我也不知道这样的标题对访问量的提升作用有多大,姑且先这么设置吧。

昨天有同事给我发了篇“手机卡原始密码被破 网上银行账号破财”的文章(有兴趣的可以去G一下),新闻的内容有三块:新手法盗取网银存款(有点猴戏开锣的感觉);网络警察显身手(魔高一尺,道高一丈);冒用他人SIM卡盗窃(介绍盗窃成功经验,总结盗窃手法不足)。

整个过程大约是犯罪分子利用中国移动流程的漏洞去申请了手机SIM卡补办,然后利用手机方式修改了支付宝的密码,去购买移动充值卡、游戏点卡,最后销售赃物套现,一个17岁的孩子,一个人愣是搞了条流水线出来。

手机作为一个支付平台已经越来越受到大众的欢迎,从买个QQ会员,到和银行卡绑定的手机钱包,从风险分析的角度来看,手机这个平台吸引力越来越强了,以前可能不被重视的风险可能需要重新审视了,从业务流程的角度也需要来进行调整了,尤其是一些关键的控制点,比如身份验证、访问许可等等,这样才可以最大程度地保障用户的利益。

我初步通过10086平台了解了一下补办SIM卡的流程,按照要求,补卡工作一般在本地营业厅办理,全球通用户可以在全国一些大型城市可以进行异地补卡,补卡时需要本人携带身份证在营业厅办理,如果代办,需要携带自己的身份证和补办人身份证去营业厅办理,办理时需要提供客服密码,按照10086小姑娘给我的信息来看,这个客服密码初始值是一个随机的6位数,在购卡时会发送,办理很多业务的时候都需要这个密码。如果真是随机密码,被猜到密码的可能性很小,(新闻里说的是SIM卡原始密码,原始密码应该是指PINPIN2PUKPUK2,可以无视),而新闻中的棒小伙通过网上交易的方式获得了受害人的身份证信息、手机号码,猜测到受害人客服密码的可能性很大,进而设计出整套流程进行获利。

银行卡的密码在经过银行、媒体多年的教育后,已经摒弃了生日、手机号码、身份证号码,而手机的密码呢?也需要重视起来了,而中国移动的积分商城(需要使用客服密码的地方 http://jf.chinamobile.com/),其用户登录入口的地方既没有错误次数限制,验证码也只是个摆设,真是个测试客服密码的天堂啊,既然服务提供商是这么来保障我们的利益的,剩下的就只能靠自己了。