受害者处于信息孤岛，“补卡截码”让人防不胜防

“补卡截码”，这个听起来就颇为高深的词汇，一般人可能并不知道它的确切意思。简单来说，它是一种电信诈骗手段，诈骗分子窃取受害者的个人身份信息，然后通过补办手机卡（补卡），利用短信验证码（截码），来盗刷个人银行账户。这种诈骗方式由来已久，早在去年这个时候，央视就集中报道过。这里给大家介绍两个之前提到的不久前发生的典型案例。

案例一：北京首都航空某空姐，因为无法忍受骚扰电话而关机，等到重新开机后，她才发现诈骗分子已经用伪造的临时身份证到电信营业厅办理“补卡”业务，成功从她的账户盗刷15万元。

北京首航某空姐遭“盗刷”后在微博上发声

案例二：据新京报报道，北京的许先生，由于判断受到干扰误发送“取消+验证码”的短信给诈骗分子，使得诈骗分子有机会利用验证码更换手机卡，然后进行盗刷，最后他的全部积蓄都被窃取一空。

这两个案例虽然利用的运营商业务不同——一个是补换卡业务（较新业务），另一个则是中国移动139邮箱发短信功能（冷门业务），但它们内在的逻辑链条是一样的：

窃取个人身份信息——补办手机卡——利用短信验证码——更改银行卡（第三方支付）密码——进行盗刷。

在这整个过程中，受害者处在一个完全的信息孤岛上，那些被诈骗分子利用的网络业务，普通网民很难识别，简直防不胜防。但是电信服务提供商却对这些了如指掌，本该起到保护作用的守门人，此刻却睁一只眼闭一只眼。

电信运营商“守土有责”，但看似全副武装，实则不堪一击

在整个诈骗链条中，电信运营商的监管缺失是非常重要的一个环节。

移动互联网时代，信息安全采用所谓的“双因素验证”：既需要你记在心里的静态密码，也少不了手机短信随机发送的动态密码。为了使用的便捷，在实际操作过程中，手机号码+动态密码的验证模式成为主流。每个人的手机号码既成了诈骗分子拼命获取的法宝，也是电信服务商应该竭力保护的重要工具。

理论上讲，在手机号码实名制的约束下，个人手机号码与身份证信息的完全绑定，是可以排除诈骗分子利用手机号进行银行账户“盗刷”的可能性的，除非他能获得受害人本人的有效身份证。但这个看起来很难完成的任务，还是出现了很多漏洞。究其原因，在于电信商的监管缺失、制度缺陷和内部治理水平低下。

央视新闻早在去年这个时候就报道过“补卡截码”诈骗行为

按照规定，电话实名制后的电信营业厅在办理手机业务时，需要用户将身份证放在和公安联网的扫描仪上，以便读取身份证芯片中的个人信息。如果遇到消磁或者临时身份证，只能靠肉眼识别。诈骗分子伪造的身份证除了头像是自己，其他信息都来自受害者，他们往往以身份证消磁的借口来办理业务。

临时身份证则几乎不会引起怀疑。在北京空姐的案例中，中国电信北京公司的工作人员直截了当地回应：“根据国家法规和公司章程，在校验了本人二代身份证信息并比对了张女士临时身份证在系统中留存的相关信息后，依照业务办理程序办理补卡业务。”这些明显的漏洞让诈骗分子们欣喜不已，就连被捕的犯罪分子也坦言，“如果说通讯运营商严格把关的话，这个事情我肯定做不了的，补不了（卡）我怎么做这个事”。

另外一个常见的漏洞，是郊县电信业务办理网点审核不严，这也给了犯罪分子可乘之机。

电话实名制并未保障信息安全，反而滋生了危险

这整个过程最吊诡的是，个人用户让渡了自己的权利，实行电话实名制，换来的本应该是更加安全和有效的用户体验。但却因为运营商的漏洞，反而给了犯罪分子可趁之机。面对“补卡截码”，电信商责无旁贷。

电话实名制并未给个人信息安全带来更多保障

所以有人甚至认为应该取消实名制，回到用服务密码办理业务的状态。这样即使身份证丢失或者被伪造，也不会造成手机卡的盗补。尽管还存在争议，但电话实名制所预期的好处并没有让人感受得到，反而增加了手机卡被盗用的风险。

当然，补救的方法也有很多，例如逐步完善身份信息和证件核验技术手段，或者学习一些通讯软件的验证方式，让补卡人找一些经常通话的“证人”给自己作证。但问题的关键是，电信运营商并不愿意这样去做。

“监管难度大，成本太高”，电信商回应态度官方傲慢

面对日益猖獗的电信诈骗，如果运营商能够从源头上加以拦截，将会避免大部分人上当受骗。但运营商基本上没有这么做，他们给出的理由常常是“监管难度太大，成本太高”或者干脆是“无法做到”。“营业厅业务繁忙，每天仅补卡就有数十起，有的客户声称很忙，也想为他们尽快办卡。”这是多数电信服务内部工作人员面临指责时的基本态度，让人高兴不起来。

更有甚者，在受害者察觉到自己可能被诈骗分子盯上后，主动与电信商沟通，要求共同防范时，他们则双手一摊，表示自己也无能为力。微博网友@思维曲线在发现自己被电话和短信骚扰时，很快就联系到中国移动，希望能有所帮助，不过得到的依然只是一些官话套话。

微博网友@思维曲线与中国移动工作人员接触情况

在“盗刷”发生后，他们则反复声称自己只是运营商，没有技术手段和条件查验临时身份证的真假。“你信息流失赖你自己，反正不是我们的问题，只要你拿临时身份证来，信息全部吻合我们就给你补。”即便受害者以媒体舆论和法律诉讼逼迫，他们的态度依然冷冰冰，“那是您的权利，您可以随意。”这从侧面反映出很多国有垄断企业固有的顽疾，不愿意主动寻求变革。

这样造成的后果就是，明知道自己正在被骚扰，已经被诈骗分子盯上，随时都有被“盗卡”、“盗刷”的危险，却只能眼巴巴看着，随时保持警惕，却什么事也干不了。

是时候采取法律手段，倒逼运营商承担相应责任

既然主动沟通和舆论监督作用不大，不妨走一走法律途径。不过，由于个体力量的相对弱小以及证据不够充分，利用法律来进行维权的个人并不多见。但是你有充分的理由可以这么做，因为你在手机卡的消费过程中就已经和电信运营商缔结了契约，而每次业务办理都有相关的条款说明。

根据侵权责任法第36条，网络用户和网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络服务提供者在知道网络用户利用它进行侵权行为，而且被告知后未采取必要措施的，承担连带责任。换句话说，即便电信服务提供商并不是实施诈骗的主体，但因为客观上提供了便利，而且没有加以监管和阻止，他们负有不可推卸的责任。据2013年7月30日最高法对人大代表的答复，这里的“网络服务提供者”明确包括提供电话服务的电信运营商。

虽然诉讼艰难，但并非没有。3月9日，福建厦门思明区法院就受理了一起民事诉讼，来自泉州的吴先生状告中国移动，认为其监管失责是自己的手机卡号被“盗补”以及银行卡被“盗刷”的主要原因。此案的审理结果还未最终宣判，不过倒是可以作为一个路标，吸引更多追随者倒逼电信服务商进行改革。去年广州杨叔因诈骗分子伪造公安局来电而损失48万元，从而状告运营商的案子，最后法院判决电信运营商赔偿杨叔损失1万元，也是一个很好的开始。

福建泉州的吴先生状告中国移动，要求赔偿自己经济损失

问题不全在电信运营商，真正解决问题需要好的顶层设计、以及多方面通力合作

让电信运营商重视起来、行动起来，补上现有的漏洞，问题就解决了吗？恐怕不然。现在看起来问题主要在于电信运营商这里，但银行在转账、支付的安全设计方面，同样也存在诸多漏洞。所谓“道高一尺，魔高一丈”，只要犯罪分子钻漏洞的意愿和行动力强于电信、银行等部门，就难保不会在哪些环节发现漏洞。真正解决问题，需要全社会通力协作，从个人隐私不被滥用、不被泄漏做起。希望正在起草的《网络安全法》能起到这样的作用。