受害者處於信息孤島,「補卡截碼」讓人防不勝防
「補卡截碼」,這個聽起來就頗為高深的詞彙,一般人可能並不知道它的確切意思。簡單來說,它是一種電信詐騙手段,詐騙分子竊取受害者的個人身份信息,然後通過補辦手機卡(補卡),利用簡訊驗證碼(截碼),來盜刷個人銀行帳戶。這種詐騙方式由來已久,早在去年這個時候,央視就集中報導過。這裡給大家介紹兩個之前提到的不久前發生的典型案例。
案例一:北京首都航空某空姐,因為無法忍受騷擾電話而關機,等到重新開機後,她才發現詐騙分子已經用偽造的臨時身份證到電信營業廳辦理「補卡」業務,成功從她的帳戶盜刷15萬元。
案例二:據新京報報導,北京的許先生,由於判斷受到幹擾誤發送「取消+驗證碼」的簡訊給詐騙分子,使得詐騙分子有機會利用驗證碼更換手機卡,然後進行盜刷,最後他的全部積蓄都被竊取一空。
這兩個案例雖然利用的運營商業務不同——一個是補換卡業務(較新業務),另一個則是中國移動139郵箱發簡訊功能(冷門業務),但它們內在的邏輯鏈條是一樣的:
竊取個人身份信息——補辦手機卡——利用簡訊驗證碼——更改銀行卡(第三方支付)密碼——進行盜刷。
在這整個過程中,受害者處在一個完全的信息孤島上,那些被詐騙分子利用的網絡業務,普通網民很難識別,簡直防不勝防。但是電信服務提供商卻對這些了如指掌,本該起到保護作用的守門人,此刻卻睜一隻眼閉一隻眼。
電信運營商「守土有責」,但看似全副武裝,實則不堪一擊
在整個詐騙鏈條中,電信運營商的監管缺失是非常重要的一個環節。
移動網際網路時代,信息安全採用所謂的「雙因素驗證」:既需要你記在心裡的靜態密碼,也少不了手機簡訊隨機發送的動態密碼。為了使用的便捷,在實際操作過程中,手機號碼+動態密碼的驗證模式成為主流。每個人的手機號碼既成了詐騙分子拼命獲取的法寶,也是電信服務商應該竭力保護的重要工具。
理論上講,在手機號碼實名制的約束下,個人手機號碼與身份證信息的完全綁定,是可以排除詐騙分子利用手機號進行銀行帳戶「盜刷」的可能性的,除非他能獲得受害人本人的有效身份證。但這個看起來很難完成的任務,還是出現了很多漏洞。究其原因,在於電信商的監管缺失、制度缺陷和內部治理水平低下。
按照規定,電話實名制後的電信營業廳在辦理手機業務時,需要用戶將身份證放在和公安聯網的掃描儀上,以便讀取身份證晶片中的個人信息。如果遇到消磁或者臨時身份證,只能靠肉眼識別。詐騙分子偽造的身份證除了頭像是自己,其他信息都來自受害者,他們往往以身份證消磁的藉口來辦理業務。
臨時身份證則幾乎不會引起懷疑。在北京空姐的案例中,中國電信北京公司的工作人員直截了當地回應:「根據國家法規和公司章程,在校驗了本人二代身份證信息並比對了張女士臨時身份證在系統中留存的相關信息後,依照業務辦理程序辦理補卡業務。」這些明顯的漏洞讓詐騙分子們欣喜不已,就連被捕的犯罪分子也坦言,「如果說通訊運營商嚴格把關的話,這個事情我肯定做不了的,補不了(卡)我怎麼做這個事」。
另外一個常見的漏洞,是郊縣電信業務辦理網點審核不嚴,這也給了犯罪分子可乘之機。
電話實名制並未保障信息安全,反而滋生了危險
這整個過程最弔詭的是,個人用戶讓渡了自己的權利,實行電話實名制,換來的本應該是更加安全和有效的用戶體驗。但卻因為運營商的漏洞,反而給了犯罪分子可趁之機。面對「補卡截碼」,電信商責無旁貸。
所以有人甚至認為應該取消實名制,回到用服務密碼辦理業務的狀態。這樣即使身份證丟失或者被偽造,也不會造成手機卡的盜補。儘管還存在爭議,但電話實名制所預期的好處並沒有讓人感受得到,反而增加了手機卡被盜用的風險。
當然,補救的方法也有很多,例如逐步完善身份信息和證件核驗技術手段,或者學習一些通訊軟體的驗證方式,讓補卡人找一些經常通話的「證人」給自己作證。但問題的關鍵是,電信運營商並不願意這樣去做。
「監管難度大,成本太高」,電信商回應態度官方傲慢
面對日益猖獗的電信詐騙,如果運營商能夠從源頭上加以攔截,將會避免大部分人上當受騙。但運營商基本上沒有這麼做,他們給出的理由常常是「監管難度太大,成本太高」或者乾脆是「無法做到」。「營業廳業務繁忙,每天僅補卡就有數十起,有的客戶聲稱很忙,也想為他們儘快辦卡。」這是多數電信服務內部工作人員面臨指責時的基本態度,讓人高興不起來。
更有甚者,在受害者察覺到自己可能被詐騙分子盯上後,主動與電信商溝通,要求共同防範時,他們則雙手一攤,表示自己也無能為力。微博網友@思維曲線在發現自己被電話和簡訊騷擾時,很快就聯繫到中國移動,希望能有所幫助,不過得到的依然只是一些官話套話。
在「盜刷」發生後,他們則反覆聲稱自己只是運營商,沒有技術手段和條件查驗臨時身份證的真假。「你信息流失賴你自己,反正不是我們的問題,只要你拿臨時身份證來,信息全部吻合我們就給你補。」即便受害者以媒體輿論和法律訴訟逼迫,他們的態度依然冷冰冰,「那是您的權利,您可以隨意。」這從側面反映出很多國有壟斷企業固有的頑疾,不願意主動尋求變革。
這樣造成的後果就是,明知道自己正在被騷擾,已經被詐騙分子盯上,隨時都有被「盜卡」、「盜刷」的危險,卻只能眼巴巴看著,隨時保持警惕,卻什麼事也幹不了。
是時候採取法律手段,倒逼運營商承擔相應責任
既然主動溝通和輿論監督作用不大,不妨走一走法律途徑。不過,由於個體力量的相對弱小以及證據不夠充分,利用法律來進行維權的個人並不多見。但是你有充分的理由可以這麼做,因為你在手機卡的消費過程中就已經和電信運營商締結了契約,而每次業務辦理都有相關的條款說明。
根據侵權責任法第36條,網絡用戶和網絡服務提供者利用網絡侵害他人民事權益的,應當承擔侵權責任。網絡服務提供者在知道網絡用戶利用它進行侵權行為,而且被告知後未採取必要措施的,承擔連帶責任。換句話說,即便電信服務提供商並不是實施詐騙的主體,但因為客觀上提供了便利,而且沒有加以監管和阻止,他們負有不可推卸的責任。據2013年7月30日最高法對人大代表的答覆,這裡的「網絡服務提供者」明確包括提供電話服務的電信運營商。
雖然訴訟艱難,但並非沒有。3月9日,福建廈門思明區法院就受理了一起民事訴訟,來自泉州的吳先生狀告中國移動,認為其監管失責是自己的手機卡號被「盜補」以及銀行卡被「盜刷」的主要原因。此案的審理結果還未最終宣判,不過倒是可以作為一個路標,吸引更多追隨者倒逼電信服務商進行改革。去年廣州楊叔因詐騙分子偽造公安局來電而損失48萬元,從而狀告運營商的案子,最後法院判決電信運營商賠償楊叔損失1萬元,也是一個很好的開始。
問題不全在電信運營商,真正解決問題需要好的頂層設計、以及多方面通力合作
讓電信運營商重視起來、行動起來,補上現有的漏洞,問題就解決了嗎?恐怕不然。現在看起來問題主要在於電信運營商這裡,但銀行在轉帳、支付的安全設計方面,同樣也存在諸多漏洞。所謂「道高一尺,魔高一丈」,只要犯罪分子鑽漏洞的意願和行動力強於電信、銀行等部門,就難保不會在哪些環節發現漏洞。真正解決問題,需要全社會通力協作,從個人隱私不被濫用、不被洩漏做起。希望正在起草的《網絡安全法》能起到這樣的作用。