ETC短信诈骗重出江湖 三大运营商或许还有救?
陈拾九移动支付网2020/4/29 9:01:01

1. 短信:“您ETC认证已失效...”

3月21日,老黄收到了ETC管理处发来的短信。时值疫情,老黄已经好久没有开车上过高速,没有使用过ETC,办理ETC的时候也是一知半解,没人和他说过ETC会不会失效。出于可能会用的上ETC的心理,老黄点开了短信里的链接,开始办理线上核实认证。

此时老黄没有想那么多,短信看起来很正规,短信发送方是10开头的一长串数字,和平时给他发验证码的发送方一样,殊不知,这正好让他落入了骗子的圈套。

进入链接之后,老黄按要求填写了各种信息,包括姓名、车牌号、银行卡卡号和手机收到的验证码等等。过了一会,收到的不是认证办理成功的信息,而是银行卡里的钱被转走的信息。这时老黄才反应过来,自己这是被骗了啊,赶紧报警。

老黄在派出所把该登记的登记完,回到家里心里没个滋味,怎么自己就被骗了呢?老黄打开百度一搜索,原来自己的事情并不是孤例,在四川、浙江、河南、福建多个省份都有类似案件发生,被骗的金额也从几百到十几万不等。

这时老黄开始平静下来了,被骗的不止自己一个。

2. 事情可能还没结束

对于事不关己的吃瓜群众来说,老黄报警了,这事就算结束了,自己长个记性,收到类似的短信千万不要点链接就行。

老黄也是这么想的,以后再也不点短信里面的链接,现在就安心等警察调查结果,其他什么都不用干。

不过事情从来没有这么简单,老黄以为他被骗的只有卡里的钱,但实际上,骗子还骗走了他的个人信息,这些个人信息的维度还非常齐全,除了老黄的个人信息,还包括老黄的车牌号以及银行卡号。

这份个人信息能用来干什么呢?

两周前,中国百万银行数据在外国暗网被叫卖,涉事的几家银行在几天内先后回应:“我行未发生数据泄露,我行谴责任何伪造并贩卖公民信息的犯罪行为,并保留追究损害我行声誉法律责任的权利。”

被售卖的百万银行数据来源是什么至今没有定论,银行表示有可能是不法分子拼凑得到,但也不排除撞库的可能。

但无论是哪种可能,个人金融信息都是百万数据中最基本的组成部分,老黄的数据很有可能就在其中,而类似金融信息无论是不是银行数据从来不缺买家。

也是在今年4月,上海市青浦区检察院以涉嫌侵犯公民个人信息罪、非法利用信息网络罪对被告人熊某提起公诉。熊某从暗网购得包含联系方式的个人信息之后,先进行筛选,筛选过后的数据有两种用途。

一种用途是出售,熊某将筛选过后的数据加价出售给了其他犯罪分子,变现获利;另一种用途则是推广网站,不过在熊某这里则是用来推广赌博网站,向手机号发送“澳门皇家赌场这样的信息。”,很明显,熊某不打算只赚一波钱。

对于老黄来说,当他被骗的那一刻起,他的个人信息就开始了不知终点在哪里的旅途,不知道会被谁用来干什么,或许会成为黑客手中进行撞库和扫号攻击的武器,或许会成为某个黑灰产分子变现的工具,或许会在不知道什么时候给老黄再次带来损失。

3. 不能管理的身份认证系统

面对上述问题,大部分人的第一想法是:换手机号啊,换了手机号一切问题都解决了。但是对于老黄来说换手机号不是一个简单的事情,甚至对于任何一个人来说都不是一个简单的问题。

自从开始推广网络实名制,手机号就开始绑定各种各样的账户,毫不夸张的说手机上的每一个App都需要绑定手机号,除此之外,所有的银行账户都需要绑定手机号。

《2019年Q2移动互联网行业数据研究报告》显示,移动网民人均安装App总量增加至56款;而央行统计显示,截至2019年底,全国人均拥有银行账户数达8.09户。

也就是说,换一次手机号人均需要换绑超过50个App账户,更换银行卡绑定手机号或许还要去网点办理。事实是,别说换绑50个账户了,能完全找齐自己50个账户都是一件困难的事情。

此时就看出了目前使用范围最广、使用人群最多的手机验证码身份认证方式存在的问题:很难进行统一自主管理。用户可以通过手机号进行身份认证,但是需要更换时,却不能统一进行更换,甚至不能查询自己的手机号绑定了多少账户。

身份认证管理的概念对于企业来说已经不是陌生的概念,在公司运营中,使用身份管理帮助划定权限,保护公司数据安全甚至资金安全不能说是家常便饭,但肯定都是接触过的,市场上也有专门做身份信息管理的公司。

那为什么手机号没有办法做统一认证管理呢?这其实是一个多方面原因所导致的问题。

手机号实名认证系统在使用之初可能就没有考虑相关情况,当然,在2015年推行网络实名制推行的时候,时间紧、任务急,没有办法考虑相关情况。

另外,个人账号管理一直是移动应用的痛点,在很长的一段时间内,账号如果不再用只能废弃,不能注销,直到《个人信息保护规范》、《App收集个人信息基本规范》等等规范的出台才有所好转。

但不管怎么说,管理手机号关联的互联网账户已经成为刚需。

4. 号码认证管理的重要性

从2015推行网络实名制到现在已经过去了5年,手机号码+验证码认证、登录的模式一直在使用,也没有出现重大披露,但是有三个问题一直存在:

1、手机号码用户无法对自己手机号码绑定的账户进行管理,也很难做到心中有数,以至于会出现换手机号之后,在进行账号迁移时出现遗漏的情况。当然最常见的情况是老黄面对的困境:在个人信息泄露之后很难替换自己的手机号。

2、由于手机号码认证系统没有完整的管理系统,造成了所有人都可以向号码用户发送所谓的“通知短信”,只需要购买相应的群发服务就可以。这也就造成了目前垃圾短信、诈骗短信的屡禁不止、屡抓不绝的情况。

3、手机号码认证过程中的验证码全部通过短信发送,而不是通过统一加密过的系统发送,也没有专门的加密存储空间,导致盗窃验证码失窃情况一直出现,甚至出现了“短信嗅探”这样的技术,直接拦截验证码短信。

想要解决上述三个问题最好的方法,就是建立一个统一管理的基于手机号的身份认证系统,将手机号与验证码进行统一管理,申请进入系统的企业需要满足一定资质。

对于三大运营商来说,将对目前的商业短信业务有更强的管控力,并且有利于改善自己因为短信业务留下的骂名。

对于企业来说,统一的手机号身份认证系统将帮助企业减少黑号、虚假用户的情况,从根源上打击薅羊毛、买卖账号类似的黑灰产。

对于用户来说,将帮助用户更好的掌握自己的账号情况,同时减少骚扰信息、诈骗信息的出现,获得更好的用户体验。

这是一件对所有人都有利的事情。

5. 三大运营商会做呢?

在5G时代即将到来的时候,三大运营商联合发布了《5G消息白皮书》(RCS业务),引动了市场的火爆。但也有人担心,以目前的短信业务现状,到了5G时代,垃圾短信、诈骗短信是不是会以更加丰富的内容继续伴随在我们身边。

建立一个统一的管理系统已经是迫在眉睫的事情,目前三大运营商已经表示RCS支持加密传输,手机TEE或TEE+SE也已经基本得到普及,可以做到加密存储,可以说建设这个系统的基础条件已经基本凑齐。

能不能做已经不是问题,想做肯定是能做的,问题是三大运营商会不会做,愿不愿意联合互联网厂商共同去解决这个问题。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消