原标题:面对银行卡信息、电子钱包等存在安全隐患—— 个人信息防盗技术呼唤“道高一丈”
信息时代,五花八门、层出不穷的新技术、新应用,既极大方便了我们的生活,也给无孔不入的诈骗分子提供了实施犯罪行为的空间。个人信息一旦泄露,往往关系到个人、家庭的财产安全。我们的个人信息到底安不安全?又该怎样堵住个人信息的漏洞——
近日,一篇题为《紧急提示!千万别把你的银行卡放裤兜里!》的文章传遍了微信“朋友圈”,文中称新一代芯片银行卡即使是隔着衣服和钱包,也能被一种特殊的读卡器轻易读取个人信息,甚至被盗刷。中国银联随后澄清说,芯片银行卡不能被复制,不会被盗刷。然而,依然有不少用户担心,即使不被盗刷,这么多个人信息被泄露真的没问题吗?如果银行卡信息能够被轻易读取,是否意味着包括公交卡之类的各种电子钱包也不安全?对于这样的信息泄露又该如何防范?
带着这些问题,《经济日报》记者请教了网络安全专家。专家表示,个人信息泄露依然是目前个人信息安全问题的“重灾区”。数据显示,2015年,全国公安机关电信网络诈骗仅立案数量就同比上升了32.5%,共造成经济损失222亿元,个案被骗最高金额达上亿元。而这些诈骗案件几乎都与个人信息泄露密切相关。
银行卡到底安全吗?
特殊读卡器能读取银行卡信息,这并非空穴来风,它其实是近日举行的“第三届首都网络安全日”上的一个展示项目。记者在现场看到,只要将手机钱包等放入一个白色小筐,大屏幕上就能显示出姓名拼音、卡号、有效期、最近10笔交易记录乃至交易地点。“太可怕了!”“这是真的吗?”现场尝试该项目的市民不少发出惊呼。
负责现场演示的某互联网安全公司安全专家刘洋告诉记者,其实在白色小筐内部藏着一张具有NFC(近场通信)功能的无线读卡器,旁边还有配套的信号接收器和电脑等设备,记者尝试将银行卡放进钱包再塞进衣服口袋,手持读卡器依然能够读出银行卡上的信息。刘洋表示,目前只有芯片银行卡能够被读取,十多家发卡行的银行卡可读取的内容不一。
中国银联随后表示,包括有NFC芯片的手机在内,确实都能读取芯片卡中的部分信息。但银联技术专家徐静雯表示:“芯片卡是目前安全性最高的银行卡,迄今全球还未发生过芯片银行卡被复制导致欺诈的案例。即使部分卡片信息能被读取,但仅凭读取到的有限信息不可能复制出芯片卡,持卡人资金安全能得到有效保障。”即使用手机读取了芯片银行卡的信息,也不能对外转账。
有网络安全专家表示,因为现在的网络欺诈产业链,基本上都靠社会工程学来完成。也就是说越充分掌握用户的个人信息,就越可能实现。“比如你接到一个电话,上来就说,你某张卡号是多少的银行卡,在某年某月某日发生的一笔多少元金额的交易有问题,是不是特别容易获得信任?”
不过,安全专家也提示说,目前各大银行都在进行从磁条卡升级到芯片卡的活动,用户也不能因为担忧芯片卡会泄露信息就不去更换银行卡。网络安全厂商瑞星的安全专家唐威告诉记者:“总的来说芯片卡的安全程度还是远远高于磁条卡,拿我们检测到的复制银行卡盗刷的案例来看,目前还都是用白卡来复制磁条卡。”
那么,该如何面对银行卡信息泄露呢?专家表示,银联方面需要尽快修改技术规范,隐藏个人敏感信息。与此同时,还可以考虑通过互联网保险平台投保“盗刷险”。上个月刚为自己购买了这一保险的北京职员曹翠云介绍说,目前不少保险公司在自己的网销平台上都有这一险种,“一年一般只需要几元钱”。
网络欺诈“花样翻新”
在银行卡之外,另一些具有近场支付功能的卡片和手机钱包也未必安全。有安全公司表示,他们曾发现有人身背读卡器在早高峰人群里穿行。“只要距离足够近,就可以直接从乘客的公交卡刷钱,一人刷个两三块钱,很难被察觉。”唐威表示,这种盗刷在技术上完全可以实现,“和公交卡原理相似的手机近场支付,如果采取小额免密的方式,同样有可能被盗刷,因此用户最好同时设定密码、指纹等其他验证方式”。
正如盗刷公交卡一样,技术进步也让网络安全问题“水涨船高”。比如越演越烈的伪基站诈骗短信。所谓伪基站,就是将合法基站的信号屏蔽,然后用自己的信号顶替,来发送信息,而手机只识别号码,不识别号码源,显示由某某银行客服电话发来的常见诈骗短信“您在某某银行的积分即将清零……”正是典型的伪基站诈骗短信。
北京市公安局网络安全保卫总队马警官介绍说,如今伪基站的设备越来越小,有些伪基站只需一个背包,就可以向方圆2公里范围的手机发送信息。刘洋则告诉记者,从360安全创新中心开发的伪基站追踪系统监控的情况来看,诈骗分子也在变得越来越狡猾。“我们能够看到伪基站在各大城市的活动情况,比如在北京,日出进城、日落出城的特点十分明显,而且犯罪分子会在不同地段和时间发送不同内容的诈骗信息,比如白天在国贸地区就发办信用卡、卖房的信息,晚上在宾馆多的地方就发色情信息,在公司集中的地方就发开发票的信息。”但他同时也表示,从2015年12月起,北京警方已经与360公司合作,通过这一追踪系统破获多起重大伪基站犯罪案件。“仅今年1至3月,就共抓获犯罪嫌疑人160余名,缴获伪基站设备100多套。”
此外,网络欺诈方式也开始多样化。近日,瑞星对外正式发布勒索软件“密锁病毒”分析报告称,2016年1至3月,瑞星“云安全”系统共截获密锁病毒样本36986个,共计82.85万人次感染。报告中介绍,密锁病毒主要通过恶意钓鱼邮件进行传播,一旦用户运行邮件附件,病毒会将电脑中的各类文档进行加密,让用户无法打开,并出现弹窗,提示限时付款的勒索信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复。唐威表示:“这就说明,病毒编写者已经形成了相对成熟和完善的团队化和产业化运作模式。”
魔高一尺道高一丈,技术演进带来的安全问题,互联网安全厂商也在试图用技术创新予以回击。江苏通付盾科技有限公司总裁王梅表示,目前公司正在与警方合作探索通过“大数据诈骗识别平台”技术对网络诈骗进行防范,“犯罪分子以非法获得的用户个人账户、密码等,用‘撞库’等方式登录网上银行,我们就可以识别出到底是人在操作还是机器登录”。而日前亮相的“百度昊天镜威胁情报平台”则使用了百度深度学习技术,能够从海量的安全事件中进行深度关联学习,识别出潜在的互联网威胁。
如何给个人信息加防盗锁
既然个人隐私信息与用户的网络安全息息相关,账户名、密码和与之关联的身份证号、银行卡号、住址等核心数据,正在越来越紧密地与消费者口袋里的“真金白银”联系在一起。那么,作为个人用户,应当如何保护自己的个人隐私信息?
安全专家们表示,普通用户应有账户密码分级设定和使用的意识。对于涉及用户重要隐私的账号,一定要单独设定,不与其他网站账号相一致。防止一个账号密码泄露,影响所有的账号安全。同时对重要账号要定期修改密码,每半年或者每个季度至少换一次,保证账号安全。除了银行网站,著名的电子商务平台之外,对其他网站尽量不要提交自己的真实信息。切勿轻信陌生人来电和短信,任何情况下,不要向其他人提供自己收到的手机短信验证码,不要有贪便宜的心理,对信息泄露引发的钓鱼诈骗保持高度警惕。
除此之外,保护个人隐私信息,还可以采取一些技术手段,比如在电脑和手机上都要安装相应的安全软件,并及时更新到最新版本,而对于银行卡、公交卡等,目前各大互联网安全厂商不少推出了可以屏蔽读卡器信号的安全卡套,价格通常在几元到十元不等,消费者也可以选择购买。至于网上流传的卡外包一层锡纸也能防止被读取信息的说法,唐威表示:“屏蔽效果和锡纸的材料、厚度都有关系,不一定管用。”(陈 静)
