标签:
杂谈 |
7日南方都市报报道了《深圳男子手机半夜被锁 一觉醒来5万多元没了》,根据媒体报道,基本可以还原整个被盗过程。
骗子做到了:
1、和多号。通过和多号业务,暂时接管了当事人的手机号,做为了实体副号。这是所有发给当事人号码的短信及拨打当事人电话,都转到了骗子的手机号上,而且骗子可以以当事人的名义发送短信、拨打电话。
2、360云服务。骗子登录了当事人的360OS云服务账号,查看并销毁了部分资料,这些资料中很可能包含用户的个人私密信息,如身份证照片、银行卡账号。应该注意的是查看,而不是销毁。
很可能,骗子通过当事人在360OS云服务的资料和其他资料,已经掌握了当事人的姓名、身份证号,京东账号及密码、中国银行卡号及密码(或无密服务?)……“京东白条”实现了骗子假借当事人名义的“白条”贷款。“还有京东金融金条…… 再加上接管了手机号……
可怕吧?就是这么可怕!漏洞在哪?
1、手机未离手,手机号怎么就被他人设成了副号并接管?
2、360OS云服务账号,是如何被改的?用户这时掌握了哪些信息?
3、当事人是如何拿到京东账号的密码并使用的?
4、中国银行快捷支付是怎样一个流程?(官网:中银快付是中国银行推出的一种方便快捷的支付方式。您在网上交易过程中只需输入您的银行卡号,手机号后4位及手机交易码即可完成支付。)
这里就不一一回答这些问题了,也不去追究各方都应该承担什么责任。但很可能的是,知道了一个人的姓名、身份证号、银行卡号,并获取了手机号码的临时使用权,就可能获得用户不同互联网应用的账号、密码,并获得了多个互联网应用的支付权。够吓人吧?
去年我曾经写过一篇文章《建立在手机验证码沙滩上的互联网安全大厦》,随着移动互联网的发展,手机应用越来越便捷,功能也越来越丰富,但大量的应用给“手机号 验证码”都开了后门,如不再需要账号,可直接用手机号登陆,再如可通过验证码修改密码。而这个后门,如果只是针对普通的互联网应用没有问题,一旦和支付联系起来,就危险了。很可能就提供了资金被盗的通道。
对于个人用户来说,需要切记的是:互联网服务便利自己的同时,可能也方便了骗子。关键的个人信息,只要放到网上就难说安全。手机中与支付关联的应用越少越好,尤其是没有额度限制的应用。发现异常,尽快查询、咨询、报警止损。