來(lái)源：信息安全老駱駝

　　9月9日，我在經(jīng)歷了與一個(gè)專業(yè)黑產(chǎn)團(tuán)伙的幾天對(duì)抗之后，新建了這個(gè)微信公眾號(hào)，根據(jù)自己搜集整理分析的結(jié)果發(fā)表了《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》一文，這篇文章發(fā)表后引起的轟動(dòng)效果，完全超出了我的預(yù)期。不想原本只是寫給小區(qū)業(yè)主群的案件記錄分析結(jié)果一夜間成了網(wǎng)絡(luò)熱文，也答應(yīng)過(guò)網(wǎng)友，事件有了新的進(jìn)展就匯報(bào)給大家。

　　在今天下午，事件中涉及的幾家支付公司都積極聯(lián)系到我，美團(tuán)的貸款記錄消除了，蘇寧金融把我們損失的幾千都賠付了。由于美團(tuán)貸款的記錄消除，實(shí)際上還導(dǎo)致蘇寧金融賠付金融比他造成的損失多了300元，已經(jīng)聯(lián)系蘇寧金融進(jìn)行退款。銀聯(lián)云閃付的賠付也已打電話通知取消。對(duì)于賠付金額，該還我們的一分都不能少，但多的我們也一分不多要。

　　發(fā)上一篇文章的時(shí)候，黑產(chǎn)團(tuán)伙的很多操作步驟流程都是我根據(jù)自己所能搜集到的信息推論判斷出來(lái)的，文章的發(fā)表也引來(lái)了各方注意，提出了個(gè)別文章中推論出錯(cuò)的地方。例如人臉識(shí)別的繞過(guò)，支付寶在進(jìn)行業(yè)務(wù)設(shè)計(jì)時(shí)，對(duì)在原手機(jī)上創(chuàng)建并登陸的子賬號(hào)，在實(shí)名認(rèn)證時(shí)匹配身份信息的各項(xiàng)要素通過(guò)風(fēng)控規(guī)則校驗(yàn)與主賬號(hào)一致的情況下是不需要人臉驗(yàn)證的，這一點(diǎn)我們辦公室的多位工程師今天下午在對(duì)我的被盜刷事件進(jìn)行技術(shù)復(fù)盤時(shí)也驗(yàn)證確實(shí)是如此，人臉識(shí)別的繞過(guò)確實(shí)錯(cuò)怪他們了，這也解釋得通為何犯罪分子需要解鎖偷到的手機(jī)進(jìn)行支付寶的登錄，推測(cè)是為了不觸發(fā)支付寶的風(fēng)控規(guī)則。

　　至于四川電信，今天也主動(dòng)聯(lián)系到我老婆，對(duì)那晚的事件進(jìn)行道歉，也解釋了說(shuō)對(duì)方當(dāng)時(shí)跟他們的客服說(shuō)是男女朋友鬧矛盾，只能說(shuō)犯罪分子很狡猾，但對(duì)于四川電信的遠(yuǎn)程掛失和解掛的業(yè)務(wù)流程設(shè)計(jì)，站在安全的角度上考慮，我還是不能認(rèn)可。中間有個(gè)小插曲，我為了調(diào)查案發(fā)時(shí)我的短信詳單中一條未知的短信記錄，再次撥打10000號(hào)說(shuō)明了我的情況并根據(jù)短信源號(hào)碼要求查詢號(hào)碼的歸屬公司，客服拒絕了我。雖然未能查成，但說(shuō)實(shí)話我反而是高興的，至少說(shuō)明對(duì)客戶信息保密的業(yè)務(wù)原則還是有效的。

　　再說(shuō)下盜取手機(jī)進(jìn)而實(shí)現(xiàn)銀行卡盜刷這個(gè)案件，自從文章發(fā)布后，也有幾個(gè)網(wǎng)友在微信公眾號(hào)上留言，說(shuō)自己經(jīng)歷過(guò)一模一樣的場(chǎng)景，只是受損金額都比較大，最嚴(yán)重的一位有68萬(wàn)的線上貸款，目前還在索賠中。在網(wǎng)上找類似案例的時(shí)候，發(fā)現(xiàn)2019年9月有一篇新聞

　　《憑SIM卡登陸各軟件！上海警方披露最新型盜刷手法》，大家有興趣可以搜一下，看新聞介紹的犯罪手法，基本上和我遇到的這個(gè)案件是一致的，只是獲取身份信息的途徑不一樣，我上篇文章中也提到，犯罪分子精心設(shè)計(jì)的這么一套犯罪腳本，在身份信息獲取這種比較容易的環(huán)節(jié)上，一定是會(huì)有備用方案的，目前據(jù)我所知的在獲得短信權(quán)限的情況下比較容易獲取的如各類連鎖酒店App（如華住、錦江）、商旅訂票類（如去哪兒），這些包含身份證信息的App和網(wǎng)站，對(duì)于身份證號(hào)碼信息的泄露風(fēng)險(xiǎn)并不是說(shuō)不知道，只是在業(yè)務(wù)的“用戶體驗(yàn)”面前，安全已經(jīng)不算個(gè)問(wèn)題了，畢竟我這種案件的數(shù)量還是不多。以去哪兒為例，在常用旅客列表中，對(duì)身份證信息進(jìn)行了屏蔽顯示，但點(diǎn)擊進(jìn)入信息編輯界面時(shí)就明文展示了：

　　對(duì)敏感數(shù)據(jù)加個(gè)保護(hù)的實(shí)現(xiàn)技術(shù)有難度么？再看看攜程的處理方式：

　　我不知道在編輯界面明文展示身份證號(hào)碼能提升多少百分比的用戶使用體驗(yàn)友好度，但安全性的差別就是0%和100%。

　　今天在朋友圈看到一篇文章《央行科技司司長(zhǎng)李偉：金融科技發(fā)展應(yīng)重視個(gè)人信息保護(hù)》，我的案子剛好與文章里提到的部分內(nèi)容應(yīng)景。李司長(zhǎng)在9月8日的發(fā)布會(huì)上提了三塊內(nèi)容：

　　一是重視個(gè)人信息保護(hù)，善用數(shù)據(jù)要素價(jià)值。

　　二是重視數(shù)字鴻溝問(wèn)題，踐行數(shù)字普惠金融。

　　三是重視監(jiān)管科技應(yīng)用，增強(qiáng)數(shù)字化監(jiān)管能力。

　　其中第三部分提到：部分機(jī)構(gòu)在利用技術(shù)創(chuàng)新業(yè)務(wù)模式、提升服務(wù)效率、改善用戶體驗(yàn)的同時(shí)，一定程度上簡(jiǎn)化了業(yè)務(wù)流程、削弱了風(fēng)控強(qiáng)度、掩蓋了業(yè)務(wù)本質(zhì)，這給金融監(jiān)管提出新挑戰(zhàn)。回看現(xiàn)在各大支付App熱推的”快捷綁卡”業(yè)務(wù)，相比之前的銀行卡綁定流程，是簡(jiǎn)單快捷了一些，但金融業(yè)務(wù)，是越簡(jiǎn)單快捷越好么？昨天我的文章火了后，很多鄰居說(shuō)忘記了自己在哪家銀行開(kāi)過(guò)銀行卡，想找出來(lái)注銷掉，問(wèn)有什么辦法。

　　最后再談下我上篇文章中提到的讓大家設(shè)置手機(jī)SIM卡密碼，主要有幾點(diǎn)考慮

　　手機(jī)鎖屏狀態(tài)下對(duì)方無(wú)法使用短信功能；

　　如果更換手機(jī)卡至新手機(jī)則需要輸入SIM卡密碼；

　　要解鎖SIM，需要從運(yùn)營(yíng)商獲取PUK碼；

　　要獲取PUK碼，需要提供身份信息進(jìn)行驗(yàn)證

　　未解鎖手機(jī)的情況下加上SIM卡加鎖，對(duì)方無(wú)法知道你的手機(jī)號(hào)碼，這樣斷了獲取身份信息的路

　　當(dāng)然，這樣一個(gè)安全閉環(huán)里也還是有些風(fēng)險(xiǎn)，例如利用GSM中間人攻擊獲取到號(hào)碼，但這類一般人遇不到，對(duì)普通民眾來(lái)說(shuō)可以不用考慮。第一時(shí)間掛失手機(jī)卡，這一點(diǎn)還是必要的行動(dòng)，也希望運(yùn)營(yíng)商在我這個(gè)案件之后，會(huì)作出相應(yīng)的改變。

　　俗話說(shuō)“靠人人跑，靠樹(shù)樹(shù)倒”，還是靠自己靠譜些，按現(xiàn)在移動(dòng)金融業(yè)務(wù)的發(fā)展趨勢(shì)，將來(lái)會(huì)面臨更加嚴(yán)峻的安全挑戰(zhàn)；而且金融業(yè)務(wù)用到的部分關(guān)鍵要素信息，如手機(jī)號(hào)碼、身份證號(hào)碼在常規(guī)移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)中的交叉使用，數(shù)據(jù)泄露的風(fēng)險(xiǎn)將越來(lái)越大。雖然部分金融機(jī)構(gòu)都給出了被盜刷后的賠付承若，案件發(fā)生在自己身上后你能否符合賠付的標(biāo)準(zhǔn)條件不好說(shuō)，耗費(fèi)大量時(shí)間精力在這件事上面，也是很心累的。

　　此外，上篇文章中我按我自己手機(jī)的操作流程步驟作為SIM卡設(shè)置密碼的例子，后來(lái)發(fā)現(xiàn)很多網(wǎng)友可能由于手機(jī)品牌型號(hào)差異導(dǎo)致操作失誤而鎖住SIM卡，對(duì)此給大家造成的不便給大家道個(gè)歉，考慮不周啊。大家還是在網(wǎng)上搜索自己的手機(jī)對(duì)應(yīng)品牌的SIM卡密碼設(shè)置然后按照詳細(xì)教程一步一步操作，如遇到SIM卡密碼驗(yàn)證失敗后出現(xiàn)PUK碼輸入要求，可聯(lián)系運(yùn)營(yíng)商獲取PUK碼。請(qǐng)一定小心謹(jǐn)慎，必要時(shí)可到運(yùn)營(yíng)商營(yíng)業(yè)廳設(shè)置。

　　自己長(zhǎng)期從事金融行業(yè)信息系統(tǒng)的安全漏洞檢測(cè)，也曾多次被自己發(fā)現(xiàn)的可直接影響賬戶資金安全的漏洞而震驚，但經(jīng)歷了這次盜刷事件之后我才發(fā)現(xiàn)，相比黑客利用各種高深的技術(shù)漏洞攻擊金融信息系統(tǒng)，更可怕的是這種把每一項(xiàng)看似沒(méi)問(wèn)題的問(wèn)題組合而成的犯罪，讓人防不勝防。也希望今后在工作之余，能有時(shí)間把自己在金融信息安全行業(yè)的專業(yè)知識(shí)，用大家都能看得懂的方式寫出來(lái)，提高大家的安全防范意識(shí)。