骗子的一条短信,让受害者的支付宝、银行卡及百度钱包内的所有资金被洗劫一空。随着这起通信诈骗案的传播发酵,运营商也再次被“口诛笔伐”,但板子都打在运营商身上合适吗?
骗子先通过非法手段获取受害者的静态密码、姓名、身份证号码、银行卡号等关键信息,登录网上营业厅为其订购某增值业务,其后,通过某139邮箱(中国移动自动为客户开通的免费业务)向受害者发送“退订业务请发送校检码”的短信,收到该短信的受害者或许潜意识里将此认为是业务退订短信。此时,骗子通过网上营业厅激活“自助换卡”业务,接到申请后,系统向受害者下发换卡二次确认验证码(6位USIM验证码),受害者将验证码发给了骗子,导致骗子完成关键的远程换卡,使受害者原手机进入“瘫痪”状态。骗子将受害者的USIM卡替换到了自己手机上开始洗劫。
USIM是全球用户识别卡的英文缩写,是放置在手机里的芯片,运营商据此识别用户身份。验证码是互联网世界的身份证,静态密码+动态验证码的组合方式是目前业界普遍采用且非常认可的验证方式。
而手机短信,是最普遍、最主要的动态密钥方式,为方便用户在遗忘密码时找回密码,大多数网站允许用户通过手机找回密码。甚至各家金融机构,只要通过注册手机验证码确认,也都会开放各种密码修改和转账权限。
这意味着,手机号码已成为我们在互联网上最重要的“身份证”,而本案则暴露出运营商短信验证已经不能充分保证用户安全,银行、网站迫切需要找到能够远程验证用户身份的新手段。
案件发生后,很多人也都在指责运营商和银行。事实上,运营商和银行都是按照正常的业务流程在办理业务,而网上营业厅密码是用户自己泄露或骗子以其他手段获取的,最关键的换卡验证码,也是用户自己发给骗子的。
受害者的验证码被骗子骗取是其不幸遭遇的关键。中国移动在强调“我们积极联系客户并尽全力配合客户做了调查和补救工作,需要我们承担责任的地方绝不逃避”的同时,已组织专家讨论优化方案,将进一步优化流程以最大程度防止客户权益被侵害。尤其是在下发验证码时候,中国移动会提醒客户任何情况下都不能发给陌生人。
每年,从工信部到三大运营商,一个极为重要的工作,都是严打通信欺诈。但在打击通信诈骗问题上,他们没有执法权。
在当前电信诈骗猖獗的环境下,运营商对于手机号码的保障体系反而成了用户的最后一道防火墙,整个网络黑产业链、金融漏洞都只依赖运营商验证码业务作为最后的屏障,是整个社会体系的缺失。
【欢迎转载 请注明来源】
