此时,犯罪嫌疑人能够冒用何先生的名义在京东上操作了。他先是使用"京东白条"消费,造成了大约1000元的损失,之后就以"信用良好的白条用户"身份申请金条贷款52000元。 按照京东的业务规则,贷款必须打到客户自己的账户上。但这重保障手段,也没能挽回何先生的损失,因为此前犯罪嫌疑人已经得到了他的中国银行卡的卡号、取款密码以及身份证信息等,因此当贷款转到何先生卡之后,犯罪嫌疑人将资金以转账和无卡取款等方式,将卡上资金全部转走。 当然,这时如果有验证码,信息也如法炮制被转到犯罪嫌疑人的手机上。 表面来看,运营商、360、京东,甚至包括银行,谁也没有做错什么。 从运营商来看,整个过程完全符合一个正常用户的行为逻辑:先用一个号码发起绑定副号码,被绑定的手机也发送了回复确认短信。平台发送验证码,运营商也及时准确地将信息传递给接收手机;当副号码关机短信发送不成功时,为保持通信畅通将信息转发至主号。 360云服务看起来也挺冤:通过云服务回复短信是为了方便客户,结果反而成了犯罪分子冒用客户身份的平台和工具;本来销毁资料是为了防止用户手机丢失时造成客户的信息泄露,没想到却成了帮凶。而因为用户的弱密码被攻破,所以360无法判断登录上来的是李逵还是李鬼,被执行销毁资料的是丢失的手机还是真正的用户。 京东的金融创新,让一个卡里没钱的客户损失数万;但从京东来看,对用户的身份验证全部通过,发起的业务又合规合法,有什么理由拦截请求不提供服务?银行的网上转账和无卡取款更是如今非常普遍的服务手段,也没有错啊。 如此看来,似乎何先生才是犯错误最多造成影响最大的关键:一是在360云服务平台上使用弱口令;二是账户信息密码泄露。 看到这样的新闻,读者的脑海中会做出什么反应?运营商的新业务有风险?互联网的新业务有风险?对于这些新鲜事物,是不是还是远离比较好? 深度分析 入口曾是众多企业争夺的焦点(参见2014年的文章),更是互联网故事的核心。但是打来打去发现谁也取代不了谁,于是形成了多入口并存的格局(参见2016年的文章《如果不再垄断,入口还牛得起来吗》)。 这个案例,恰恰表现出多入口并存的情况下,出现的新问题。 前面分析过,从运营商、360和京东来看,都难以识别操作者是何先生还是假冒者:运营商接到的是360平台以客户名义发送的短信,京东进行身份验证时通过中国移动发送验证码,每一个服务者都只有客户的部分信息,谁来提供系统性的安全防护?(补充说明:360已经按照先行赔付的承诺给用户全额赔付,但这是服务补偿,而非全面防护。) 梦网时代,运营商是手机用户的入口,客户订购的各种业务,都必须在运营商这里留下"订购关系",然后运营商据此向用户收费,与SP分账。所以运营商有责任为用户提供"Total Solution",提供包括信息安全在内的一切服务。 如今的移动互联网时代,运营商不再拥有用户的全量订购关系,很多业务貌似与运营商有关,只是因为互联网企业将用户的手机作为ID,运营商提供验证码等通道类服务,不再具备提供完整服务的能力。 那么有没有运营商的替代者,成为客户服务的集成者呢?在这个案例中,当事人何先生既是中国移动的客户,又是360云服务的客户,还是京东的客户。这三者每家都只能提供一部分信息服务,而将其集成在一起的,是用户自己。 于是,当客户自身安全意识不强,而犯罪分子又对业务精通的时候,这种利用不同服务商信息不完备,钻漏洞甚至犯罪的风险就会越来越大。 解决办法 首先,用户增强自己的安全防范意识,是眼下唯一有效的解决方案。隐私保护、密码设定,atv,以及面对各种诱惑时的应对方式,越来越成为这个时代必要的自我防护手段。尤其对于那些匪夷所思的"大便宜",个人以为还是别信的好。 第二种方式是形成信息安全联盟,实现不同入口之间的信息共享和互通,加大安全联合防范的能力。骗子们都在玩跨平台,如果继续各自为战,很难应对。 (责任编辑:本港台直播) |