電信運營商在線換卡流程到底安全嗎？

　　近日，北京網(wǎng)友小許發(fā)布的“為什么一條短信就能騙走我所有的財產(chǎn)？”的文章在網(wǎng)上廣為傳播。小許稱，自己在幾個短信之間，半天之內(nèi) 支付寶 、銀行卡上的資金被席卷一空。對此，工信部通信發(fā)展司司長聞庫表示，上述案例中運營商可能存在潛在漏洞，北京移動已暫停網(wǎng)站自助換卡業(yè)務(wù)。

　　面對這種危害巨大的詐騙形式，普通用戶不禁會問，網(wǎng)上補卡、換卡究竟安全嗎？《IT時報》記者調(diào)查了上海三大運營商和部分虛擬運營商的補卡、換卡流程，發(fā)現(xiàn)每家運營商面對在線換卡政策不完全相同，安全級別也存在明顯差異：除了上海聯(lián)通已經(jīng)徹底停止網(wǎng)絡(luò)補卡外，三大運營商中，上海電信的在線換卡服務(wù)安全性最高，而相較之下，部分虛擬運營商的換卡策略則安全系數(shù)更低。

　　在線4G補卡、換卡全面叫停

　　據(jù)悉，小許案例中涉及的在線補辦業(yè)務(wù)來源于運營商的一項4G服務(wù)。2G/3G用戶升級、換發(fā)4G卡，可以不必到營業(yè)廳辦理，通過網(wǎng)上營業(yè)廳提交申請，運營商收到申請后，寄發(fā)空白USIM卡給用戶，用戶拿到后，可遠(yuǎn)程激活新卡生效。就是這個看似方便通信用戶的便民服務(wù)，被不法分子鉆了空子。

　　記者了解到，目前上海三家運營商均已完全停止在線4G卡補卡和換卡服務(wù)，即如果你的4G手機卡遺失或損壞，并想更換，那么只能前往線下營業(yè)廳辦理。

　　而對于2G/3G卡更換4G卡的服務(wù)，目前上海電信和上海移動均可在線辦理，而上海聯(lián)通用戶則必須攜帶身份證件去線下營業(yè)廳辦理。

　　電信換卡流程最安全

　　在小許的案例中，北京移動推送給當(dāng)事人的驗證碼短信中，沒有提供任何驗證碼用途的信息，只是簡單地表述為“尊敬的客戶，您好！你的USIM卡6位驗證碼為XXXXX�！边@讓當(dāng)事人根本不清楚該驗證碼作何用途，情急之下認(rèn)為是為了取消那個所謂的增值業(yè)務(wù)的驗證碼。

　　據(jù)了解，在上海移動的在線補卡流程中，雖然要求用戶提供手機號、服務(wù)密碼、動態(tài)密碼、身份證件號碼等詳細(xì)個人信息以核實個人身份，但在推送給用戶的驗證碼短信中，依然沒有明確說明動態(tài)驗證碼的用途�！吧虾Ｒ苿由坛莿討B(tài)密碼：XXXXXX，30分鐘內(nèi)有效，請您盡快使用??”記者體驗發(fā)現(xiàn)，短信內(nèi)容并未對驗證碼用途做明確說明。

　　相較之下，如果上海電信用戶在網(wǎng)上發(fā)起換卡需求，那么上海電信會通過10000號向用戶發(fā)送短信和驗證碼，并在短信中明確提示“正在辦理申請卡業(yè)務(wù)”，讓消費者做到對驗證碼的用途心中有數(shù)。

　　同時，如果電信3G用戶發(fā)起4G換卡業(yè)務(wù)，那么后臺系統(tǒng)會將該發(fā)起人的信息記錄下來，并與其所更換的新卡之間進(jìn)行“一對一對應(yīng)捆綁”，也就是說，這張新卡只能綁定發(fā)起用戶手里的那個手機號，其它任何手機號碼均無法激活使用。這一安全舉措，大大提高了整個網(wǎng)上換卡流程的安全性。

　　虛擬運營商安全性堪憂

　　與三大運營商相比，虛擬運營商在補卡和換卡的安全性方面，顯然漏洞更多。

　　小米移動客服表示，小米移動的補卡業(yè)務(wù)只能在線辦理，而其最重要的安全性保障是用戶的小米賬戶和密碼，只要有人能通過賬戶密碼登錄小米移動官網(wǎng)，即能有效辦理換卡、補卡業(yè)務(wù)。也就是說，一旦用戶的小米賬戶被黑客等盜取，那么手機號碼的安全亦堪憂。

　　而蝸牛移動的密碼保護機制更令人不安。蝸牛移動客服人員表示，如果想要登錄蝸牛移動官方網(wǎng)站辦理換卡業(yè)務(wù)，只要用手機號和密碼登錄即可，而一般情況下默認(rèn)密碼即為身份證號碼的后六位。

　　業(yè)內(nèi)人士認(rèn)為，由于目前虛擬運營商用戶數(shù)較少，利用手機號與銀行卡、支付寶等捆綁的消費者更少，所以暫時還沒被更多不法分子瞄上。但虛擬運營商應(yīng)該在方便用戶的同時，應(yīng)開發(fā)出更安全的在線業(yè)務(wù)流程。

　　TIPS

　　如何防范“驗證碼攻擊”？

　　面對此類針對短信驗證碼的“精準(zhǔn)詐騙”和“組合攻擊”，信息安全專家介紹，下面這四招一定要記�。�

　　招數(shù)一：靜態(tài)密碼設(shè)置一定要復(fù)雜。

　　靜態(tài)密碼首先要足夠復(fù)雜，并妥善保管，防止泄露。

　　招數(shù)二：遭遇“干擾信息”，仔細(xì)甄別莫慌張。

　　攻擊者經(jīng)常利用各種手段對短信進(jìn)行偽裝，并千方百計地對攻擊對象進(jìn)行誤導(dǎo)、甚至恐嚇。所以一定要對“運營商”“銀行”等身份的手機短信和來電認(rèn)真甄別。

　　招數(shù)三：手機離奇“癱瘓”，緊急“掛失”當(dāng)先。

　　如果手機癱瘓，要馬上查清故障原因。如非手機本身或信號故障，要立刻掛失手機卡，凍結(jié)第三方支付和銀行賬戶，避免騙子趁機冒名機主身份竊取賬戶。

　　招數(shù)四：最重要的是——短信驗證碼不要告訴任何人！

　　運營商和提供相關(guān)服務(wù)的企業(yè)只會將短信驗證碼下發(fā)給用戶，絕對不會要求用戶通過短信或電話進(jìn)行所謂“回復(fù)驗證碼”的操作。