个人信息难保住,拿什么防止伪基站诈骗?

一夜之间手机接到100多条验证码,支付宝、余额宝、余额以及关联银行卡的钱都被转走了,京东还开了金条、白条功能,借走了一万多。而当事人却还在睡梦中,对这一切一无所知。这并不是悬疑小说中的情节,而是真实存在于现实中。

  • 一觉醒来,一无所有

前段时间,豆瓣上一则名为《这下一无所有了》的帖子中,就讲述了这样一件让人脊背发寒的故事。就在网友们还在讨论事件真假时,包括江宁公安在线等网警也开始回应这种“几条奇怪的短信,半辈子积蓄没了”新型伪基站诈骗。甚至于支付宝都承诺会先把损失的资金补偿给相关用户。各方面都证实了这种“一夜之间一无所有”的遭遇是确实存在的。

根据帖子里当时人的讲述,在发现钱被转走之后他当时就“打电话报警、打移动停机、支付宝报理赔”,但是当时遭遇到了“各种推诿扯皮,不作为”,“支付宝拒赔了。京东压根儿不理”。

但是这锅,还真不该支付宝来背。

支付宝的赔付需要走保险的流程,而在这件离奇的事件中,保险公司看到的,首先是相关账户多次短信验证码等多个安全效验一次性成功通过,其次近9成的资金是通过支付宝转入了用户自己的银行卡。所以系统初次判定这一系列的操作非常像用户本人操作,而非被盗。即便是现在,保险在未确认被盗事实成立的情况下,也无法进行理赔。所以,这次支付宝提供的资金补偿,是在结合警方方面的情况之后,为了保证用户利益,先行进行的全额补偿。

  • 伪基站骗局2.0,这回技术更可怕

根据现有的情报来看,当事人确实遭受了无妄之灾,而支付宝系统也无法判定到底是本人操作还是账户被盗,在保险公司眼里,这件事还有“监守自盗”的可能。目前看来多方自身都没出问题,那么最终为什么会造成这样的结果呢?按照福尔摩斯的名言,“当你排除一切不可能的情况,剩下的,不管多难以置信,那都是事实”,剩下来最值得怀疑的就是那些大量的短信验证码了。

在前两天,我们也撰文解释了一下短信验证码的安全隐患。上述事件中很有可能就是这样一个操作:犯罪人员首先趁夜深人静在小区里将GSM伪基站开机,由于功率比真实基站大,造成范围内的手机主动去连接伪基站,而伪基站嗅探获取到连接上来的手机号码。接下来,犯罪人员会再利用获取的手机号码,在支付宝或各银行网站中【找回密码】,并通过伪基站截获验证码,最终实现通过验证码修改密码登陆转账。

因为伪基站以及嗅探短信的特点和技术要求,这种犯罪手法会有一个明显的特征,那就是用户的手机信号会长期停留在2G网络环境中。不过,即便是有了这样明显的特点,目前普通用户对于这种新型的伪基站犯罪手段基本没有办法防范,用户唯一能做的,就是减小被盗刷的风险,平时不要轻易泄露个人信息。

  • “大数据”时代,信息泄露防不胜防

这恰恰暴露了另一个现阶段互联网生活中普遍存在的问题,在当下,仅仅是做到“不泄露个人信息”,对用户来说都十分困难了。根据APP Annie发布的相关报告,平均每个用户每月使用的App超过30个,而在这些App中,每天获取多少用户的个人信息呢?

根据腾讯社会研究中心联手DCCI互联网数据研究中心发布的一份分析报告显示,在一项针对1144款手机App(869个Android手机App、275个iOS手机App)获取用户隐私权限情况的统计中,所有被测试的Android手机App中,仅有0.1%的App未获取用户隐私权限。

这里的“隐私权限”包括“普通隐私权限”打开WiFi开关、打开蓝牙开关、获取设备信息等;“重要隐私权限”包括打开摄像头、使用话筒录音、发送短信、发送彩信、拨打电话等;“核心隐私权限”包括获取位置信息、读取手机号、读取短信记录、通话记录等。

到了“核心隐私权限”这一块,纵使用户再小心翼翼,只要App平台方面一个不注意被爬虫盗库,都会造成用户个人信息的批量泄露。比如此前A站就曾发生千万用户数据泄露事件,网上更一度传言有人在暗网上,以每条4分钱的价格叫卖用户数据。而在更早之前,还有报道称“京东12GB用户数据泄露”,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度。

在当前互联网大环境下,用户的个人数据隐私安全在很多情况下,已经不能完全由用户自己做主了。所以,面对这种新型基站诈骗,主要还是的靠网络运营商和通信管理部门尽快采取有效技术手段,一些安全机制不够完善的银行和金融类的App们,也需尽快对平台双向验证辅助手段进行升级,才能保证好广大用户的权益。

【本文图片来自网络】

推荐阅读:

魅族16th:绝地求生还是无人深空?

产品力表现不俗的魅族16th,市场表现将会如何。

全线到齐,一线电商进入付费会员时代

阿里88VIP、京东Plus、亚马逊Prime,了解一下。

(0)

相关推荐