复制受害人手机卡,再通过手机卡内支付宝绑定的银行卡将钱转走——日前,靠这一手段作案数起的杨某、余某被重庆市渝北区公安分局龙溪派出所抓获,涉嫌盗窃罪已被刑拘。
案件中,从保险公司、手机运营商到支付宝,个人信息和网络支付层层失守,令人担忧。如今,网络支付与手机等个人信息密切“绑定”,用户如何保护自己的信息以及资金安全?
用假身份证补办手机卡
今年9月2日,重庆市龙溪派出所接到受害人王某某报警,称自己农业银行卡内的19120元被人分5次转到了一个陌生的建设银行账户上。
杨某、余某被抓获后交代,由于曾在网上看到可通过一些操作转走别人支付宝里的钱款,8月中旬,杨某登录某保险公司网站查询页面后,随便输入一个名字“王某某”碰运气,没想到页面竟显示有这个人,并公布了其身份证号码和手机号码,杨某遂根据这些信息制作了“王某某”的假身份证。
杨某让余某持假身份证到通讯营业厅补办了王某某的手机卡。据通讯运营商客服人员表示,他人代办补卡只需要提供代办人和机主的有效身份证原件、经机主本人签名的委托书。对于不法分子利用假身份证补办他人手机卡的案件,营业厅可提供录像和留存资料协助破案,但在办理补卡时,营业厅对身份证真假的识别条件有限。
补办手机卡后,杨某等人立即通过手机号码找回王某某的支付宝登录密码,用转账业务将受害人支付宝绑定银行卡上的钱转到了自己的银行卡上。
在前后两天时间内,同一位用户补卡当日就发生故障,第二天再恢复使用,办理业务的工作人员不会看到记录并发觉有异常吗?据了解,机主本人或者经办人要求恢复手机卡使用,营业厅工作人员验证身份信息后,便可补卡。尽管联网系统内记录有之前办理的业务,但只有机主本人或者经办人提出申请后,工作人员使用进一步查询的功能才能看到。因此,上述杨某、余某的一系列操作未被运营商工作人员察觉。
源头信息泄露难挡
支付平台作为最后一道关卡,有些支付验证方式是不是太依赖手机了?
近日,有网友称,买到新的手机号码后,发现该号码之前绑定了一个支付宝账号,通过“忘记密码”功能和短信验证码,就能得到原机主的淘宝和支付宝账号。
对于这个问题,阿里小微金服风险管理部总监徐蔚表示,支付宝更改过“找回密码”功能,目前需要手机短信校验及身份信息等多重信息验证,这在一定程度上降低了风险。
据介绍,支付宝使用了以通讯加密、安全控件、权限系统、在线实时交易风险监控系统为基础的技术方案,为用户提供登录和支付双密码、防钓鱼签名、数字证书、手机动态口令、支付盾等安全解决方案。
对于在线实时交易风险监控,财付通助理总经理、风险管理中心总监张平博士举例说,如果用户突然出现单笔大额异地交易,或系统检测到可疑的操作,会暂停交易并人工确认。
徐蔚强调,手机是互联网支付安全保障中一项比较重要的可信认证,但并不是孤立起作用的。身份证是个人信息可靠标识,像上述案件中受害人王某某所遭遇的事件,主要与身份证信息泄露和运营商二次放号的问题相关。
保障支付安全须多方努力
王某某的遭遇,首先源于不法分子从保险公司网站轻易查到了身份信息。事实上,一些招聘、社交类网站,甚至单位网站在这方面都有漏洞。
360网购先赔负责人万仁国认为,保障支付安全需要社会各界共同努力,“安全取决于最短的那块板。”
万仁国说,网络支付需要更高强度、多重的验证机制。单靠手机身份验证,确实无法应对不法分子补办他人SIM卡、GSM短信嗅探等情况。专家提醒,个人如果打算废弃某个手机号码,一定要清除该手机号所绑定的服务。
徐蔚表示,在移动互联网时代,用户对移动支付体验的便捷要求越来越高,也伴随着风险概率的提升。希望用户能妥善保管个人身份证、银行卡及其他隐私信息。同时,获取相关信息的机构、单位、企业也应完善安全机制,运营商、银行则应共同就关键业务受理加强身份审核。 (辛华)