本报记者 李 坚 张意轩 胡安琪《 人民日报 》( 2013年11月14日 04 版)
制图:蔡华伟
复制受害人手机卡,再通过手机卡内支付宝绑定的银行卡将钱转走——日前,靠这一手段作案数起的杨某、余某被重庆市渝北区公安分局龙溪派出所抓获,涉嫌盗窃罪已被刑拘。
案件中,从保险公司、手机运营商到支付宝,个人信息和网络支付层层失守,令人担忧。如今,网络支付与手机等个人信息密切“绑定”,我们如何保护自己的信息以至资金安全?
网站可查到个人信息,用假身份证轻松补办手机卡
记者从警方了解到,9月2日,龙溪派出所接到受害人王某某报警:自己农业银行卡内的19120元钱被人分5次转到了建设银行一个陌生账户上。
杨某、余某被抓获后交代,8月中旬,由于看到网传可通过一些操作转走别人支付宝里的钱,杨某登陆进入某保险公司网站查询页面,随便输入一个名字“王某某”碰运气,页面竟显示有这个人,并公布有其身份证号码和手机号码。之后,杨某随便找了一张照片制作了“王某某”假身份证。
9月1日,杨某让余某拿着假身份证去电话营业厅补办王某某的手机卡。为避免被人怀疑,余某将所有资料交给了自己乘坐的摩托车司机帮忙代办。摩托车司机声称是替朋友补办,且背出了电话号码,电话营业厅人员便给补办了手机卡。
记者向手机运营商客服处了解到,他人代办补卡只需提供代办人和机主的有效身份证原件、经机主本人签名的委托书。对于不法分子利用假身份证补办他人手机卡的案件,营业厅可提供录像和留存资料协助破案,但是办理补卡时,营业厅对于身份证真假的识别条件确实有限。
假机主“找回密码”,盗取原机主支付宝并转账
补办手机卡后,杨某等人立即通过手机号码找回王某某的支付宝登录密码,用转账业务将受害人支付宝绑定银行卡上的钱转到了自己的银行卡上。
据警方介绍,就在9月1日,王某某手机卡出现了信号故障,不能使用。9月2日,王某某到营业厅恢复手机卡后,收到短信提示,才知钱被转走。王某某手机卡出现故障,正是由于杨某等人补卡成功后,原来的手机卡失效。
可前后两天,先是补卡,之后是补卡当日就出故障,然后第二天再来恢复使用,办理业务的工作人员不会看到记录、觉得异常吗?记者了解到,机主本人或者经办人要求恢复手机卡使用,营业厅工作人员验证身份信息后,便可补卡。尽管联网系统内记录有之前办理的业务,但只有机主本人或者经办人提出申请,工作人员使用进一步查询的功能才能看到。
警方表示,任何与资金账户相关并绑定的手机号码,如出现不能使用等“故障”,须警惕被盗用的可能。此外,不要在手机捆绑的网银上存放现金。
支付平台多重验证,难挡源头信息泄露
支付平台作为最后一道关卡,有些支付验证方式是不是太依赖手机了?
近日,有网友称,买到新的手机号码后,发现该号码之前绑定了一个支付宝账号,通过“忘记密码”功能和短信验证码,就能得到原机主的淘宝和支付宝账号。
对于这个问题,阿里小微金服风险管理部总监徐蔚告诉记者,支付宝更改过“找回密码”功能,目前需要手机短信校验及身份信息等多重信息验证,一定程度上降低了风险。
据介绍,支付宝使用了以通讯加密、安全控件、权限系统、在线实时交易风险监控系统为基础的技术方案,为用户提供登录和支付双密码、防钓鱼签名、数字证书、手机动态口令、支付盾等安全解决方案。
对于在线实时交易风险监控,财付通助理总经理、风险管理中心总监张平博士举例说,如果用户突然出现单笔大额异地交易,或系统检测到可疑的操作,会暂停交易并人工确认。
徐蔚说,针对近期发生的多起因手机卡被复制、身份信息被窃取而发生的案件,支付宝加强在线交易监控力度,使用设备可信度、操作行为比对等技术手段来提高风险识别率。
徐蔚强调,手机是互联网支付安全保障中一项比较重要的可信认证,但并不是孤立起作用的。身份证是个人信息可靠标识,像王某某这件事,主要还有身份信息泄露和运营商二次放号的问题。此外,根据支付宝新浪官方微博称,10月底引发质疑的“支付宝无故被转走5万元,黑客称系测试安全漏洞”一事,所谓“黑客”也是利用熟识关系获得受害人身份信息和手机信息才得手的。
支付安全需多方努力,个人信息保护亟须堵漏
王某某的遭遇,首先源于不法分子从保险公司网站轻易查到了身份信息。其实,包括招聘、社交甚至单位等网站在这方面都有漏洞。
360网购先赔负责人万仁国认为,保障支付安全需要社会各界共同努力,“安全取决于最短的那块板。”
万仁国说,网络支付需要更高强度、多重的验证机制。单靠手机身份验证,确实无法应对不法分子补办他人SIM卡、GSM短信嗅探等情况。专家提醒,个人如果打算废弃某个手机号码,一定要清除该手机号所绑定的服务。
徐蔚表示,移动互联网时代,用户对移动支付体验的便捷要求越来越高,也伴随着风险概率的提升。希望用户能妥善保管个人身份证、银行卡及其他隐私信息;同时,获取相关信息的机构、单位、企业应完善安全机制,运营商、银行应共同就关键业务受理加强身份审核。