買了健身卡沒時間去,夏天健身房氣味不好聞,身材不佳不好意思進(jìn)健身房……面對一面能監(jiān)測運動情況的健身鏡,您愿意為幾千元買單嗎?今年以來,針對有健身需求人群的諸多痛點,繼海外的Mirror、國內(nèi)的FITURE后,樂刻、咕咚等運動健身平臺相繼推出智能健身鏡。一面售價數(shù)千元的鏡子,真能成為讓消費者和資本都買賬,掘金智能健身市場藍(lán)海的“魔鏡”嗎?
“百鏡大戰(zhàn)”呼之欲出
“有多少人不愿意去健身房是因為自卑?現(xiàn)在健身房已經(jīng)成為身材好的人秀身材的地方,當(dāng)你肚子很大不敢去健身,更不敢請私教時,F(xiàn)ITURE健身魔鏡可以讓你在家就有教練教。”幾天前,直播“一姐”薇婭的直播間里出現(xiàn)了一件售價超3000元的智能健身鏡。
關(guān)機(jī)狀態(tài)下,它與一面普通的穿衣鏡并無二致。開機(jī)后,鏡面上會出現(xiàn)一個虛擬教練。當(dāng)你跟著虛擬教練進(jìn)行健身、跳舞或跑步等運動時,不僅可以通過鏡中自己與教練的影像同步對比動作,系統(tǒng)自帶的AI攝像頭還能捕捉用戶的動作,智能糾正,堪稱把一個AI健身教練請回了家。
在健身鏡于薇婭直播間亮相之前,“魔鏡”背后的公司FITURE已被資本看中。這家成立于2019年的創(chuàng)業(yè)公司,從2020年9月到2021年4月,連續(xù)獲得三輪融資,累計融資金額近4億美元。
后疫情時代,家庭健身場景逐漸成為主流。傳統(tǒng)健身房紛紛探索線上創(chuàng)新的道路,開啟了線上線下結(jié)合的健身新階段。2020年,F(xiàn)ITURE在國內(nèi)市場率先推出了AI人機(jī)交互體驗課程和7800元的智能健身鏡。不過,由于價格高昂、課程內(nèi)容等局限性,很多普通消費者對其仍持觀望態(tài)度。此后,咕咚、樂刻等互聯(lián)網(wǎng)健身平臺也相繼發(fā)布智能健身鏡。市面上目前還出現(xiàn)了J&J Mirror、邁族、gymgest、億健、小喬體育、佑美等十余個品牌的健身鏡,一場“百鏡大戰(zhàn)”呼之欲出。
健身鏡尚難成剛需
由中國體育用品業(yè)聯(lián)合會與數(shù)據(jù)分析公司尼爾森IQ聯(lián)合編制的《2021年大眾健身行為和消費研究報告》顯示,中國大眾健身年均總消費為5670元,實現(xiàn)了35%的同比提升;女性平均總消費更是高達(dá)6362元,增幅接近50%。智能健身這個新興領(lǐng)域也成為產(chǎn)業(yè)新風(fēng)口,被業(yè)界認(rèn)為是一條價值千億元的白金賽道。
不過,智能健身鏡是否真的如廠商們宣傳和預(yù)想一般,成為既為消費者節(jié)省往返于健身房的時間,又能讓健身一族們暢快運動的“魔鏡”呢?
購買了健身鏡并使用兩周后,健身達(dá)人馬克吐槽,當(dāng)自己做一些無法看向屏幕的動作時,健身鏡依然只是在屏幕上給出類似“左臂豎直向上伸直”這樣的文字提示,而不是語音告知。此外,系統(tǒng)給出的運動測評結(jié)論和建議也過于程式化,“對于耐力、核心肌力、下肢靈活性等每個類目的評測結(jié)論幾乎都一樣,并沒有根據(jù)我個人進(jìn)行個性化的測評。”
在活動價6800元時入手了健身鏡,加上超過1000元的會員年費,林女士總共花了7980元,而這還只能供她一人使用。如果想要全家人多賬號共享,她需要額外多花一份會員費。
“你買一塊全身鏡,買個手機(jī)支架,把手機(jī)架在鏡子前,打開健身APP不就得到了一個簡易版的健身鏡?”一位科技企業(yè)資深從業(yè)者認(rèn)為,從目前實現(xiàn)的功能來看,健身鏡頗有些“雞肋”。
在閑魚等二手交易平臺上,一些使用次數(shù)不多的智能健身鏡已經(jīng)作為閑置品出售。
低定價賺“動起來”的錢
尚待完善的運動體驗、性價比有限的市場評價之下,智能健身鏡已被拉下“神壇”。
以官方定價7800元的FITURE魔鏡尊享版為例,截至發(fā)稿前,盡管經(jīng)歷了一場“618”大促,其在天貓官方旗艦店的銷量顯示為月銷“200+”。相比之下,其近日推出并在薇婭直播間首次亮相的魔鏡旗艦版價格就親民了不少,定價4699元、目前活動價3999元,月銷量1000多臺。
“用戶不會只為一面鏡子買單,只有良好的體驗才能打動消費者,整個市場的崛起需要各廠商給出完整的解決方案,進(jìn)而推進(jìn)行業(yè)的良性競爭”,F(xiàn)ITURE聯(lián)合創(chuàng)始人兼總裁張遠(yuǎn)聲在接受采訪時坦陳。
樂刻運動不久前推出了市面上價格最低的智能健身鏡LITTA MIRROR,定價2499元、活動價1999元。樂刻運動創(chuàng)始人兼CEO韓偉表示,希望把智能健身鏡的價格做到極致性價比,賺“用戶動起來”的錢。“如果把它理解成銷售硬件設(shè)備的邏輯,那健身鏡應(yīng)有更高的利潤,但如果把健身鏡理解為是居家健身服務(wù)的一部分,甚至只是其中一種解決方案中的一環(huán),那么它可能是另外一種邏輯,即不依靠硬件賺錢,靠提供內(nèi)容、服務(wù)賺錢。”韓偉說。記者 孫奇茹
來源:北京日報
李天明收到的各類驗證碼。受訪者供圖
警方查獲的作案工具。犯罪嫌疑人通過偽基站和嗅探設(shè)備獲取手機(jī)號和短信驗證碼。新京報記者 陳景收 攝
全國多地接連發(fā)生多起銀行卡被盜刷事件,嫌疑人利用嗅探設(shè)備、偽基站進(jìn)行犯罪
“一夜醒來,卡上存款不翼而飛。”近日,全國多地接連發(fā)生多起銀行卡被盜刷事件。深圳市龍崗警方歷時一個多月,打掉一個涉嫌全鏈條盜刷銀行卡的團(tuán)伙,抓捕10名嫌疑人,涉案金額逾百萬元。
在此之前,鄭州、廣州、廈門等地警方也相繼破獲類似案件。這些銀行卡盜刷案件作案手段一致,均是利用手機(jī)2G網(wǎng)絡(luò)(GSM)不加密傳輸?shù)穆┒矗ㄟ^偽基站和短信嗅探器,在一定范圍內(nèi)獲取用戶手機(jī)號碼和短信驗證碼。之后,再利用各大銀行、網(wǎng)站、移動支付APP存在的漏洞和缺陷,實現(xiàn)信息竊取、資金盜刷。
“這種盜刷方式危害性很大。不同于以往電信詐騙需要受害人配合,而是在你不知不覺的情況下,就盜刷了。”深圳市公安局龍崗分局龍新派出所所長占小明告訴新京報記者。
新京報記者了解到,由于嗅探設(shè)備、偽基站操作簡單,以及各類APP身份驗證方式簡單,此類盜刷的門檻較低,存在較大的安全隱患。
對此,騰訊守護(hù)者計劃安全專家周正認(rèn)為,運營商應(yīng)該提高4G網(wǎng)絡(luò)覆蓋率和穩(wěn)定性,強(qiáng)制語音和短信業(yè)務(wù)也走4G通道;而各類APP應(yīng)用應(yīng)該通過常用設(shè)備綁定、賬號異常行為強(qiáng)校驗、增加人臉識別驗證等手段,增強(qiáng)APP身份驗證的難度。
睡覺時,銀行卡被盜刷
7月6日凌晨五點半左右,家住深圳龍崗上垅塘的李天明(化名)在睡夢中被持續(xù)的手機(jī)震動聲吵醒。他起床發(fā)現(xiàn)手機(jī)連續(xù)收到了數(shù)十條短信驗證碼和消費通知。驗證碼的平臺包括途牛網(wǎng)、瓜子二手車、支付寶、京東等。
“我當(dāng)時感到很驚訝,手機(jī)都沒動,怎么會出現(xiàn)這種情況?”李天明告訴新京報記者,他通過短信消費通知發(fā)現(xiàn),其綁定在京東上的興業(yè)銀行卡正在被消費。
李天明登錄京東查看情況,卻發(fā)現(xiàn)登錄密碼也已經(jīng)被重置。根據(jù)短信顯示,他的京東支付密碼和登錄密碼分別于當(dāng)天4時42分、5時32分被修改。“我趕緊打電話給興業(yè)銀行,進(jìn)行掛失,將賬戶凍結(jié)。”事后,李天明感到慶幸,由于處理及時,他的興業(yè)銀行卡只被盜刷了6000塊錢,而他那張卡余額有26000元。
不過,李天明的損失不止這些。盜刷者還替他開通了京東金條,并成功借款1.1萬元。“這筆借款是打到我的一張建行卡上。”短信信息顯示,李天明的京東金條借款于5時8分到賬。之后,盜刷者用李天明的手機(jī)號碼在招商銀行信用卡平臺——掌上生活注冊了一網(wǎng)通賬號,并開始消費。
在這次盜刷中,李天明總共損失了1.7萬元。剛開始,他找京東理賠遭到拒絕,因為一切行為都像是李天明自己在操作。“所有的步驟都需要短信驗證碼,借款也是打到我自己的卡里。犯罪分子竊取我的信息后,在網(wǎng)上他就是我。”李天明說。
網(wǎng)友“獨釣寒江雪”也遭遇了和李天明同樣的情況。8月1日,“獨釣寒江雪”在豆瓣上發(fā)帖《這下一無所有了》,講述自己被盜刷的經(jīng)歷。
根據(jù)上述帖子,7月30日凌晨5點,“獨釣寒江雪”發(fā)現(xiàn)自己的手機(jī)接收到了100多條短信驗證碼,支付寶、余額寶里的余額、關(guān)聯(lián)銀行卡的錢都被轉(zhuǎn)走了。京東還被開通了金條、白條功能,借款10000多元。
起初,支付寶、京東同樣拒絕理賠,原因也是認(rèn)為這是“獨釣寒江雪”本人操作。支付寶相關(guān)人士此前在接受媒體采訪時表示,從當(dāng)晚操作的狀態(tài)來看,登錄賬戶、修改密碼、購物、提現(xiàn)的校驗全部一次通過,像是賬戶本人或是熟人操作。
銀行卡被盜刷后,李天明到龍新派出所報案,“警察說,最近已經(jīng)接到多起類似的報案,是犯罪嫌疑人通過短信嗅探作案。”
“這是一種新型的侵財犯罪行為,之前很少見。”龍新派出所一位辦案民警告訴新京報記者,最初接到報案的時候,連他們也不太相信會有這種情況發(fā)生,“當(dāng)時正好也是世界杯期間,我自己心里還以為事主是賭球輸了,沒法跟家人交代,編造的借口。”
2G網(wǎng)絡(luò)傳輸漏洞
接到報警后,龍新派出所開始調(diào)查,了解到近期深圳及全國各地均有同類案件發(fā)生。“后來我們派出所也陸續(xù)接到了多起同類報案。”龍新派出所所長占小明告訴新京報記者。
隨后,龍崗分局組織成立了專案組全面展開偵查。龍崗警方發(fā)現(xiàn),此案件中,犯罪嫌疑人是利用偽基站、短信嗅探器,在一定距離內(nèi),盜取受害者手機(jī)號、短信驗證碼,之后再實施針對移動支付、互聯(lián)網(wǎng)金融、社交軟件等APP應(yīng)用的信息竊取、資金盜刷、網(wǎng)絡(luò)詐騙等。
今年三四月,此案中的犯罪嫌疑人譚亮(化名)在QQ群中看到,有人發(fā)布信息售賣短信嗅探設(shè)備。“一開始覺得很好奇,別人的短信我都可以偷看到。”
譚亮此前在電子廠工作,大學(xué)期間,因愛好計算機(jī)技術(shù),時常幫同學(xué)修電腦。他屬于“技術(shù)控”,經(jīng)常混跡在各種計算機(jī)技術(shù)討論群。
5月,譚亮購買了一套短信嗅探設(shè)備。由于本身具備一定的技術(shù)基礎(chǔ),譚亮很快就學(xué)會了這套設(shè)備的使用。不過,很快他便發(fā)現(xiàn),只嗅探別人短信,除了偷窺隱私,沒有別的用處,“只看到了一堆短信,但是不知道是哪個手機(jī)的。”
“一開始只是對嗅探技術(shù)好奇,但QQ群里,有人經(jīng)常在發(fā)信息,說又盜刷了多少錢,慢慢就動心了。”譚亮告訴新京報記者,后來他了解到如果要看到手機(jī)號碼,還需要“手機(jī)號碼采集器”。這一裝置主要組成部分是一個偽基站。
偽基站之所以能發(fā)揮作用,實際上利用的是2G網(wǎng)絡(luò)單向鑒權(quán)的缺陷。
所謂鑒權(quán),是手機(jī)用戶與移動通訊網(wǎng)絡(luò)之間的認(rèn)證機(jī)制,也就是,兩者之間要進(jìn)行身份識別。不過,根據(jù)中國移動通信集團(tuán)公司研究院高級工程師粟栗2017年發(fā)表的《移動通信網(wǎng)2G/3G/4G互操作風(fēng)險分析與防護(hù)方案》,在2G網(wǎng)絡(luò)中,鑒權(quán)是單向的,即僅要求網(wǎng)絡(luò)對用戶進(jìn)行認(rèn)證,而用戶不對網(wǎng)絡(luò)的真實性進(jìn)行鑒權(quán)。因此,在2G網(wǎng)絡(luò)條件下,攻擊者可將偽基站信號強(qiáng)度放大,從而強(qiáng)制用戶接入。也就是說,在2G網(wǎng)絡(luò)條件下,基站可以鑒定手機(jī)的合法性,但是手機(jī)無法鑒定基站的合法性。這也就使得假冒的基站(偽基站)可以與手機(jī)進(jìn)行連接通信。
“通過號碼采集器,就可以把附近2G制式下的手機(jī)號碼都吸附過來,形成虛擬撥號,撥到一個系統(tǒng)指定的手機(jī)上,這樣就能看到附近人的手機(jī)號碼。與短信嗅探器一起使用,就可以將手機(jī)號碼和短信驗證碼進(jìn)行匹配。”譚亮說。
“目前,絕大部分的移動互聯(lián)網(wǎng)應(yīng)用服務(wù),都是以用戶手機(jī)和短信驗證為基礎(chǔ)的安全策略。”騰訊守護(hù)者計劃安全專家周正告訴新京報記者,犯罪嫌疑人只要截獲用戶移動通訊的核心信息:短信驗證碼,即可盜刷。而國內(nèi)2G網(wǎng)絡(luò)的語音和短信業(yè)務(wù)單向鑒權(quán)、缺乏有效加密,且明文傳輸,通訊安全性較差,使得短信驗證碼存在被劫持和嗅探的風(fēng)險。
事實上,2G網(wǎng)絡(luò)信息嗅探技術(shù)在幾年前就已經(jīng)出現(xiàn)。據(jù)公開信息,2009年,德國計算機(jī)工程師卡爾斯頓·諾爾就宣布,他已經(jīng)破解了GSM技術(shù)的加密算法,并將破解后的代碼放到網(wǎng)上供人下載。利用這些代碼,一臺個人計算機(jī)、一部無線電接收裝置就可截獲移動電話用戶的語音信息。
此后,針對GSM協(xié)議的破解越來越成熟,衍生出了多個開源項目。2010年,OsmocomBB項目誕生,可以控制并篩選周圍基站發(fā)來的一切信息。目前,這已成為網(wǎng)絡(luò)上針對2G手機(jī)監(jiān)聽使用最多的開源項目。而其硬件組成則十分簡單——一部手機(jī)、一臺電腦和幾根串口線。
“本案中,犯罪團(tuán)伙就是利用OsmocomBB開源技術(shù),組裝搭建GSM劫持設(shè)備和環(huán)境。”周正告訴新京報記者。
而目前,網(wǎng)絡(luò)上很容易檢索到相關(guān)教程,這使得嗅探設(shè)備的搭建和使用門檻大大降低。“就算你不懂技術(shù),不會搭建,也可以買整套設(shè)備,賣設(shè)備的人也會告訴你怎么使用。”譚亮告訴新京報記者。
利用網(wǎng)站、APP漏洞
有了號碼采集器和短信嗅探器,譚亮開始嘗試著盜刷。他告訴新京報記者,拿到受害者的手機(jī)號和短信驗證碼后,要實現(xiàn)盜刷,還需要滿足很多條件。最關(guān)鍵的是,要能夠通過多個平臺找到受害者的姓名、身份證號、銀行卡號等信息;此外,受害者銀行卡里還得有錢,或者有借貸資格。
“我聽說,也有人是先購買了別人的各種信息,再有針對性地跑到別人家附近,通過信號干擾,將其手機(jī)號碼降頻到2G,進(jìn)行嗅探。”譚亮告訴新京報記者,這種作案方法叫作“精準(zhǔn)嗅探”,不過成功率很低,“并不是說,你想攔截誰,就能攔截誰的。”
知名通信行業(yè)觀察家項立剛告訴新京報記者,當(dāng)手機(jī)連接的是4G網(wǎng)絡(luò)時,就不會成為短信嗅探攻擊的對象。但是,2G網(wǎng)絡(luò)發(fā)展歷史比較久,基站覆蓋面廣,信號較強(qiáng),有些地方如果4G信號弱,手機(jī)也會自動連接到2G,就可能被嗅探。此外,犯罪分子也可能通過技術(shù)手段干擾4G網(wǎng)絡(luò),讓附近的手機(jī)自動降頻到2G。
譚亮說,他的作案方式是“廣撒網(wǎng)”。選擇人群密集的地方,打開嗅探設(shè)備,將周圍能嗅探到的2G手機(jī)號碼和短信都攔截下來,再去搜查事主資料。目前能獲取到的事主個人信息多是利用網(wǎng)站、各類APP本身存在的漏洞進(jìn)行查詢。
譚亮記得,國內(nèi)某銀行的網(wǎng)頁只需要用戶手機(jī)號和短信驗證碼就可登錄,登錄后,雖然用戶的銀行卡號部分?jǐn)?shù)字是隱藏的,但只要點擊頁面源代碼,就可以在代碼中尋找到完整的銀行卡號。
國內(nèi)某移動支付平臺則是泄露用戶身份證號的主要渠道。“登錄該支付平臺,身份證號碼也是有隱藏的。但是,平臺上的一些合作企業(yè)服務(wù)號通常可以獲得授權(quán),直接獲取用戶信息,就在這些服務(wù)號上泄露了身份證號碼。”譚亮告訴新京報記者。不過,8月14日,他應(yīng)警方要求,再次演示從該平臺獲取用戶身份證信息時,發(fā)現(xiàn)該漏洞已經(jīng)被堵上了。
除了技術(shù)漏洞,周正告訴新京報記者,在短信驗證碼可以被截獲的情況下,一些網(wǎng)絡(luò)平臺、銀行網(wǎng)站,原本正常提供給公眾、政企的查詢接口也會被盜刷者所利用,進(jìn)行信息查詢,相互匹配,之后在金融平臺新注冊、開通借貸服務(wù)、消費變現(xiàn)。
譚亮的供述印證了上述觀點,“在某銀行的APP登錄后,只需要短信驗證碼,就可以查看完整銀行卡號。”
“不同平臺可查詢到的信息可能不同,就得多個平臺的信息進(jìn)行拼湊。”譚亮告訴新京報記者,這也決定了此類盜刷的成功率很低,“有時候查詢不到完整的資料,或者有資料,但是賬戶沒錢。”
據(jù)譚亮說,從今年5月份開始作案,到8月份被抓,他總共盜刷成功5次,最大的一筆是5000元,盜刷的第一筆錢只有300元,是通過對方的京東白條給自己QQ充了Q幣。“當(dāng)時,事主的銀行卡里面都沒有余額,只有白條有300元的額度。”
全鏈條團(tuán)伙
譚亮認(rèn)為,他之所以盜刷金額不高,很重要的原因是他一直都是單干。此類盜刷,犯罪嫌疑人通常采取團(tuán)伙作案,各司其職,有的負(fù)責(zé)銷售設(shè)備、有的進(jìn)行嗅探作案,還有的進(jìn)行洗錢。
譚亮告訴新京報記者,在行業(yè)內(nèi),負(fù)責(zé)盜刷的人被稱為“料主”,洗錢環(huán)節(jié)稱為“洗料”,通常的做法是“料主”把消費所需要的手機(jī)號、驗證碼提供給“洗料”的人;后者進(jìn)行銷售變現(xiàn)。“一般是買油卡、充Q幣這類虛擬商品,這樣可以不需要收貨地址,更安全。”
高浩波(化名)從今年5月份開始幫此案中另一名犯罪嫌疑人劉某洗錢。他告訴新京報記者,他洗錢的手法,就是協(xié)助劉某將盜刷的錢充油卡進(jìn)行套現(xiàn)。
高浩波告訴新京報記者,劉某告訴他,有門路可以七折優(yōu)惠充油卡。高浩波將劉某的7折優(yōu)惠,轉(zhuǎn)手給他人8折優(yōu)惠,從中賺取10%提成。“到我被抓,總共賺了1000多塊錢。”
李天明在京東平臺上被盜刷的6000元興業(yè)銀行存款,也是用于購買虛擬商品。“買了一個電視會員卡499.9元,四張加油卡,分別是兩張1000元,兩張1920元。”
據(jù)譚亮介紹,之所以需要“洗料”,除了將贓款洗白,還可以逃避各類電商平臺的風(fēng)控機(jī)制。“很多電商平臺,如果你消費金額過大或頻次過多,系統(tǒng)認(rèn)為消費異常,就會啟動風(fēng)控機(jī)制,將賬戶凍結(jié)。這樣,就算盜刷了一大筆錢,也出不了。因此,就有人專門研究各種洗錢通道,幫助套現(xiàn)。”
在譚亮看來,受害者李天明的建行卡之所以會被綁定在其他平臺上進(jìn)行消費,可能就是盜刷者在逃避京東的風(fēng)控機(jī)制。“把卡綁定在別的平臺后,可以在異地到各個不同的消費場所或平臺去購物,再套現(xiàn)。”
為了洗出更多的錢,犯罪分子還會鋌而走險,購買實物商品。“這種情況,一般是寄到外省,找一個沒有監(jiān)控的收貨地址,讓專人去收貨,并想辦法套現(xiàn)。”譚亮告訴新京報記者,之所以要選擇外省的地址,是因為如果被舉報,警方跨省調(diào)查手續(xù)更復(fù)雜,可以拖延時間。
李天明就發(fā)現(xiàn),他的建行卡被綁定在掌上生活,并開通一網(wǎng)通服務(wù)后,有人便開始在福建泉州、河南濮陽等地的商貿(mào)城進(jìn)行購物。另一名住在龍崗的受害者也告訴新京報記者,她的銀行卡被綁定在交通銀行信用卡平臺——買單吧后,在廣東汕頭被進(jìn)行掃碼消費。
新京報記者實測上述兩個信用卡平臺發(fā)現(xiàn),在獲取驗證碼的情況下,均可以用他人手機(jī)號進(jìn)行注冊,并綁定銀行卡。驗證手段也是姓名、銀行卡號、身份證號碼、手機(jī)驗證碼。
“他們手段太多,我怕合作后,越陷越深,最后失控。”譚亮告訴新京報記者,他一直都是自己嗅探、查資料、“洗料”,什么都懂一點,但懂得不多。“我自己沒有洗料通道,出不了錢,所以也就不可能盜刷很多錢。我只會充Q幣,包括最多的那筆5000元,也全充了Q幣。”
譚亮還告訴新京報記者,由于盜刷需要到各類平臺查詢事主各類信息資料,也衍生出了一些人專門幫忙查信息。
“還有人可能會通過黑產(chǎn)社工庫等違法手段獲取受害者的信息。”周正告訴新京報記者。地下“社工庫”掌握著眾多網(wǎng)站和網(wǎng)民的數(shù)據(jù)和信息。
不過,譚亮表示,據(jù)其了解,在目前的短信嗅探盜刷案件中,利用這類數(shù)據(jù)庫進(jìn)行查找用戶信息的較少,主要還是利用各類網(wǎng)站、APP本身的漏洞和缺陷。
有待提高的驗證手段
8月14日-16日,新京報記者調(diào)查發(fā)現(xiàn),許多平臺已經(jīng)提升網(wǎng)絡(luò)安全系數(shù)。開通支付寶借唄需要人臉識別,開通京東金條需要上傳身份證正反面。“京東金條的開通,我是十幾天前(注:采訪日期為8月15日)才聽說開始需要上傳審核資料的。”譚亮告訴新京報記者。
在李天明被盜刷的7月6日,犯罪嫌疑人輕易就開通了他的京東金條進(jìn)行借款,“從短信驗證碼看,是凌晨4點48分申請,4點49分就審核通過了,5點08分借款到賬。這肯定沒有人證合一的審核。”
新京報記者發(fā)現(xiàn),相對來說,微信在非常用設(shè)備上登錄時的驗證是最復(fù)雜的,需要“回答安全問題”、原設(shè)備“掃二維碼驗證”、“邀請好友輔助驗證”。此外,多個銀行的APP系統(tǒng)也在近期升級,登錄驗證難度較高。
不過,新京報記者實測也發(fā)現(xiàn),不少APP在非常用設(shè)備上登錄、修改密碼時,驗證手段依然不夠安全。比如,支付寶在賬戶非常用設(shè)備上登錄、修改登錄密碼、修改支付密碼,進(jìn)而進(jìn)行轉(zhuǎn)賬、付款、提現(xiàn),都可以通過“短信驗證碼+身份證號+銀行卡號”實現(xiàn)。
在京東商城APP則可以通過“短信驗證碼+歷史收件人姓名”進(jìn)行登錄,并通過“短信驗證碼+銀行卡號+身份證號”重置支付密碼。蘇寧易購也可以通過手機(jī)驗證碼直接登錄,并使用“身份證號碼+手機(jī)驗證碼”重置支付密碼。
在銀行APP方面,中國銀行、招商銀行,也是采用姓名、銀行卡號、身份證、驗證碼的不同組合即可在非常用設(shè)備上登錄。
這就意味著,如果犯罪嫌疑人嗅探到用戶驗證碼,并利用多個手段獲取身份證號、姓名、銀行卡號,即可在支付寶、京東、蘇寧易購等平臺上進(jìn)行消費。
不過,在網(wǎng)絡(luò)信息安全專家洪禾看來,目前國內(nèi)各大銀行APP,以及支付寶、京東、微信等平臺,安全級別還是很高,應(yīng)用本身并不存在危及用戶資金安全的明顯漏洞。“但是,加入一定的使用場景,情況就比較復(fù)雜了。比如,手機(jī)系統(tǒng)本身被破壞、短信被嗅探,或者別的渠道泄露信息,那這些APP本身再安全也可能面臨風(fēng)險。”
事實上,短信嗅探帶來的網(wǎng)絡(luò)安全問題,已經(jīng)引起了業(yè)內(nèi)的注意。今年2月11日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織專家論證,發(fā)布《網(wǎng)絡(luò)安全實踐指南——應(yīng)對截獲短信驗證碼實施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》,指出由于2G網(wǎng)絡(luò)存在單向鑒權(quán)和短信內(nèi)容無加密傳輸?shù)染窒扌裕叶绦沤孬@攻擊呈現(xiàn)工具化和自動化趨勢,使利用此類威脅實施攻擊的門檻大幅降低,基于短信驗證碼實現(xiàn)身份驗證的安全風(fēng)險顯著增加。
對此,上述技術(shù)指引建議,“各移動應(yīng)用、網(wǎng)站服務(wù)提供商優(yōu)化用戶身份驗證措施,選用一種或采用多種方式組合,比如通過短信上行驗證、語音通話傳輸驗證碼、常用設(shè)備綁定、生物特征識別、動態(tài)選擇身份等驗證方式,加強(qiáng)安全性。”
其中,短信上行驗證是由用戶手機(jī)主動發(fā)送指定短信內(nèi)容到各類應(yīng)用平臺進(jìn)行身份驗證;常用設(shè)備綁定是指原則上支付、轉(zhuǎn)賬等敏感操作只能通過綁定的設(shè)備執(zhí)行;生物特征識別是人臉識別、指紋識別等。
龍崗警方提醒,如果手機(jī)收到來路不明的驗證碼,有可能嫌疑人正在攻擊手機(jī),這時候要立即關(guān)機(jī),或啟動飛行模式;睡覺時盡量關(guān)機(jī)或采用飛行模式。盡量關(guān)掉網(wǎng)站APP上的免密支付功能,或者降低每日、每筆最高限額。此外,如果看到銀行等金融機(jī)構(gòu)發(fā)來的驗證碼,但不是本人操作,除了關(guān)閉手機(jī),還要盡快凍結(jié)銀行卡,減少損失。
新京報記者 陳景收 實習(xí)生 李想俁 張一川