再見，傳統社保卡！你好，電子社保卡！期待！信息安全保障也要做到位哦！

近期，人社部重磅宣布，全國統一、全國通用的電子社保卡即將到來！傳統社保卡進入了被取代的倒計時！

繳費、領錢、發待遇……,電子社保卡功能逆天

未來，電子社保卡的功能將逆天強大，將極大的方便我們的生活。

1.個人信息查詢、業務申辦

2.政務門戶網站快速註冊和登錄

3.移動支付

電子社保卡同時具有移動支付功能，可用於線上參保繳費、考試繳費、培訓繳費、醫療費結算等。

4.實現身份憑證功能

向智慧城市服務拓展，發揮電子社保卡身份憑證功能，與交通出行、公用事業、小額支付等場景結合，推進在入園、入館、出行等方面的應用。

5.民生繳費和待遇發放

向金融服務開放，提供電子社保卡繳費支付服務，實現相關民生繳費和待遇發放，探索社保卡銀行賬戶線上應用、銀行賬戶身份核驗、信用服務等方面合作。

電子社保卡到底去哪兒領？

它真的安全可靠嗎？一張圖帶你更加深入了解！

看了以上的圖，你可以明白電子社保卡的真正功能了吧！

其實早在2018年4月22日在福州舉行的首屆數字中國建設成果展覽會上，人力資源社會保障部簽發了全國首張電子社保卡！

信息安全性可以放心嗎？

以下是官方給出的解釋：

電子社保卡以保證持卡人信息準確、安全為根本前提，用戶領卡和用卡時，均需要第三方平台與全國社保卡平台進行實時校驗確認，並結合電子認證、刷臉認證等互聯網安全技術手段，確保是『實人、實名、實卡』。同時，就診買葯等相關信息均由醫院、藥店與醫保系統直接交互，數據不經過第三方平台，確保用戶信息安全。

支付寶則表示：

就算手機丟了也不怕，因為通過支付寶領取的電子社保卡，別人要想使用，得先通過『手機密碼 支付寶登錄密碼』打開你的支付寶;還需要指紋或刷臉等驗證，才能進行支付。而僅僅支付寶人臉識別技術的準確率就已經達到了99.99%，被冒領、冒用的可能性極低。另外，使用刷臉驗證『我是我』，不存在自行錄入信息被泄漏的可能。刷臉信息在驗證過程中會對照片脫敏處理。即使在傳輸過程中被竊取，黑客也無法還原出照片，所以不用擔心『臉』被泄漏。同時，現在的人臉識別技術已經能很好地分辨出照片、視頻等，不可能被冒用。

但實踐證明，信息安全保衛戰就是一場貓捉老鼠的遊戲，永不停歇！

對於電子社保卡的信息安全，我們肯定會對官方的安全保障措施抱有極大的信心。但這並不代表，我們可以高枕無憂。就以中國為例，近年來，因為個人信息泄露導致的電信詐騙時有發生，騙子們知道受害者的單位、名字、身份證號、收入水平。這些信息是怎麼泄露的，一直是個謎團。社保系統漏洞導致的個人信息泄露，可能是其中的來源之一。

例如：2013年，中石油某分中心住房公積金管理中心被入侵；2014年，北京市住房管理中心爆出漏洞，無需登錄即可查看別人的公積金餘額；2015年，西安市住房公積金系統設計缺陷，可繞過密碼查詢個人賬戶信息。像這些省級管理中心，管理者數百萬繳納者的個人信息，其信息泄露造成的影響不可低估。

尤其值得注意的是，類似漏洞爆出之後，管理者即使將漏洞彌補，但之前已經泄露的信息也無法追回、銷毀，甚至是否有人曾經入侵過都不得而知。

社會保障號碼對應的隱私信息一直是黑市裡的一個金礦，黑客經常會將社會保障號碼列為攻擊的頭等目標，並動用一切手段來獲取社會保障號碼。

2017年9月，美國徵信企業Equifax披露稱，其網站遭遇黑客攻擊，造成1.43億人的個人信息泄露，包括社會保障號碼和駕照信息等。這可能是近年來最大的一起泄露事故。之前雅虎雖然泄露了10億帳戶信息，但裡面沒有包含社會保障號和駕照信息。Equifax表示，此次泄露從5月中旬持續到7月29日，公司直到7月29日才發現數據泄露。

個人信息泄露促生的電信詐騙

1.公積金賬戶異常、社保繳納異常、提取公積金詐騙。騙子謊稱用戶的公積金賬戶異常，需要繳費才能恢復使用，直接騙取錢財；有的會謊稱可以幫你提取公積金，但索取高額手續費。凡是遇到這種情況，用戶可以直接撥打官方電話求證，或者直接去社保大廳去辦理相關業務，不要憑藉電話就轉賬、支付。

2.偽造身份證，竊取網銀資金。因為在社保、醫保等賬戶中有身份證號、頭像等信息，騙子可以用這些信息偽造身份證，用假身份證去補辦手機卡，通過手機嘗試獲取用戶網銀賬戶、第三方支付密碼，轉走賬戶中的資金。

3.通過社保資料，查找收入高的目標人群，通過簡訊發送手機病毒，用戶點擊安裝後，病毒會截取用戶手機的簡訊等信息，黑客偽造用戶身份在第三方支付平台註冊並綁定銀行卡，憑藉手機驗證簡訊轉走用戶資金。由於手機病毒會截取簡訊，導致銀行發送的賬戶變動簡訊用戶無法得知，往往幾天後用戶才會發現賬戶異常。

可能的攻擊途徑

1.對申領平台進行攻擊

小編猜測，隨著社保開大規模的電子化，以及應用場景的擴大化。其中所包含的用戶信息可定會讓黑客垂涎三尺，為此，黑客可能會不惜成本和代價，或者對以前的惡意軟體進行升級，或者開發全新的工具，專門以申領平台為攻擊目標。以為沒有哪一款APP或網路平台的安全設計時天衣無縫的，總共有各種各樣的底層漏洞，比如代碼漏洞就是一件很要命的事情。

另外，對於這種信息的獲取，有時不只是黑客個人的需求。目前就存在著很多國家背景的黑客組織，他們專門來挖掘其他國家的情報。

2.利用社會工程和網路釣魚方式進行攻擊

以「個人所得稅」手機APP為例，2019年1月1日起，納稅人可通過「個人所得稅」手機APP申報個人所得稅專項附加扣除。大量符合條件的納稅人通過下載「個人所得稅」APP進行申報，殊不知應用市場魚龍混雜，除了官方的「個人所得稅」APP外，還有許多仿冒國家稅務總局「個人所得稅」APP的惡意軟體，它們包含偽裝木馬病毒，盜取用戶個人信息。其中一款APP的下載量已近60萬次，僅次於稅務總局近日上線的「個人所得稅」APP。

3.供應鏈攻擊

最近兩年，供應鏈攻擊已經成為最大網路威脅 。供應鏈攻擊形式多樣。可以是對合作夥伴公司的僱員進行網路釣魚獲取本公司登錄憑證，比如近幾年影響最重大的兩起數據泄露：美國零售商塔吉特百貨和美國人事管理局(OPM)數據泄露事件，就是經由合作公司失竊的登錄憑證。也可以是往合法軟體中植入惡意軟體，比如著名的NotPetya勒索軟體，就是烏克蘭流行會計軟體M.E.Doc被感染而引起的。英國國家網路安全中心(NCSC) 對供應鏈攻擊的總結如下：

如果做得好的話，供應鏈攻擊是很難被檢測出來的，有時候甚至是完全不可能被發現的。網路監視能檢測出異常或可疑行為，但依然難以確定安全漏洞是有意引入的（可能是作為後門），還是來自開發人員或製造商的無意疏忽，或者其實是為了證明有潛在的訪問憑證被利用了。

4.SIM卡交換詐騙

簡單來說，「SIM 卡交換」是一種複雜的社會工程學攻擊，別有用心者會收集特定目標的身份識別信息，以便向運營商證明「我就是你」。所以在這種情況下，即使帳戶受雙重身份驗證保護，這種攻擊方法仍然有效。

目前，美國執法部門已經將 「SIM卡交換詐騙」作為打擊加密貨幣欺詐的「重中之重」。另外，「SIM卡交換詐騙」對新興的移動支付的影響非常大。

5. MITM攻擊

中間人攻擊（Man-in-the-Middle Attack, MITM）是一種由來已久的網路入侵手段，並且當今仍然有著廣泛的發展空間，如SMB會話劫持、DNS欺騙等攻擊都是典型的MITM攻擊。簡而言之，所謂的MITM攻擊就是通過攔截正常的網路通信數據，並進行數據篡改和嗅探，而通信的雙方卻毫不知情。

隨著計算機通信網技術的不斷發展，MITM攻擊也越來越多樣化。最初，攻擊者只要將網卡設為混雜模式，偽裝成代理伺服器監聽特定的流量就可以實現攻擊，這是因為很多通信協議都是以明文來進行傳輸的，如HTTP、FTP、Telnet等。後來，隨著交換機代替集線器，簡單的嗅探攻擊已經不能成功，必須先進行ARP欺騙才行。如今，越來越多的服務商（網上銀行，郵箱登陸）開始採用加密通信，SSL(Secure Sockets Layer 安全套接層)是一種廣泛使用的技術，HTTPS、FTPS等都是建立在其基礎上的。

6.內部攻擊：這是一種內部人員有意進行的惡意行為，一般不會發生，一旦發生就是大事。

7.AI換臉：深度偽造

最近在美國，興起了一種很牛逼的是換臉技術，就是用AI換臉技術，且換臉後的效果栩栩如生。如果這項技術被黑客掌握，則電子社保驗證中的人臉識別環節，就基本上是個擺設了。

AI換臉，又叫Deepfake，是人工智慧的一個分支，如果按族譜算，無人汽車、阿爾法狗、微軟小冰等比較出名的產品，都是Deepfake的哥哥。

但在Deepfake的世界中，身份就是沒有身份，美猴王可以打起籃球，蘇大強可以變成吳彥祖。

模仿普金的口吻，也不在話下

如何防範此類安全風險

對個人的一些建議

1.謹防不法分子仿冒官方申領平台的 APP進行詐騙，在此提醒各位，請通過官網，以及正規應用商店下載APP。請警惕來歷不明的二維碼鏈接，不要隨便點擊。

2.電子社保卡的密碼要設置的複雜一些，不要和其他密碼重複。

3.每個人都可能成為潛在的受害者，即使電話中有人知道你的名字、單位、身份證號，也不一定是熟人或警察，很可能是騙子，應做到不輕信、不匯款。

4.對可疑簡訊中的鏈接，不點擊、不下載不安裝，避免受到手機病毒侵害。

5.如果發現手機簡訊功能異常，不能接受、發送簡訊，應立刻關機取出手機SIM卡插到正常手機，儘快聯繫銀行，檢查銀行賬戶是否存在異常。

6.就是盡量不要把自己的美顏照和真實照片放在社交網路上，以免被人利用。

對於申領平台和負責安全公司的建議

1.平台的安全管理員一定得時刻緊盯安全行業的趨勢變化，做到隨時應對各種突如其來的風險。

2.加強內部防護，特別是供應鏈攻擊

具有域管理員資格的帳戶應受到高度限制，在此，我們建議大家可以基於不同的管理功能來為每個賬戶設置不同的許可權的管理賬戶，這樣每個管理員就不具有訪問整個域的許可權了，這將有助於對整個域的許可權保護。

3.盡量使用專有的設備管理網路

扁平網路雖然易於管理和使用，但是對於攻擊者來說也一樣非常方便進行攻擊。所以為了加強對設備的管理和安全預防，目前，主流廠商售出的大部分伺服器都使用專用硬體模塊或特殊的遠程管理卡提供管理介面，通過專用的數據通道對設備進行遠程維護和管理，完全獨立於設備操作系統之外，甚至可以在設備關機狀態下進行遠程監控與管理。

4.對於存在漏洞的公共服務網站和系統能夠，主管部門應高度重視，督促相應單位儘快修復伺服器安全漏洞。

5.防止攻擊產業鏈的形成，電信詐騙之所以現在屢禁不止，就是因為它形成了一個灰色產業，建議有關部門應提前做好預防準備和應對機制。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！