于存在这些问题,所以虽然国际漫游业务需求不断增长,但国际漫游业务的覆盖范围和业务量并未见有长足发展。
说到终端企业的解决方案,就要从“机卡分离”说起。最早的模拟移动电话里,手机号码是固化在终端里的,换手机就必须同时更换号码,用户觉得很不方便。
最开始实现“机卡分离”的是GSM,后来在中国运营商的推动下,CDMA网络也实现了“机卡分离”,这在改善客户体验的同时,打消了用户更换终端的顾虑。终端与卡之间是标准规范的,任何一家生产的卡和任何一家终端都能配得上。
而今,部分终端企业创新性取消了卡槽,调整了SIM卡与终端的鉴权配合模式。苹果和华为通过软件或芯片把SIM卡信息写进终端里,而且还可以重复擦写。这样,用户就可以从终端提供的众多运营商选项中,选择其中之一作为自己的归属地。
需要说明的是:终端企业获得的SIM卡信息是运营商提供的,从某种程度上来说,很类似于虚拟运营商,因此并不存在“”一说。终端企业提供的解决方案,非常适合于漫游的场景,能够让用户快速设置为当地用户;而且这种方式可以支持话音、短信、流量等运营商的多种业务。运营商与终端企业合作,将明星终端作为渠道,用户更加便利地使用自己的业务,也是乐在其中。
推荐: