文/賈敬華（媒體人）

　　“魔高一尺”，就要“道高一丈”，相關(guān)方面有必要根據(jù)新的犯罪特點去不斷修補Bug——守護(hù)好用戶的“錢袋子”是任何時候都不能推卸的責(zé)任。

　　近日，一篇一個多月前的舊文在朋友圈熱傳，讓不少網(wǎng)友大驚失色：過去丟手機，可能損失的只是一部手機的錢；如今丟了手機，可能搭上“全部身家”甚至因此背上貸款。

　　手機成了打開個人保險箱的“萬能鑰匙”

　　引發(fā)熱議的這篇舊文，是一位自稱信息安全專家“老駱駝”的人，根據(jù)自己的經(jīng)歷寫成的。標(biāo)題有些拗口——《一部手機失竊而揭露的竊取個人信息實現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》（手機失竊黑產(chǎn)業(yè)鏈引關(guān)注 支付寶：黑產(chǎn)沒套到錢和信息），文章也有些專業(yè)門檻，但大致經(jīng)過不難理解：手機被盜后，黑色產(chǎn)業(yè)鏈利用個人信息來盜取手機銀行、各APP賬戶資金，用被盜者身份在網(wǎng)貸平臺貸款。可以說，偷手機已經(jīng)不是目的，通過手機來薅錢才是目標(biāo)所在。

　　這一案例的特殊性在于，“老駱駝”本身對信息安全有所研究，因此不斷和盜竊團(tuán)伙斗智斗勇。但從中，也暴露了個別APP、銀行和互聯(lián)網(wǎng)平臺的安全漏洞。雖然在輿論關(guān)注下，相關(guān)銀行和平臺做了緊急回應(yīng)，也給“老駱駝”進(jìn)行了賠付。但這卻無法撫平公眾的擔(dān)憂：像“老駱駝”這樣的專業(yè)人士在家人丟失手機后都疲于應(yīng)對，我們這些普通人豈不是任網(wǎng)絡(luò)黑產(chǎn)“宰割”的小綿羊？

　　CNNIC最新數(shù)據(jù)顯示，截至今年6月份，國內(nèi)網(wǎng)民規(guī)模9.4億，其中手機網(wǎng)民數(shù)量已經(jīng)突破9億，占網(wǎng)民總數(shù)量的99.2%。正因如此，手機丟失引發(fā)的安全隱患才會屢次成為輿論熱點，因為“老駱駝”的切身經(jīng)歷可能會發(fā)生在很多人身上。不同的是，很多人并不像“老駱駝”那么專業(yè)和幸運。

　　據(jù)悉，“老駱駝”手機丟失后，通過手機中的App，黑產(chǎn)組織獲取了大量個人信息，包括身份證號碼、銀行卡號等。更尷尬的是，在“老駱駝”機主本人口頭掛失手機卡后，網(wǎng)絡(luò)黑產(chǎn)組織竟騙取了運營商的信任，順利解除了機主本人的臨時掛失。于是，“掛失-解掛-掛失-解掛……”的循壞進(jìn)行了“來來回回幾十次”。

　　解除掛失后，“老駱駝”的手機號可以正常使用。于是，黑產(chǎn)組織使用“老駱駝”的身份證信息在多個平臺開戶，并且在各個平臺申請了數(shù)目不等的貸款。

　　在手機高度滲透生活的當(dāng)下，很多消費者習(xí)慣使用手機支付，手機使用不當(dāng)也會引發(fā)各種安全風(fēng)險。從網(wǎng)文揭露的情況看，手機盜竊者早就不再滿足于把偷來的手機刷機然后賣給二手市場，而是通過手機做出一連串的資金盜竊行為，而且在和被盜者拼手速、拼耐力。

　　雖然SIM卡、銀行卡、支付平臺等可以申請凍結(jié)，但由于一些網(wǎng)貸平臺簡單依靠個人信息即可貸款，甚至凍結(jié)也可以靠個人信息解凍，所以掌握了個人信息的盜竊者猶如掌握了“萬能鑰匙”，令人防不勝防。

　　這些年，很多銀行和互聯(lián)網(wǎng)平臺，也都在尋求便捷性和安全性之間的平衡。但便捷是加分項、安全是必答題；安全是“1”，便捷是后面的“0”，沒有安全的便捷，只會讓一些違法分子鉆了漏洞。從網(wǎng)文來看，不少銀行和互聯(lián)網(wǎng)平臺在保障資金安全方面的確有所作為，但還是存在個別漏洞，給了犯罪分子可乘之機。

　　面對愈加熟練和專業(yè)的網(wǎng)絡(luò)黑產(chǎn)組織，不能指望每個人都成“老駱駝”，在消費者提高安全意識之外，銀行和互聯(lián)網(wǎng)平臺顯然要承擔(dān)更多的責(zé)任。

　　核心問題是系統(tǒng)認(rèn)人還是認(rèn)信息

　　從“老駱駝”與網(wǎng)絡(luò)黑產(chǎn)博弈的過程來看，相關(guān)銀行和一些互聯(lián)網(wǎng)平臺存在一些安全漏洞，其中一個核心問題是，當(dāng)個人信息暴露后，該如何辨別操作者是否是本人，也就是說系統(tǒng)認(rèn)人還是認(rèn)信息？

　　▲資料圖片，圖文無關(guān)。圖/新京報網(wǎng)

　　在“老駱駝”手機被盜刷事件中，把丟失的手機號掛失后，竟被黑產(chǎn)組織解除掛失了，這說明運營商的掛失流程有漏洞可鉆。對此，相關(guān)運營商客服處接受媒體采訪時表示：如需解除掛失，可以聯(lián)系客服提供登錄電信網(wǎng)上營業(yè)廳的密碼或者機主姓名和身份證號碼+上月?lián)艽虻娜齻€通話號碼進(jìn)行操作。

　　然而，“老駱駝”丟失的電信號碼被掛失后，確實被解除了掛失，合理的解釋就是黑產(chǎn)組織利用獲取的個人信息成功進(jìn)行了解除掛失。顯然，電信運營商的掛失和解掛流程是有一些漏洞的。要想給消費者提供一個安全的手機號碼掛失功能，運營商需要梳理掛失的每一個環(huán)節(jié)，并且要增加更全面的身份驗證手段。

　　移動支付平臺同樣也有安全漏洞。比如，這次“老駱駝”手機丟失后，網(wǎng)絡(luò)黑產(chǎn)重新注冊了某支付平臺賬號，并關(guān)聯(lián)了手機卡。對此，官方的回應(yīng)稱：黑產(chǎn)分子并沒有突破人臉識別，能注冊新號是通過其他渠道已掌握的身份信息和短信驗證碼，在常用設(shè)備上實現(xiàn)的。

　　從表面來看，官方的回應(yīng)沒有不妥。可是，從技術(shù)角度來說，在常用設(shè)備上使用支付工具不需要人臉識別，這同樣是一個安全漏洞。意味著“個人信息”可以代替“本人”進(jìn)行操作；而系統(tǒng)則無法判斷注冊賬號的人是黑產(chǎn)分子還是本人。

　　事實上，無論是銀行還是互聯(lián)網(wǎng)平臺，很難達(dá)到“盡善盡美”，對此公眾也能理解。網(wǎng)絡(luò)黑客、黑產(chǎn)的技術(shù)也會不斷迭代、不斷去挖掘新的漏洞；但“魔高一尺”，就要“道高一丈”，相關(guān)方面有必要根據(jù)新的犯罪特點去不斷修補Bug——守護(hù)好用戶的“錢袋子”是任何時候都不能推卸的責(zé)任。

　　另外，對于這類問題，相關(guān)平臺不妨設(shè)置“一攬子的解決方案”，讓用戶以簡單的辦法來給保險箱上一把鎖，而不是到處去上鎖。例如，當(dāng)用戶的SIM卡掛失后，說明相關(guān)信息已經(jīng)暴露，此時與手機號碼相關(guān)的任何業(yè)務(wù)如支付平臺、手機銀行、網(wǎng)貸平臺等等，都不妨設(shè)置異常提示，此時便不宜采取身份證號、手機驗證碼等單一信息驗證的方式，而是要用能夠證明是本人的方式或是用線下的方式來驗證。

　　一名“信息安全專家”，手機丟失后被冒名網(wǎng)貸，銀行卡也被盜刷，這個教訓(xùn)敲響了警鐘：要想杜絕網(wǎng)絡(luò)黑產(chǎn)，用戶的安全意識是一方面，打擊違法犯罪行為是另一方面，相關(guān)平臺進(jìn)一步織密信息保護(hù)之網(wǎng)、堵住風(fēng)控漏洞則是最關(guān)鍵的。

掃二維碼 3分鐘開戶 緊抓股市暴漲行情！

海量資訊、精準(zhǔn)解讀，盡在新浪財經(jīng)APP

責(zé)任編輯：潘翹楚