对于移动支付来说,安全是永恒的探讨主题,在已经过去的2020年也是如此。虽然在2020年发生了许许多多的事情分散了我们的注意力,但还是有一些安全问题值得我们关注。
手机丢失造成的SIM卡盗刷
2020年的9月, 老骆驼在经历了与一个专业黑产团伙的几天对抗之后,根据自己搜集整理分析的结果发表了《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文,这篇文章发表后引起了轰动效果。
工信部专门组织核查处理,于10月12日约谈了涉事电信企业相关负责人,并发文提醒相关单位、企业和个人强化个人信息保护意识。
老骆驼的遭遇让所有人都认识到,在我们平时没有注意到的角落有一种新的盗刷手段出现了。老骆驼表示,自从文章发布后,有几个网友留言说自己经历过一模一样的场景,受损金额都比较大,最严重的一位有68万的线上贷款,目前还在索赔中。
目前,三家电信运营商在服务密码重置、解挂等涉及用户身份的敏感环节,均已在方便用户办理业务的同时强化安全防护,同时加强了客服人员风险防范意识培训,警惕业务异常办理行为。
工信部提醒广大用户及时设置SIM卡密码,在丢失手机后应第一时间挂失,强化安全风险意识。这个建议是非常有效的,不过也有人在设置了SIM卡密码之后就忘记了密码,以至于手机重启之后不得不去营业厅解锁。
短信嗅探盗刷与验证码
2020年的6月,央视新闻报道了一起短信嗅探盗刷案件,案件发生在2019年。海南省三亚市宋女士的手机上突然收到了几条短信验证码。不一会儿,手机又接到短信,显示她的银行卡被刷走了5万元。
央视的报道再次让“短信嗅探”进入大众的视野。所谓短信嗅探技术,是通过特殊设备可以采集附近手机号码和机主信息,实现不接触目标手机,而获得目标手机所接收到的验证短信的犯罪手段。
有专家认为短信被嗅探并导致资金账户被盗发生场景的概率是极低的,普通用户无需过于担心,更不需要在晚上睡觉时“主动关机”。
但实际上,用户除了关机或打开飞行模式并没有什么很好的防御方法,这意味着如果用户碰上了短信嗅探盗刷,基本上是没有抵抗能力的。只要被攻击,短信验证码肯定会被拦截,至于会不会被盗刷,主要看支付平台风控做的如何,用户完全无法控制。
验证码主要用于用户实名认证,在国内使用短信验证码已经成为了各大App、网站的基本操作。使用短信验证码可以完成登录、更改密码、转账、支付等诸多操作,从实质作用上,短信验证码已经变成安全口令:一个双方约定好、只具有一分钟生命的安全口令。
3GPP制定协议标准时,在考虑发生紧急情况、突发事件时可能产生大量手机业务请求,需要能及时调度网络请求,转移压力,这时候大量的鉴权、加密、完整性检查等安全措施可能导致网络瓶颈,因此舍弃了部分安全措施,由此产生了安全漏洞。
也就是说,短信验证码被拦截是因为相关企业没有做好数据全生命周期保护,在数据传输过程中出现了致命的漏洞。而这个漏洞由于属于设计漏洞,因此修复难度大、成本高。
对于这个漏洞,目前也有解决方案。2020年4月8日,中国移动、中国电信、中国联通携手11家合作伙伴共同发布《5G消息白皮书》。5G消息作为短信业务的升级或将彻底解决这个漏洞。
2G网络退网也处于规划当中。中国联通上海市场部副总经理朱骏表示,中国联通集团规划最快在2021年全面实现全国的2G退网,有条件比较成熟的省市,在2020年计划做2G的退网。同时,中国移动和中国电信也释放出2G退网的信号。
口罩与刷脸支付
2020年伊始,突如其来的新冠肺炎疫情冲乱了庚子年新年的喜庆,也打断了中国社会发展的脚步。做好疫情防控工作,各大城市要求进入公共场所的人员必须佩戴口罩。
而在3月,一位美国设计师将脸部下半部分印在口罩上后,成功通过Face ID的验证。而腾讯安全玄武实验室最新发布的研究成果显示,戴着市面上常见的几款口罩,就有极大概率能解锁iPhone。
戴着口罩能解锁苹果,是否也能通过支付宝、微信支付的识别?微信支付表示,戴口罩解锁目前不能应用于微信刷脸支付,对安全性不会构成威胁。支付宝方面未予置评。
目前在刷脸支付中,刷脸只是支付中的一个步骤,还需要交叉验证,因此安全性是有保障的。那么没有交叉验证的刷脸支付怎么办呢?
今年7月1日,哈尔滨地铁“刷脸”乘车系统投入使用,乘客进出站无需摘戴口罩,轻松识别,直接过闸机。该系统可适用于各类复杂光线环境,能实现双目红外活体检测,自动抓取人脸图像。
随着气温的进一步降低,以及国际疫情形势的不乐观持续发展,戴口罩可以预见将会成为人们在很长一段时间之内的常规操作。
全球最好的人脸识别技术水平为千万分之一误报下的识别准确率接近99%。这仍然只是无限接近1,而不能做到等于1。
目前戴口罩刷脸支付是否适用于各种场景,能不能充分满足安全需求还需要更多的实验。
短信:“您ETC认证已失效......”
2020年3月21日,老黄收到了ETC管理处发来的短信。时值疫情,老黄已经好久没有开车上过高速,没有使用过ETC,办理ETC的时候也是一知半解,没人和他说过ETC会不会失效。出于可能会用的上ETC的心理,老黄点开了短信里的链接,开始办理线上核实认证。
此时老黄没有想那么多,短信看起来很正规,短信发送方是10开头的一长串数字,和平时给他发验证码的发送方一样,殊不知,这正好让他落入了骗子的圈套。
进入链接之后,老黄按要求填写了各种信息,包括姓名、车牌号、银行卡卡号和手机收到的验证码等等。过了一会,收到的不是认证办理成功的信息,而是银行卡里的钱被转走的信息。这时老黄才反应过来,自己这是被骗了,赶紧报警。
2019年,交通部印发《关于大力推动高速公路ETC发展应用工作的通知》,在该文的指导下,ETC开始在全国范围内快速推广。于此同时,与ETC相关的盗刷、诈骗事件开始高频出现,老黄的遭遇并不是个例。
2020年12月25日,齐齐哈尔市甘南县公安局破获一起电信诈骗案件,涉案金额10万余元,抓获犯罪嫌疑人郭某、张某、王某,扣押手机10部、银行卡32张、现金2800元。
3名犯罪嫌疑人事先建立了一个虚假网站,再通过非法途径获取了被害人信息,通过短信的形式向被害人发送“ETC”银行卡异常的通知,诱导被害人在假网站上输入银行卡密码。
身为车主肯定会关心“ETC认证失效”是否会影响自己出行,收到类似的短信会加以关注,因此非常容易上当受骗。
事实上,ETC没有所谓的失效问题,激活之后就是永久有效的。除非是用户卡片到期或者挂失重置,ETC设备才会被止付,用户更换卡片后通过ETC合作方途径再次录入新卡信息便可以重新使用。银行和ETC合作方都表示不会向ETC用户发送包含链接的短信内容。