电子社保卡来了!信息安全吗?

2019-05-23 15:18:4360720人阅读

近期,人社部重磅宣布,全国统一、全国通用的电子社保卡即将到来!传统社保卡进入了被取代的倒计时!

1.png

缴费、领钱、发待遇……,电子社保卡功能逆天

 

未来,电子社保卡的功能将逆天强大,将极大的方便我们的生活。

 

1.个人信息查询、业务申办

2.政务门户网站快速注册和登录

3.移动支付

电子社保卡同时具有移动支付功能,可用于线上参保缴费、考试缴费、培训缴费、医疗费结算等。

4.实现身份凭证功能

向智慧城市服务拓展,发挥电子社保卡身份凭证功能,与交通出行、公用事业、小额支付等场景结合,推进在入园、入馆、出行等方面的应用。

5.民生缴费和待遇发放

向金融服务开放,提供电子社保卡缴费支付服务,实现相关民生缴费和待遇发放,探索社保卡银行账户线上应用、银行账户身份核验、信用服务等方面合作。

它真的安全可靠吗?一张图带你更加深入了解!

121.jpg

122.jpg

123.jpg

124.jpg

125.jpg

126.jpg

127.jpg

128.jpg


信息安全性可以放心吗?

 

以下是官方给出的解释:

电子社保卡以保证持卡人信息准确、安全为根本前提,用户领卡和用卡时,均需要第三方平台与全国社保卡平台进行实时校验确认,并结合电子认证、刷脸认证等互联网安全技术手段,确保是‘实人、实名、实卡’。同时,就诊买药等相关信息均由医院、药店与医保系统直接交互,数据不经过第三方平台,确保用户信息安全。


但实践证明,信息安全保卫战就是一场猫捉老鼠的游戏,永不停歇!

对于电子社保卡的信息安全,我们肯定会对官方的安全保障措施抱有极大的信心。但这并不代表,我们可以高枕无忧。就以中国为例,近年来,因为个人信息泄露导致的电信诈骗时有发生,骗子们知道受害者的单位、名字、身份证号、收入水平。这些信息是怎么泄露的,一直是个谜团。社保系统漏洞导致的个人信息泄露,可能是其中的来源之一。

例如:2013年,中石油某分中心住房公积金管理中心被入侵;2014年,北京市住房管理中心爆出漏洞,无需登录即可查看别人的公积金余额;2015年,西安市住房公积金系统设计缺陷,可绕过密码查询个人账户信息。像这些省级管理中心,管理者数百万缴纳者的个人信息,其信息泄露造成的影响不可低估。

尤其值得注意的是,类似漏洞爆出之后,管理者即使将漏洞弥补,但之前已经泄露的信息也无法追回、销毁,甚至是否有人曾经入侵过都不得而知。

社会保障号码对应的隐私信息一直是黑市里的一个金矿,黑客经常会将社会保障号码列为攻击的头等目标,并动用一切手段来获取社会保障号码。

2017年9月,美国征信企业Equifax披露称,其网站遭遇黑客攻击,造成1.43亿人的个人信息泄露,包括社会保障号码和驾照信息等。这可能是近年来最大的一起泄露事故。之前雅虎虽然泄露了10亿帐户信息,但里面没有包含社会保障号和驾照信息。Equifax表示,此次泄露从5月中旬持续到7月29日,公司直到7月29日才发现数据泄露。

 

个人信息泄露促生的电信诈骗

1.公积金账户异常、社保缴纳异常、提取公积金诈骗。骗子谎称用户的公积金账户异常,需要缴费才能恢复使用,直接骗取钱财;有的会谎称可以帮你提取公积金,但索取高额手续费。凡是遇到这种情况,用户可以直接拨打官方电话求证,或者直接去社保大厅去办理相关业务,不要凭借电话就转账、支付。

2.伪造身份证,窃取网银资金。因为在社保、医保等账户中有身份证号、头像等信息,骗子可以用这些信息伪造身份证,用假身份证去补办手机卡,通过手机尝试获取用户网银账户、第三方支付密码,转走账户中的资金。

3.通过社保资料,查找收入高的目标人群,通过短信发送手机病毒,用户点击安装后,病毒会截取用户手机的短信等信息,黑客伪造用户身份在第三方支付平台注册并绑定银行卡,凭借手机验证短信转走用户资金。由于手机病毒会截取短信,导致银行发送的账户变动短信用户无法得知,往往几天后用户才会发现账户异常。

 

可能的攻击途径

1.对申领平台进行攻击

小编猜测,随着社保开大规模的电子化,以及应用场景的扩大化。其中所包含的用户信息可定会让黑客垂涎三尺,为此,黑客可能会不惜成本和代价,或者对以前的恶意软件进行升级,或者开发全新的工具,专门以申领平台为攻击目标。以为没有哪一款APP或网络平台的安全设计时天衣无缝的,总共有各种各样的底层漏洞,比如代码漏洞就是一件很要命的事情。

另外,对于这种信息的获取,有时不只是黑客个人的需求。目前就存在着很多国家背景的黑客组织,他们专门来挖掘其他国家的情报。

2.利用社会工程和网络钓鱼方式进行攻击

以“个人所得税”手机APP为例,2019年1月1日起,纳税人可通过“个人所得税”手机APP申报个人所得税专项附加扣除。大量符合条件的纳税人通过下载“个人所得税”APP进行申报,殊不知应用市场鱼龙混杂,除了官方的“个人所得税”APP外,还有许多仿冒国家税务总局“个人所得税”APP的恶意软件,它们包含伪装木马病毒,盗取用户个人信息。其中一款APP的下载量已近60万次,仅次于税务总局近日上线的“个人所得税”APP。

3.供应链攻击

最近两年,供应链攻击已经成为最大网络威胁 。供应链攻击形式多样。可以是对合作伙伴公司的雇员进行网络钓鱼获取本公司登录凭证,比如近几年影响最重大的两起数据泄露:美国零售商塔吉特百货和美国人事管理局(OPM)数据泄露事件,就是经由合作公司失窃的登录凭证。也可以是往合法软件中植入恶意软件,比如著名的NotPetya勒索软件,就是乌克兰流行会计软件M.E.Doc被感染而引起的。英国国家网络安全中心(NCSC) 对供应链攻击的总结如下:

如果做得好的话,供应链攻击是很难被检测出来的,有时候甚至是完全不可能被发现的。网络监视能检测出异常或可疑行为,但依然难以确定安全漏洞是有意引入的(可能是作为后门),还是来自开发人员或制造商的无意疏忽,或者其实是为了证明有潜在的访问凭证被利用了。

4.SIM卡交换诈骗 

简单来说,“SIM 卡交换”是一种复杂的社会工程学攻击,别有用心者会收集特定目标的身份识别信息,以便向运营商证明“我就是你”。所以在这种情况下,即使帐户受双重身份验证保护,这种攻击方法仍然有效。

目前,美国执法部门已经将“SIM卡交换诈骗”作为打击加密货币欺诈的“重中之重”。另外,“SIM卡交换诈骗”对新兴的移动支付的影响非常大。

5. MITM攻击

中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,并且当今仍然有着广泛的发展空间,如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。 

随着计算机通信网技术的不断发展,MITM攻击也越来越多样化。最初,攻击者只要将网卡设为混杂模式,伪装成代理服务器监听特定的流量就可以实现攻击,这是因为很多通信协议都是以明文来进行传输的,如HTTP、FTP、Telnet等。后来,随着交换机代替集线器,简单的嗅探攻击已经不能成功,必须先进行ARP欺骗才行。如今,越来越多的服务商(网上银行,邮箱登陆)开始采用加密通信,SSL(Secure Sockets Layer 安全套接层)是一种广泛使用的技术,HTTPS、FTPS等都是建立在其基础上的。 

6.内部攻击:这是一种内部人员有意进行的恶意行为,一般不会发生,一旦发生就是大事。

7.AI换脸:深度伪造

最近在美国,兴起了一种很厉害的换脸技术,就是用AI换脸技术,且换脸后的效果栩栩如生。如果这项技术被黑客掌握,则电子社保验证中的人脸识别环节,就基本上是个摆设了。

AI换脸,又叫Deepfake,是人工智能的一个分支,如果按族谱算,无人汽车、阿尔法狗、微软小冰等比较出名的产品,都是Deepfake的哥哥。但在Deepfake的世界中,身份就是没有身份,美猴王可以打起篮球,苏大强可以变成吴彦祖。

 

如何防范此类安全风险

 

对个人的一些建议:

1.谨防不法分子仿冒官方申领平台的APP进行诈骗,在此提醒各位,请通过官网,以及正规应用商店下载APP。请警惕来历不明的二维码链接,不要随便点击。

2.电子社保卡的密码要设置的复杂一些,不要和其他密码重复。

3.每个人都可能成为潜在的受害者,即使电话中有人知道你的名字、单位、身份证号,也不一定是熟人或警察,很可能是骗子,应做到不轻信、不汇款。

4.对可疑短信中的链接,不点击、不下载不安装,避免受到手机病毒侵害。

5.如果发现手机短信功能异常,不能接受、发送短信,应立刻关机取出手机SIM卡插到正常手机,尽快联系银行,检查银行账户是否存在异常。

6.就是尽量不要把自己的美颜照和真实照片放在社交网络上,以免被人利用。

 

对于申领平台和负责安全公司的建议

1.平台的安全管理员一定得时刻紧盯安全行业的趋势变化,做到随时应对各种突如其来的风险。

2.加强内部防护,特别是供应链攻击

具有域管理员资格的帐户应受到高度限制,在此,我们建议大家可以基于不同的管理功能来为每个账户设置不同的权限的管理账户,这样每个管理员就不具有访问整个域的权限了,这将有助于对整个域的权限保护。

3.尽量使用专有的设备管理网络

扁平网络虽然易于管理和使用,但是对于攻击者来说也一样非常方便进行攻击。所以为了加强对设备的管理和安全预防,目前,主流厂商售出的大部分服务器都使用专用硬件模块或特殊的远程管理卡提供管理接口,通过专用的数据通道对设备进行远程维护和管理,完全独立于设备操作系统之外,甚至可以在设备关机状态下进行远程监控与管理。

4.对于存在漏洞的公共服务网站和系统能够,主管部门应高度重视,督促相应单位尽快修复服务器安全漏洞。

5.防止攻击产业链的形成,电信诈骗之所以现在屡禁不止,就是因为它形成了一个灰色产业,建议有关部门应提前做好预防准备和应对机制。

 


本文作者luochicun,转载自嘶吼,原文地址:  https://www.4hou.com/info/news/17776.html


0
现金券
0
兑换券
立即领取
领取成功