疑点
诈骗实施前网友个人信息可能已泄露
此外,攻击者为什么能在很短的时间内完成盗窃,用户对于互联网的各种服务有足够了解度和经验的前提下,他的防护速度仍然跟不上攻击者的进程,李铁军认为这说明攻击者提前已经有足够的准备,提前掌握了一定的用户信息。
“小偷要重置号码,一般需要身份证号、邮箱信息、银行账号等等。这些信息是之前已被攻击者掌握还是在事件中陆续破解,仍需公安机关的调查”,但从网友描述攻击者很快完成了密码的重置以及登录等信息来看,李铁军分析,很有可能之前已有信息泄露的发生。
据360安全专家分析,按照受害人目前的描述,判断这是一起典型的综合利用“个人信息+ USIM补换卡+改号软件发送诈骗短信”的电信诈骗案件。根据百度钱包的关联来看,很有可能在诈骗实施之前,骗子已经获取了受害人的银行卡号、身份证号、姓名、手机号等个人信息。在这种情况下,骗子只需要得到受害人的短信验证码,即可进行包括网银、支付宝、百度钱包的所有转账操作。于是,骗子选择利用移动的USIM补换卡业务,直接窃取用户的手机卡,并由此可以掌握该网友的全部手机短信,包括转账必需的“验证码短信”内容。由于该案例不同于一般的网络诈骗犯罪分子的行动动机,并且根据事主现在的描述,该事件仍有一些疑点。因此,其他用户也无需过度恐慌,可以说,该案可能是一个“极端案例”。
提示
任何时候都不要把验证码给别人
李铁军指出,伴随不良分子诈骗方式与技术手段的花样翻新,电信诈骗有可能威胁到每一个人。“经常在网上泡的人,其实都存在个人信息的不同程度泄露。”李铁军认为。信息泄露已经防不胜防,对于普通人,需要注意的包括,任何时候不要把自己的验证码给其他人,其中尤其是收到与银行、支付系统以及个人账户有关的短信,一定要确认自己把全部短信内容完整看完,切忌匆忙处理,更要避免贸然把验证码误发给别人。
此外李铁军建议,作为防范,每个人都应提前做好一些应急预案。比如一旦发生手机突然失效,没有信号是被攻击的典型现象,必要时第一要冻结银行卡,冻结第三方支付账号,这些只要借一部手机就可以完成。一旦发生诸如此类的意外情况,要有足够的风险意识,不能放任自己成为信息孤岛,也不能等待或者犹豫,要立即采取措施防范。
声音
谁该为电信诈骗事件负责?
在上述案例中,网友在文中最后也发出质疑,运营商与银行等各种环节,究竟谁愿意为这一事件负责?对此,中国互联网协会信用评价中心法律顾问赵占领律师表示,类似电信诈骗由于具体方式非常多,所以需要结合具体案例的过程来看。其中厘清诈骗犯如何获得信息是关键步骤之一。进而要结合具体案例分析,界定其中是否涉及有过错责任方。
“追究责任的前提是,对方有过错。”就网友文中透露的案例,赵占领认为,如果是用户手机卡被复制后,网银密码是通过验证码重置被攻破盗取,则支付环节的责任初步看较为难以界定。而涉及运营商的环节,赵占领认为,关键要看SIM卡的补办环节是否有问题。如果犯罪分子去营业厅补办,需要用身份证,运营商在办理SIM卡中有审核身份的责任。而如果确认补卡申请与用户网上营业厅密码泄露有关,则目前也很难界定运营商的责任。
“最终需要公安机关通过刑事立案,抓获嫌疑人,才能具体厘清犯罪的过程和手段,目前来看,受害人还很难判断和证明包括运营商和银行等支付方该负什么样责任。”赵占领指出。
图示制作/王慧
焦点
安卓系统比苹果系统容易受侵害?
由于电信诈骗案的频发,让用户对智能手机的安全性更加关注。虽然不能绝对地说苹果系统比安卓系统更加安全,但是从目前发生的许多案例来看,安卓系统用户受到侵害的频率相较于苹果系统用户更多。
据360安全专家介绍,这首先是基于安卓用户数量远超于苹果用户数量。因此如果开发一款木马或其他病毒程序,犯罪分子也会选择针对安卓系统来开发相应软件。
其次,安卓系统是开源系统,也就是说,任何人都可以得到软件的源代码,加以修改,进行二次开发利用。相反地,苹果是一个封闭的系统,只有开发者才可以修改系统代码。因此,从黑客入侵的难易程度来看,苹果更加安全。
另外,一些利用伪基站实施诈骗的案例,由于苹果手机用户下载程序必须去苹果商店,在互联网网站无法下载,因此骗子的木马程序仅对安卓系统用户有效,所以安卓系统受到侵害的几率更大一些。
体验
支付宝、微信、百度钱包哪个更安全?
由于该事件中出现了“一个手机验证码”便可盗取账户及进行转账操作,北青报记者昨日进行验证,发现各个支付App的验证方式和要求各不相同。
首先,北青报记者尝试在另外一台非常用设备上登录支付宝。先利用“账号+密码”的方式登录支付宝,在输入账号密码后,常用手机会收到提示“你的账户某某于几点登录,如非本人操作,请修改密码,建议密码与你的其他网站密码不同。”随后,会用一些既往信息验证是否本人操作,比如选择“哪一个wifi是你用过的”或“哪一个商品是你购买过的”,点击正确后,才可以进入支付宝。但是如果选择用“手机号+验证码”的方式登录,则仅需输入短信验证码即可立刻成功登录。
与支付宝刚好相反,微信对于“手机号+验证码”的登录方式要求较严格,而对于“账号+密码”的方式则较信任。北青报记者同样在另一台非常用设备上登录微信,被要求进行好友验证。好友验证是给出15位微信用户头像,需要用户从中选出自己的微信好友,至少2位。但如果利用“账号+密码” 的方式,则可以立刻登录成功。不论使用哪种登录方式,在常用设备上都会收到一条提示“你的微信账号于几点在什么设备上通过微信密码登录,如果这不是你的操作,你的微信密码已经泄露,请尽快登录微信修改微信密码。或访问weixin110.qq.com冻结微信。”相比支付宝,微信增加了冻结微信的选项,比密码泄露后还需要通过修改密码的保护账户的选项更加实用。
最后,北青报记者用百度钱包在非常用设备登录时,也可以利用“手机号+验证码”的方式登录,且无需其他验证。此外,用户还可以选择用绑定的手机号编辑新密码直接向一个固定号码发送短信,便可以更改账户密码。
加拿大华人网 http://www.sinoca.com/