触目惊心！一部手机丢失后有多可怕？支付宝、银联紧急回应( 八 ) _知识分享

发上一篇文章的时候，黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息推论判断出来的，文章的发表也引来了各方注意，提出了个别文章中推论出错的地方。
例如人脸识别的绕过，支付宝在进行业务设计时，对在原手机上创建并登陆的子账号，在实名认证时，匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的，这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此，人脸识别的绕过确实错怪他们了，这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录，推测是为了不触发支付宝的风控规则。
至于四川电信，今天也主动联系到我老婆，对那晚的事件进行道歉，也解释了说对方当时跟他们的客服说是男女朋友闹矛盾，只能说犯罪分子很狡猾，但对于四川电信的远程挂失和解挂的业务流程设计，站在安全的角度上考虑，我还是不能认可。中间有个小插曲，我为了调查案发时我的短信详单中一条未知的短信记录，再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司，客服拒绝了我。虽然未能查成，但说实话我反而是高兴的，至少说明对客户信息保密的业务原则还是有效的。
再说下盗取手机进而实现银行卡盗刷这个案件，自从文章发布后，也有几个网友在微信公众号上留言，说自己经历过一模一样的场景，只是受损金额都比较大，最严重的一位有68万的线上贷款，目前还在索赔中。
在网上找类似案例的时候，发现2019年9月有一篇新闻——《凭SIM卡登陆各软件！上海警方披露最新型盗刷手法》，大家有兴趣可以搜一下，看新闻介绍的犯罪手法，基本上和我遇到的这个案件是一致的，只是获取身份信息的途径不一样。
前面也提到，犯罪分子精心设计的这么一套犯罪脚本，在身份信息获取这种比较容易的环节上，一定是会有备用方案的，目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP（如华住、锦江）、商旅订票类（如去哪儿），这些包含身份证信息的APP和网站，对于身份证号码信息的泄露风险并不是说不知道，只是在业务的“用户体验”面前，安全已经不算个问题了，毕竟我这种案件的数量还是不多。以去哪儿为例，在常用旅客列表中，对身份证信息进行了屏蔽显示，但点击进入信息编辑界面时就明文展示了：

文章插图

文章插图
对敏感数据加个保护的实现技术有难度么？再看看携程的处理方式：

文章插图
我不知道在编辑界面明文展示身份证号码能提升多少百分比的用户使用体验友好度，但安全性的差别就是0%和100% 。
今天在朋友圈看到一篇文章《央行科技司司长李伟：金融科技发展应重视个人信息保护》，我的案子刚好与文章里提到的部分内容应景。李司长在9月8日的发布会上提了三块内容：
一是重视个人信息保护，善用数据要素价值。二是重视数字鸿沟问题，践行数字普惠金融。三是重视监管科技应用，增强数字化监管能力。
其中第三部分提到：部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时，一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质，这给金融监管提出新挑战。
回看现在各大支付APP热推的”快捷绑卡”业务，相比之前的银行卡绑定流程，是简单快捷了一些，但金融业务，是越简单快捷越好么？昨天我的文章火了后，很多邻居说忘记了自己在哪家银行开过银行卡，想找出来注销掉，问有什么办法。

文章插图
最后再谈下我上篇文章中提到的让大家设置手机SIM卡密码，主要有几点考虑：
手机锁屏状态下对方无法使用短信功能；如果更换手机卡至新手机则需要输入SIM卡密码；要解锁SIM，需要从运营商获取PUK码；要获取PUK码，需要提供身份信息进行验证；未解锁手机的情况下加上SIM卡加锁，对方无法知道你的手机号码，这样断了获取身份信息的路。
当然，这样一个安全闭环里也还是有些风险，例如利用GSM中间人攻击获取到号码，但这类一般人遇不到，对普通民众来说可以不用考虑。第一时间挂失手机卡，这一点还是必要的行动，也希望运营商在我这个案件之后，会作出相应的改变。