科技网

当前位置: 首页 >通讯

一夜被盗刷5万元运营商云服务互金平台谁来

通讯
来源: 作者: 2019-04-05 23:31:34

如今的用户,可以从很多入口进入互联的世界。即便每一个入口都没出错,信息安全问题仍可能不断爆发。

近日有报导,深圳的何先生发现,自己的曾被一个陌生号码接收,骗子接收了短信验证码,用何先生的京东账户白条消费和申请贷款,1夜间洗劫了5万多元。

然而,这个事情为何会产生?何先生被盗刷的原因是什么?客户又应当如何防范?能否从根本上解决问题?

让我们像破案一样,根据报导中的几个细节来,还原事实真相。

360公司经过与何先生联系沟通,并与移动运营商合作取证调查,现已查明何先生账户被盗的进程,公告如下:

1、1月30日,上海一个IP的设备利用弱密码和社工库密码,频繁尝试破解何先生的360OS云服务账号,试错密码的间隔时间最短为3秒钟,最长为10分钟。由于何先生的360OS密码较简单,终究被成功登陆账号。

2、2月3日清晨,IP位于辽宁的犯罪嫌疑人登陆何先生的360OS云服务账号,利用 回复短信 接口把何先生号码绑定。犯罪分子又利用云服务 找 烧毁资料 功能,每隔5、6分钟就发出一次 烧毁资料 指令,使何先生的延续处于离状态。

3、在何先生被 烧毁资料 期间,犯罪嫌疑人接收了何先生的短信验证码,入侵其京东账号用白条消费,造成实际损失1000元;再用金条贷款52000元,转入何先生名下的中国银行卡中,随后转账50000元到犯罪嫌疑人账户,又用ATM机无卡取款2000元。何先生的损失总计到达53000元。

在此事件中,何先生的银行卡号、取款密码、预留号及身份证号(在络个人信息交易黑市中俗称为 银4大件 )已通过其他途径泄漏并被犯罪嫌疑人所掌握,再利用短信验证码,犯罪嫌疑人盗取了何先生银行卡资金。种种迹象表明,这是一种由团伙作案、分工周密的新型诈骗手段。

案例中涉及的几个高科技新业务我们先看看这个案例中的几个高科技新业务名词:运营商提供的副号码、智能云服务-烧毁资料、京东白条/金条账户贷款。

运营商提供的副号码,是在一张SIM卡上开启多个号码。当你不希望自己的主用号码被对方了(sao)解(rao),却需要进行/短信沟通时,就可以给对方一个副号码来联系,等到沟通完再取消便可。

这项业务与购、房产租售、快递、打车等场景的适配度非常好,广受客户欢迎,并结合客户需求增加了一些衍生功能,比如主副号码可以随时切换,副号码来电提示等。(参见2015年的文章《 的几种变化,你造不?》)

智能云服务这个名字,一听就非常高大上,各家产品形态和特点也不尽相同,360提供的云服务自然更强调安全性。360云服务将通讯录、照片、短信及通话记录等个人数据备份与恢复于一身,而且操作非常简便,可以一键自动备份与恢复中的重要信息。使用云服务最大的好处就是对数据保护,即便换机换号的情况下也不用担心数据的丢失。

考虑到不同客户的需求,360云服务也有一些"独门暗器",万一用户丢了怎么办?可以通过云的方式在远程"烧毁资料",原有的持有者拿的是一块废铁,也就没有信息泄漏的风险了。

京东白条/金条账户贷款,都是"京东金融"旗下的产品,在"互联+"的发展大势之下,借助于京东在电商方面的积累,京东金融不但帮客户解决购物场景,还为客户提供了理财、信贷等服务。

最初,"京东白条"是为客户提供"先消费,后付款"的支付方式,改良客户的购物体验。后来又推出了现金借贷产品,就是京东金条,这个业务是为信誉良好的白条用户提供现金借贷服务,是白条信誉在现金消费场景下的延伸。(最新消息,京东金融旗下的"白拿"业务被叫停了。)

场景重现据报道,事主何先生的云服务密码是弱口令,于1月30日被"撞库",就是被犯罪嫌疑人试了出来。这就意味着,犯罪嫌疑人可以用何先生的身份使用360云服务。

2月3日清晨,犯罪嫌疑人先用自己的向何先生的号码发送副号码绑定申请,再登录何先生的云服务账号,用"回复短信"的功能发送确认短信,完成了主副号码绑定。这样何先生的号码就成了犯罪嫌疑人的"副号码"。

接下来,犯罪嫌疑人在360云服务平台上发起"烧毁资料"功能,致使何先生的一度处于关机离状态,没法接收到任何信息。与此同时,犯罪嫌疑人以何先生的号码作为ID登陆京东,京东平台的短信验证码发送不到何先生的上,于是转到何先生的"主号码",也就是犯罪嫌疑人的号码上。

此时,犯罪嫌疑人能够冒用何先生的名义在京东上操作了。他先是使用"京东白条"消费,造成了大约1000元的损失,以后就以"信誉良好的白条用户"身份申请金条贷款52000元。

依照京东的业务规则,贷款必须打到客户自己的账户上。但这重保障手段,也没能挽回何先生的损失,由于此前犯罪嫌疑人已得到了他的中国银行卡的卡号、取款密码和身份证信息等,因此当贷款转到何先生卡以后,犯罪嫌疑人将资金以转账和无卡取款等方式,将卡上资金全部转走。

当然,这时候如果有验证码,信息也依样画葫芦被转到犯罪嫌疑人的上。

1夜被盗5万元,谁的错?表面来看,运营商、360、京东,甚至包括银行,谁也没有做错什么。

从运营商来看,整个过程完全符合一个正常用户的行为逻辑:先用一个号码发起绑定副号码,被绑定的也发送了回复确认短信。平台发送验证码,运营商也及时准确地将信息传递给接收;当副号码关机短信发送不成功时,为保持通信畅通将信息转发至主号。

360云服务看起来也挺冤:通过云服务回复短信是为了方便客户,结果反而成了犯罪分子冒用客户身份的平台和工具;本来烧毁资料是为了防止用户丢失时造成客户的信息泄漏,没想到却成了爪牙。而由于用户的弱密码被攻破,所以360没法判断登录上来的是李逵还是李鬼,被履行销毁资料的是丢失的还是真正的用户。

京东的金融创新,让一个卡里没钱的客户损失数万;但从京东来看,对用户的身份验证全部通过,发起的业务又合规合法,有甚么理由拦截要求不提供服务?银行的上转账和无卡取款更是如今非常普遍的服务手段,也没有错啊。

如此看来,仿佛何先生才是犯错误最多造成影响最大的关键:一是在360云服务平台上使用弱口令;2是账户信息密码泄漏。

看到这样的,读者的脑海中会做出甚么反应?运营商的新业务有风险?互联的新业务有风险?对这些新鲜事物,是否是还是远离比较好?

深度分析入口曾是众多企业争取的焦点(参见2014年的文章《入口争取真的很美么》),更是互联故事的核心。但是打来打去发现谁也取代不了谁,因而构成了多入口并存的格局(参见2016年的文章《如果不再垄断,入口还牛得起来吗》)。

这个案例,恰恰表现出多入口并存的情况下,出现的新问题。

前面分析过,从运营商、360和京东来看,都难以辨认操作者是何先生还是假冒者:运营商接到的是360平台以客户名义发送的短信,京东进行身份验证时通过中国移动发送验证码,每个服务者都只有客户的部分信息,谁来提供系统性的安全防护?(补充说明:360已经按照先行赔付的许诺给用户全额赔付,但这是服务补偿,而非全面防护。)

梦时期,运营商是用户的入口,客户订购的各种业务,都必须在运营商这里留下"订购关系",然后运营商据此向用户收费,与SP分账。所以运营商有为用户提供"Total Solution",提供包括信息安全在内的一切服务。

如今的移动互联时期,运营商不再具有用户的全量订购关系,很多业务貌似与运营商有关,只是由于互联企业将用户的作为ID,运营商提供验证码等通道类服务,不再具有提供完全服务的能力。

那么有没有运营商的替换者,成为客户服务的集成者呢?在这个案例中,当事人何先生既是中国移动的客户,又是360云服务的客户,还是京东的客户。这三者每家都只能提供一部分信息服务,而将其集成在一起的,是用户自己。

因而,当客户自身安全意识不强,而犯罪分子又对业务精通的时候,这类利用不同服务商信息不完备,钻漏洞乃至犯法的风险就会愈来愈大。

解决办法首先,用户增强自己的安全防范意识,是眼下唯一有效的解决方案。隐私保护、密码设定,以及面对各种诱惑时的应对方式,愈来愈成为这个时代必要的自我防护手段。特别对于那些匪夷所思的"大便宜",个人以为还是别信的好。

第二种方式是构成信息安全同盟,实现不同入口之间的信息同享和互通,加大安全联合防范的能力。骗子们都在玩跨平台,如果继续各自为战,很难应对。

但是这类方式难度非常大,因为各家平台之间都是竞争关系,缺少实现信息同享的信任感。而且在很多时候,增强安全性意味着下降操作的便利性,这是很多创新企业打死都不愿意做的事情。

第三种方式是形成信息安全中心,将多入口的信息聚集在一起,提高安全防护能力。要做到这一点也不容易,由于这个平台的权威性和服务能力要非常高,想找到这样的平台,太难了。

所以结论是:在多入口的时候,做好个人自己的安全防护,自求多福吧。

更多精彩内容,关注钛媒体号(ID:taimeiti),或者下载钛媒体App

第一时间获得TMT行业新鲜资讯和深度商业分析,请在公众账号中搜索「钛媒体」或「taimeiti」,或用扫描左方二维码,便可取得钛媒体逐日精华内容推送和最优搜索体验,并参与活动。

我们会向您的号发送验证码,请查收并按提示验证您的号。如果您没有收到短信,请留意垃圾短信拦截

经检测,你是“钛媒体”和“商业价值”的注册用户。现在,我们对两个产品因进行整合,需要您选择一个账号用来登录。不管您选择哪一个账号,两个账号的原有信息都会合并在一起。对给您造成的不便,我们深感歉意。

下尿路结石怎么治疗方法
小便异味难闻怎么治疗
小便有异味什么症状

相关推荐