手機失竊在倫敦已司空見慣。倫敦大都會警察局(Met Police)最近透露,為打擊推動價值5000萬英鎊(約合人民幣4.2億元)手機盜竊貿易的有組織犯罪網絡,該局每周會繳獲1000部被盜手機。在全國范圍內,此類案件已增至每年83900起。
不過,真正的問題不在于手機丟失,而在于隨后會發生什么,小偷盯上的是手機中寶貴的數字資產。一旦獲得訪問權限,被盜手機就能成為訪問受害者金融賬戶、個人數據,甚至工作憑據的萬能鑰匙。
許多人認為,由于生物識別和雙重身份驗證(2FA)的存在,他們的銀行應用程序和賬戶是安全的,但往往最薄弱的環節就是手機的PIN碼。如果小偷拿到了一部未鎖屏的手機,或是看到了別人輸入PIN碼,他們就可以覆蓋生物識別信息,禁用安全功能,從而控制手機。他們可以重置密碼,訪問存儲的驗證代碼,甚至將受害者鎖出自己的賬戶。
那追蹤應用程序呢?它們也并不總是有用。如果手機迅速被切換到飛行模式,或是被放在一個信號屏蔽袋里,它就會變得無法追蹤。等到有人意識到手機丟了的時候,往往損失已經造成了。
手機失竊的財務和數字后果
財務欺詐:受害者往往蒙受經濟損失,且這些損失往往超過了更換設備的費用。犯罪分子會利用自動保存的密碼、應用程序會話持久性和薄弱的身份驗證來竊取銀行賬戶資金并進行未經授權的交易。
身份盜竊:被盜手機中還包含個人身份信息,犯罪分子可以利用這些信息進行網絡釣魚、SIM卡欺詐,或大規模身份盜竊。
利用人際關系:與身份盜竊類似,犯罪分子可以利用受害者被盜的通訊錄,冒充受害者并索要錢財或個人幫助。由于這些詐騙信息來自一個受信任的來源,因此更有可能成功。
企業數據泄露:隨著許多員工使用個人設備處理工作事務,一部被盜的手機就可能為未經授權的訪問打開企業電子郵件、云存儲和敏感文檔的大門,從而導致潛在的數據泄露。
消費者如何構建強大的數字防御體系
犯罪分子使用的手段已經隨著時間的推移而演變,消費者必須重新思考保護數字生活的方式。加強手機安全既需要行為上的改變,也需要技術上的措施。以下是保護個人數據安全的六個關鍵步驟:
使用更強大的PIN碼,并用更好的身份驗證方式鎖定手機
使用更強大的PIN碼是提高安全性的最有效方法之一。應避免使用諸如“1234”、“0000”或生日等可預測的PIN碼。相反,建議使用六位數字或字母數字組合的密碼,并將自動鎖定時間設置為盡可能短。應啟用生物識別身份驗證,如指紋或Face ID,但應與強密碼結合使用。
確保你為應用程序設置的PIN碼與解鎖手機所用的PIN碼不同。如果你覺得為每個應用程序記住一個唯一密碼很難,那么所有應用程序可以共享同一個密碼,但一定要確保有一個密碼用于訪問手機,另一個用于應用程序。
切勿在記事本應用程序或短信中存儲銀行PIN碼、密碼和安全代碼。
啟用遠程鎖定功能,為最壞的情況做準備
設置蘋果的“丟失模式”或谷歌的“查找我的設備”功能,這樣用戶就可以遠程鎖定和擦除被盜手機中的數據,還應考慮使用可以在手機被盜時立即鎖定所有數字賬戶的安全應用程序。
定期將重要數據備份到安全的云存儲或加密的外置驅動器中,以確保重要信息不會丟失。
減少敏感信息的暴露
可以通過避免在瀏覽器中自動保存密碼,并使用專用的密碼管理器來最小化敏感信息的暴露。應禁用銀行應用程序和敏感消息的鎖屏通知,以防止未經授權訪問重置代碼,還應從購物應用程序中刪除不必要的存儲支付信息,以限制潛在的財務損失。
將銀行和個人電子郵件分開
消費者還應考慮使用專門用于銀行業務的電子郵件,將其與個人社交媒體賬戶分開。應禁用電子郵件鎖屏預覽功能,以防止手機被盜時訪問關鍵的重置代碼。
使用單獨的設備進行身份驗證
使用單獨的設備進行身份驗證可以增加一層安全性,降低將所有支付方式存儲在同一臺設備上的風險。
如果你在使用2FA,且驗證碼是在與應用程序相同的設備上生成或接收的,那么你基本上沒有得到比不使用2FA更好的保護。
定期更新安全設置
檢查應用程序權限,刪除過時的賬戶,并使用基于應用程序的身份驗證而不是基于短信的2FA來進一步加強安全性。(后者由于存在SIM卡欺詐的可能性,因此不太安全。)
良好的安全習慣很重要,但技術也必須跟上,以應對手機失竊帶來的風險。像人工智能驅動的威脅檢測這樣的新興解決方案可以監控手機使用模式,并在發生財務損失之前標記可疑活動。
新的隱私保護技術,如深度映射面部識別和自適應行為生物識別,使得犯罪分子更難濫用被盜的憑證。諸如智能眼鏡和帶有“隱私模式”顯示的折疊屏手機等創新產品也有助于防止PIN碼窺探和未經授權的訪問。
企業必須采取哪些措施來減輕員工手機相關的風險
隨著越來越多的員工使用個人設備處理工作事務,企業必須實施更強的移動安全政策,以防止數據泄露。企業應制定移動設備管理政策,要求員工使用公司批準的安全設置,并為能夠訪問公司數據的任何設備啟用遠程擦除功能。必須通過實施零信任安全政策,并為所有登錄加強多因素身份驗證來加強工作應用程序的訪問控制。IT團隊應根據設備的安全合規性來限制對企業網絡的訪問。
企業還可以通過定期對員工進行移動安全最佳實踐教育來降低風險。這些培訓應包括關于可以在個人設備上存儲或訪問哪些數據的明確政策。
企業還將受益于使用端點安全解決方案來監測安全漏洞,這些解決方案可以檢測和防止未經授權的訪問嘗試,并為來自員工設備的可疑登錄活動設置警報。
更強的安全性是一項集體責任
對智能手機的日益依賴意味著消費者和企業都不能低估手機失竊的風險。消費者必須認識到,他們的手機就像包含敏感個人和財務信息的數字保險箱,而企業必須承擔起教育用戶如何確保設備安全的責任。
企業應針對技術熟練用戶以及可能在數字安全方面遇到困難的用戶開展宣傳活動。
金融機構和政策制定者必須合作制定全面的框架,以增強欺詐預防和改進數字安全措施。
英國的手機失竊危機是一個警鐘。越早實施主動措施,個人和企業就越能準備好應對這一日益嚴重的威脅。安全需要警惕、適應和集體努力,才能走在實體犯罪和網絡犯罪分子前面。