随着移动支付业务兴起,手机短信成为电子支付安全验证的重要渠道。通过短信渠道的诈骗案件逐渐增多,近日一条《男子因一条短信家产被骗光》的消息引起热议,不法分子可谓费尽心机,演绎出这起“真假结合”、环环相扣、迷惑性非常高的骗局。
本次诈骗的关键在于不法分子充分利用了“用户换卡可以通过短信验证方式完成”的漏洞。运营商免费更换USIM卡对用户而言无疑是一件好事,USIM卡将更好保护个人信息安全并且可以减少(注意是“减少”,而不是避免,后面详述)手机被伪基站信号劫持的风险,值得大力推广。但是为方便用户升级换卡,网上营业厅换卡方式采用凭服务密码就能够办理,没有设置安全级别更高的验证,存在很大的风险漏洞。
本次案例发生后,相关运营商便遭到广大网友的“口诛笔伐”。在此,笔者想探讨一下,面对层出不穷的电信诈骗手段,电信运营商除了感到委屈以外,可以做什么?以下是笔者的几点建议。
提升网上营业厅安全等级。首先,对用户设置的安全强度较弱的密码进行基础识别并提醒修改。其次,对重要的业务(如:涉及消费的业务、个人重要信息更改、服务密码修改等)设置二次验证流程,并界定网上营业厅的业务办理权限,最基础、最重要的业务办理,比如涉及手机号码更换、过户等业务,如果网上营业厅无法完成对操作者真实身份的验证,应该设置为只可通过实体营业厅办理。但是,程序过于繁琐用户可能会抱怨运营商的死板或者营业厅排队过于浪费时间,换个角度考虑,若是由于增加了这些实地认证的步骤而为资金安全增加了保障,应该是利大于弊的。很多时候安全与便捷很难兼得。此外,可借鉴支付宝登录密码与支付密码区分开的设定,增加账户的安全性。手机卡更换是个人移动通信最基础、也是最重要的业务,在这个移动支付日益渗透的时代,手机卡丢失已经不仅是话费余额损失的风险。
进一步加强实名制。从众多诈骗案件可以清楚地看到,实名制是减少诈骗重要的一环。目前电信运营企业业务存在有层层分包的特点,各个环节都应抓好实名制,缩小骗子利用电信业务开展诈骗的空间。
规范企业宣传行为。电信运营企业为了迅速提升4G网络放号水平、减少用户换卡的繁琐手续、缩减成本,推出各种便捷方式免费换卡。但是,宣传更换4G卡将不在面临被伪基站挟持的风险的说法是有夸大、误导成分的。据了解,2G网络的SIM卡之所以遭遇伪基站攻击的原因在于采用的是一种单向认证的方式,即只有网络侧对手机的鉴权,而手机对信号网络是不做辨别的,所以会被伪基站攻击,因为多数手机无法识别信号是否是伪基站发出的。3G/4G则做到了手机与网络的双向鉴权,伪基站自然无从入手。但是,双向鉴权是基于网络、手机、手机卡三者都必须是3G/4G制式的前提下,才能达到这样的目的,而现实中,运营商的3G/4G网络并未全面覆盖,所以升级了4G的手机切换到2G网络时,4G手机仍以2G模式工作,此时依然存在被伪基站劫持的可能。所以运营商应规范宣传行为,做到不夸大、不误导。
改善服务细节,提升用户感知。本次由于一条短信被骗光家产的案例,由于用户服务密码外泄造成多个环节被攻克,可以说用户本身也是有责任的。此外,电信运营商作为服务行业,即便不用承担直接责任也应在本案中吸取教训,改善服务的细节。
案发后支付宝方面积极处理并做出一定赔偿,其实赔付的金额并不大,但是处理的及时性令用户倍感温暖。运营商方面往往扮演备受委曲的“替罪羊”角色,但是具体到服务的过程中,还应改善细节,提高用户感知。企业形象树立起来很难,尤其像电信运营商这类企业,用户数量庞大,稍微出现纰漏便会被迅速放大,如今网络传播途径如此发达,一条刷爆朋友圈的负面消息都可能毁掉多年来积累的用户忠诚度。
