媒体:阻止半夜"短信盗刷" 不能单靠消费者抖机灵

2018-08-21 11:15 澎湃新闻

  如今,通过手机号码加短信验证码的方式,很容易实现主流App的账户登录及资金操作。但是,这种便捷方式也让不法分子嗅到了“商机”,利用“GSM劫持+短信嗅探”盗刷网友账户。

  据北京青年报报道,本月初,家住深圳的网友“独钓寒江雪”发文称,自己当天起床发现手机接收了100多条验证码,包括支付宝、京东、银行卡等,查询发现,“支付宝、余额宝和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走一万多。”

  如何才能防范“半夜盗刷”?有安全专家支招,最简单的就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取手机号。让不法分子的“屠龙技”没有用武之地固然好,可问题是,因为工作关系、联系亲友等需要保持通信畅通,睡觉前关机对于很多人来说并不现实。而为了安全防范而牺牲手机用户的正常使用,并不实际。

  当然,消费者还可以用其他招数,如手机收到来历不明的验证码后,立即关机或者启动飞行模式,逃出设备覆盖的范围;及时更换网络环境,重新连接真实基站,检查移动App异常恶意操作情况;在手机设置上,使用“VoLTE”(一种数据传输技术,无需2G或3G,可实现数据与语音业务在4G网络同时传输)保护信息安全;关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;迅速采取输错密码、挂失的手段冻结银行卡或支付账号等。但是,阻断短信“半夜盗刷”,并不能单靠消费者“抖机灵”。

  从本质上讲,短信“半夜盗刷”并不是盗窃犯罪,而应是一种电信诈骗犯罪。对作为违法犯罪工具的号码收集设备(伪基站)和短信嗅探设备等,公安部门和工信部门应予以查禁、没收、处罚。对到相关政务及医疗网站社工(通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法)获取目标的身份证号码,到相关网上银行社工,或通过黑产社工库等违法手段获取目标的银行卡号行为,也应按照《网络安全法》、《治安管理处罚法》、《刑法》施以处罚。

  早在2015年6月,国务院就批准建立了由23个部门和单位组成的打击治理电信网络新型违法犯罪工作部际联席会议制度。公安部加强警银合作,与中国人民银行等部门联合制定了电信网络新型违法犯罪涉案账户紧急止付和快速冻结机制,实现商业银行和公安信息互通。2016年5月,最高检下发《关于切实做好打击整治电信网络诈骗犯罪有关工作的通知》,要求各级检察机关侦查监督部门加强与当地公安机关、金融、电信主管部门的工作衔接。治理短信“半夜盗刷”乱象,类似的多方联动治理也势在必行。

  还应看到的是,短信“半夜盗刷”,亦是一种危害网络安全的行为,网站App的安全责任同样不能忽视。根据我国网络政策和相关法规,网络运营者对其运营的网站和提供的网络产品与服务承担安全义务。《网络安全法》具体规定了网络运营者的信息安全管理制度义务、用户身份信息审核义务、保障个人信息安全义务、违法信息处置义务、信息记录义务、投诉处理义务、配合监督检查义务等。当账户登录及资金操作出现异常,网络平台理应监控把关。对于手机号码加短信验证码的便捷方式,还应辅以更高安全系数的技术手段,如每日限额、人脸或密码校验等风控措施。

  诚如以色列历史学家尤瓦尔⋅赫拉利所言,科技革命不是“知识的革命”,而是“无知的革命”。随着互联网科技的勃兴,类似短信“半夜盗刷”的新型犯罪,只怕还会层出不穷。未雨绸缪铸牢法治防线,凝聚从政府部门到银行、电信企业、网络平台、个体的合力,人们才能真正无后顾之忧。

责编:秦璐敏
分享:

推荐阅读