電信運(yùn)營(yíng)商在線換卡流程到底安全嗎？

　　近日，北京網(wǎng)友小許發(fā)布的“為什么一條短信就能騙走我所有的財(cái)產(chǎn)？”的文章在網(wǎng)上廣為傳播。小許稱，自己在幾個(gè)短信之間，半天之內(nèi) 支付寶 、銀行卡上的資金被席卷一空。對(duì)此，工信部通信發(fā)展司司長(zhǎng)聞庫(kù)表示，上述案例中運(yùn)營(yíng)商可能存在潛在漏洞，北京移動(dòng)已暫停網(wǎng)站自助換卡業(yè)務(wù)。

　　面對(duì)這種危害巨大的詐騙形式，普通用戶不禁會(huì)問(wèn)，網(wǎng)上補(bǔ)卡、換卡究竟安全嗎？《IT時(shí)報(bào)》記者調(diào)查了上海三大運(yùn)營(yíng)商和部分虛擬運(yùn)營(yíng)商的補(bǔ)卡、換卡流程，發(fā)現(xiàn)每家運(yùn)營(yíng)商面對(duì)在線換卡政策不完全相同，安全級(jí)別也存在明顯差異：除了上海聯(lián)通已經(jīng)徹底停止網(wǎng)絡(luò)補(bǔ)卡外，三大運(yùn)營(yíng)商中，上海電信的在線換卡服務(wù)安全性最高，而相較之下，部分虛擬運(yùn)營(yíng)商的換卡策略則安全系數(shù)更低。

　　在線4G補(bǔ)卡、換卡全面叫停

　　據(jù)悉，小許案例中涉及的在線補(bǔ)辦業(yè)務(wù)來(lái)源于運(yùn)營(yíng)商的一項(xiàng)4G服務(wù)。2G/3G用戶升級(jí)、換發(fā)4G卡，可以不必到營(yíng)業(yè)廳辦理，通過(guò)網(wǎng)上營(yíng)業(yè)廳提交申請(qǐng)，運(yùn)營(yíng)商收到申請(qǐng)后，寄發(fā)空白USIM卡給用戶，用戶拿到后，可遠(yuǎn)程激活新卡生效。就是這個(gè)看似方便通信用戶的便民服務(wù)，被不法分子鉆了空子。

　　記者了解到，目前上海三家運(yùn)營(yíng)商均已完全停止在線4G卡補(bǔ)卡和換卡服務(wù)，即如果你的4G手機(jī)卡遺失或損壞，并想更換，那么只能前往線下?tīng)I(yíng)業(yè)廳辦理。

　　而對(duì)于2G/3G卡更換4G卡的服務(wù)，目前上海電信和上海移動(dòng)均可在線辦理，而上海聯(lián)通用戶則必須攜帶身份證件去線下?tīng)I(yíng)業(yè)廳辦理。

　　電信換卡流程最安全

　　在小許的案例中，北京移動(dòng)推送給當(dāng)事人的驗(yàn)證碼短信中，沒(méi)有提供任何驗(yàn)證碼用途的信息，只是簡(jiǎn)單地表述為“尊敬的客戶，您好！你的USIM卡6位驗(yàn)證碼為XXXXX�！边@讓當(dāng)事人根本不清楚該驗(yàn)證碼作何用途，情急之下認(rèn)為是為了取消那個(gè)所謂的增值業(yè)務(wù)的驗(yàn)證碼。

　　據(jù)了解，在上海移動(dòng)的在線補(bǔ)卡流程中，雖然要求用戶提供手機(jī)號(hào)、服務(wù)密碼、動(dòng)態(tài)密碼、身份證件號(hào)碼等詳細(xì)個(gè)人信息以核實(shí)個(gè)人身份，但在推送給用戶的驗(yàn)證碼短信中，依然沒(méi)有明確說(shuō)明動(dòng)態(tài)驗(yàn)證碼的用途�！吧虾Ｒ苿�(dòng)商城動(dòng)態(tài)密碼：XXXXXX，30分鐘內(nèi)有效，請(qǐng)您盡快使用??”記者體驗(yàn)發(fā)現(xiàn)，短信內(nèi)容并未對(duì)驗(yàn)證碼用途做明確說(shuō)明。

　　相較之下，如果上海電信用戶在網(wǎng)上發(fā)起換卡需求，那么上海電信會(huì)通過(guò)10000號(hào)向用戶發(fā)送短信和驗(yàn)證碼，并在短信中明確提示“正在辦理申請(qǐng)卡業(yè)務(wù)”，讓消費(fèi)者做到對(duì)驗(yàn)證碼的用途心中有數(shù)。

　　同時(shí)，如果電信3G用戶發(fā)起4G換卡業(yè)務(wù)，那么后臺(tái)系統(tǒng)會(huì)將該發(fā)起人的信息記錄下來(lái)，并與其所更換的新卡之間進(jìn)行“一對(duì)一對(duì)應(yīng)捆綁”，也就是說(shuō)，這張新卡只能綁定發(fā)起用戶手里的那個(gè)手機(jī)號(hào)，其它任何手機(jī)號(hào)碼均無(wú)法激活使用。這一安全舉措，大大提高了整個(gè)網(wǎng)上換卡流程的安全性。

　　虛擬運(yùn)營(yíng)商安全性堪憂

　　與三大運(yùn)營(yíng)商相比，虛擬運(yùn)營(yíng)商在補(bǔ)卡和換卡的安全性方面，顯然漏洞更多。

　　小米移動(dòng)客服表示，小米移動(dòng)的補(bǔ)卡業(yè)務(wù)只能在線辦理，而其最重要的安全性保障是用戶的小米賬戶和密碼，只要有人能通過(guò)賬戶密碼登錄小米移動(dòng)官網(wǎng)，即能有效辦理?yè)Q卡、補(bǔ)卡業(yè)務(wù)。也就是說(shuō)，一旦用戶的小米賬戶被黑客等盜取，那么手機(jī)號(hào)碼的安全亦堪憂。

　　而蝸牛移動(dòng)的密碼保護(hù)機(jī)制更令人不安。蝸牛移動(dòng)客服人員表示，如果想要登錄蝸牛移動(dòng)官方網(wǎng)站辦理?yè)Q卡業(yè)務(wù)，只要用手機(jī)號(hào)和密碼登錄即可，而一般情況下默認(rèn)密碼即為身份證號(hào)碼的后六位。

　　業(yè)內(nèi)人士認(rèn)為，由于目前虛擬運(yùn)營(yíng)商用戶數(shù)較少，利用手機(jī)號(hào)與銀行卡、支付寶等捆綁的消費(fèi)者更少，所以暫時(shí)還沒(méi)被更多不法分子瞄上。但虛擬運(yùn)營(yíng)商應(yīng)該在方便用戶的同時(shí)，應(yīng)開(kāi)發(fā)出更安全的在線業(yè)務(wù)流程。

　　TIPS

　　如何防范“驗(yàn)證碼攻擊”？

　　面對(duì)此類針對(duì)短信驗(yàn)證碼的“精準(zhǔn)詐騙”和“組合攻擊”，信息安全專家介紹，下面這四招一定要記�。�

　　招數(shù)一：靜態(tài)密碼設(shè)置一定要復(fù)雜。

　　靜態(tài)密碼首先要足夠復(fù)雜，并妥善保管，防止泄露。

　　招數(shù)二：遭遇“干擾信息”，仔細(xì)甄別莫慌張。

　　攻擊者經(jīng)常利用各種手段對(duì)短信進(jìn)行偽裝，并千方百計(jì)地對(duì)攻擊對(duì)象進(jìn)行誤導(dǎo)、甚至恐嚇。所以一定要對(duì)“運(yùn)營(yíng)商”“銀行”等身份的手機(jī)短信和來(lái)電認(rèn)真甄別。

　　招數(shù)三：手機(jī)離奇“癱瘓”，緊急“掛失”當(dāng)先。

　　如果手機(jī)癱瘓，要馬上查清故障原因。如非手機(jī)本身或信號(hào)故障，要立刻掛失手機(jī)卡，凍結(jié)第三方支付和銀行賬戶，避免騙子趁機(jī)冒名機(jī)主身份竊取賬戶。

　　招數(shù)四：最重要的是——短信驗(yàn)證碼不要告訴任何人！

　　運(yùn)營(yíng)商和提供相關(guān)服務(wù)的企業(yè)只會(huì)將短信驗(yàn)證碼下發(fā)給用戶，絕對(duì)不會(huì)要求用戶通過(guò)短信或電話進(jìn)行所謂“回復(fù)驗(yàn)證碼”的操作。