◎ 文 《法人》全媒體實習(xí)記者 邵萌

資料圖片

近日，《一部手機失竊而揭露的竊取個人信息實現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》一文在朋友圈刷屏，文章詳細講述了擁有十多年網(wǎng)絡(luò)攻防經(jīng)驗的專家“老駱駝”與手機黑產(chǎn)團伙展開的一場“資金攻防戰(zhàn)”。

這場“攻防戰(zhàn)”，確實稱得上是“驚心動魄”，而其背后隱藏的“盜竊手機——盜取個人信息——獲取貸款——轉(zhuǎn)移資產(chǎn)”這一手機黑產(chǎn)鏈，更讓人“不寒而栗”。

黑產(chǎn)團伙盜取手機后，取出SIM卡放入其他手機用于驗證。接著，黑產(chǎn)團伙通過其他平臺快速獲取失主關(guān)鍵信息，利用原手機號和關(guān)鍵個人信息注冊支付軟件新賬號，繞過支付平臺漏洞，完成貸款申請和資金轉(zhuǎn)移。整個流程不過短短幾個小時。

當(dāng)前，隨著移動支付的發(fā)展，手機早已不再是簡單的通訊工具，而是更多地充當(dāng)了個人信息終端。手機黑產(chǎn)早已在人們不知不覺中瞄上了移動支付。近幾年來相關(guān)事件頻現(xiàn)。“老駱駝”們的遭遇，折射出了當(dāng)前需要迫切解決的個人信息保護問題，也給互聯(lián)網(wǎng)平臺的安全性打了個問號。

手機被竊帶來瘋狂盜刷

擁有十多年網(wǎng)絡(luò)攻防經(jīng)驗的“老駱駝”怎么也沒有想到，“個人信息被盜、資金遭轉(zhuǎn)移”的事兒會發(fā)生在自己身上。根據(jù)他在文中的自述，此次盜刷事件的核心并不復(fù)雜。

9月4日19點30分，“老駱駝”的妻子手機丟失后，并未第一時間掛失手機SIM卡?！斑@個不果斷的決定，導(dǎo)致了后續(xù)悲劇的發(fā)生。”“老駱駝”在文中稱，黑產(chǎn)團伙在竊取手機后，將SIM卡取出放入其他手機，用于接收短信驗證碼。隨后，黑產(chǎn)團伙登錄當(dāng)?shù)厣绫pp，獲取了失主的關(guān)鍵個人信息。

至此，失主的手機號碼、姓名、身份證號碼、社保金融卡的銀行卡信息均被獲得，下一步，黑產(chǎn)團伙利用這些信息開始了瘋狂盜刷。

21點24分，“老駱駝”發(fā)現(xiàn)手機賬戶在云服務(wù)中被解綁；21點48分，手機SIM卡經(jīng)歷了一輪失主掛失和黑產(chǎn)團伙解除掛失；9月5日0點23分，被盜手機鎖屏密碼被解開，微信、支付寶等均被修改密碼。

隨后，黑產(chǎn)團伙在支付寶、美團、京東、財付通、蘇寧金融、百度等多個平臺偽冒開戶，實施盜刷，申請網(wǎng)貸并轉(zhuǎn)移資產(chǎn)。

9月5日早晨5點，“老駱駝”通過中國電信網(wǎng)上營業(yè)廳，關(guān)閉了短信功能，“中止了他們后續(xù)的犯罪行為”。此時，距離手機被盜不足10小時。

文章發(fā)出后，被點名的平臺陸續(xù)回應(yīng)。支付寶相關(guān)團隊回應(yīng)稱，黑產(chǎn)團伙未突破人臉識別功能，未在支付寶套到錢和信息，同時承諾資金被盜全額賠付。

“老駱駝“對此也發(fā)文更新了事件后續(xù)進展：“事件中涉及的幾家支付公司都積極聯(lián)系到我，美團的貸款記錄消除了，蘇寧金融把我們損失的幾千都賠付了。銀聯(lián)云閃付的賠付也已打電話通知取消?！彼瑫r表示，四川電信也主動聯(lián)系致歉，解釋稱黑產(chǎn)團伙跟其客服說是男女朋友鬧矛盾，才會出現(xiàn)反復(fù)掛失與解掛的情況。

回顧整個事件，銀行、運營商、移動支付、網(wǎng)貸平臺等均在不同程度上暴露出安全隱患，這些隱患恰恰就是黑產(chǎn)團伙盜取資金的“跳板”。分析完整個犯罪過程后，“老駱駝”在文中這樣感嘆：實際上，這個環(huán)節(jié)里的每一個點，放在對應(yīng)的業(yè)務(wù)節(jié)點里都不是什么大問題。但手機丟失后，把所有這些點串起來，問題就大了?！?/p>

運營商遠程掛失、解掛業(yè)務(wù)流程是否合理

梳理“老駱駝”妻子手機被盜刷的經(jīng)歷，一個關(guān)鍵點在于：手機丟失后，他通過致電四川電信客服掛失手機卡，但不久之后，黑產(chǎn)團伙致電電信客服，竟然可以輕松解除掛失。手機卡被解除掛失，意味著黑產(chǎn)團伙可以通過手機短信驗證的方式登錄了各大借貸App。因此，“老駱駝”通宵與黑產(chǎn)團伙就“掛失、解掛”問題，來來回回幾十次，也未能阻止“解除掛失”成功，直到“老駱駝”登錄手機網(wǎng)上營業(yè)廳，關(guān)閉了短信功能，才暫時制止了黑產(chǎn)團伙的犯罪。

“老駱駝”認為，四川電信掛失、解掛業(yè)務(wù)流程存在漏洞，他在文中表示：“機主幾次在電話中告知話務(wù)員自己正在遭受銀行卡盜刷犯罪，要求停止解掛行為，話務(wù)員還是以業(yè)務(wù)話術(shù)來敷衍客戶：“對不起，我們的掛失解掛有固定的業(yè)務(wù)流程，只要對方能提供服務(wù)密碼，就可以正常解掛?！?/p>

事后，四川電信致歉稱，黑產(chǎn)團伙以“男女朋友鬧矛盾”為由哄騙客服，才會出現(xiàn)反復(fù)掛失與解掛的情況。

10月14日，《法人》記者在四川電信客服處獲悉，目前，提供機主姓名、電話號碼、上個月?lián)艽虻娜齻€通話號碼或者電信網(wǎng)上營業(yè)廳密碼可以解除掛失。不過，掛失業(yè)務(wù)辦理后，針對線上渠道，解掛業(yè)務(wù)24小時內(nèi)僅能辦理一次，有特殊情況需要本人持有效證件到營業(yè)廳解掛。

北京市京師律師事務(wù)所律師孟博向記者表示，依照《中華人民共和國電信條例》規(guī)定，電信業(yè)務(wù)經(jīng)營者應(yīng)當(dāng)按照國家有關(guān)電信安全的規(guī)定，建立健全內(nèi)部安全保障制度，實行安全保障責(zé)任制。

“相較于一般用戶，電信業(yè)務(wù)經(jīng)營者在電信服務(wù)領(lǐng)域處于優(yōu)勢地位，其應(yīng)當(dāng)提供合理的遠程掛失、解掛業(yè)務(wù)，保障用戶的合法權(quán)益，比如發(fā)現(xiàn)電信服務(wù)可能被他人利用并可能危害用戶的合法權(quán)益時，采取更為嚴格的身份識別、驗證程序來防范損害結(jié)果的發(fā)生等。”孟博表示，從相關(guān)報道和當(dāng)事人的陳述，以及后續(xù)所形成的后果來看，相關(guān)電信公司并未妥善履行相應(yīng)義務(wù)，當(dāng)事人受到了損失。

互聯(lián)網(wǎng)平臺應(yīng)補齊“安全性”短板

互聯(lián)網(wǎng)時代，獲取身份證信息可能比你想象中還要容易。

“老駱駝”稱，黑產(chǎn)團伙運用手機號和驗證碼快捷登錄四川人社App，點開“電子社?？ā?，短信驗證碼重置社保密碼，失主姓名、身份證信息、證件照片、銀行卡號就能輕而易舉地被獲取。

實際上，不只是四川人社App，不少地方社保App、商旅訂票軟件等，通過驗證碼登錄后，均能看到自己的姓名及身份證信息，未做任何加密處理。

資料圖片

“老駱駝”的遭遇并非個例，他表示，文章發(fā)布后，有幾個網(wǎng)友留言稱自己經(jīng)歷過一模一樣的場景，損失最嚴重的一位被黑產(chǎn)團伙以線上貸款的方式盜刷了68萬，目前還在索賠中。

2019年9月，上海黃浦警方也對外披露了一起新型信用卡盜刷案。嫌疑人盜竊手機后憑SIM卡成功登陸攜程、去哪兒等出行軟件，從中獲取完整的個人身份信息，進而實現(xiàn)盜刷操作。

“老駱駝”認為，這些包含身份證信息的APP和網(wǎng)站，對于身份證號碼信息泄露風(fēng)險并非不知道，只是在權(quán)衡“用戶體驗”后，放棄了出于安全性考慮的種種復(fù)雜設(shè)置，未能對一些敏感數(shù)據(jù)進行加密保護，而這些技術(shù)得以實現(xiàn)并不困難。

隨著社會經(jīng)濟的高速發(fā)展，生活水平不斷提高，人民環(huán)保意識也在逐漸增強，面對日益惡化的水體環(huán)境，要求改善和治理河道環(huán)境的呼聲越來越高。江蘇省常州市委、市政府高度重視水環(huán)境綜合治理，2006年開始實施清水工程，工程內(nèi)容涵蓋城區(qū)186條河道，整治方向在最初控源截污、清淤活水的基礎(chǔ)上不斷深化，并引入生態(tài)治水的理念，開展城區(qū)河道的生態(tài)修復(fù)示范。通過“控源截污、調(diào)水、疏浚、生態(tài)修復(fù)”等措施，消除了河道黑臭，改善了河道水質(zhì)，美化了河道景觀，部分河道從“龍須溝”變成“水清魚躍、岸綠鳥飛”的景觀河。

在9月8日舉辦的2020年中國國際服務(wù)貿(mào)易交易會北京金融科技成果專場發(fā)布會上，央行科技司司長李偉提到，金融科技發(fā)展、金融業(yè)數(shù)字化轉(zhuǎn)型應(yīng)重視監(jiān)管科技應(yīng)用，增強數(shù)字化監(jiān)管能力。部分機構(gòu)在利用技術(shù)創(chuàng)新業(yè)務(wù)模式、提升服務(wù)效率、改善用戶體驗的同時，一定程度上簡化了業(yè)務(wù)流程、削弱了風(fēng)控強度、掩蓋了業(yè)務(wù)本質(zhì)，這給金融監(jiān)管提出新挑戰(zhàn)。

回顧此次盜刷事件，金融系統(tǒng)、支付平臺、網(wǎng)貸平臺等像在“酣睡”，在資質(zhì)審查、用戶隱私和財產(chǎn)保護等方面，似乎都需要補齊短板。

北京云嘉律師事務(wù)所律師趙占領(lǐng)認為，此次事件反映了電信、社保、金融系統(tǒng)各類企業(yè)或機構(gòu)在個人信息保護方面，或多或少都存在一些漏洞。這些漏洞可能造成用戶部分個人信息被泄露。

“此次事件還說明一個問題，像電信、金融、社保、互聯(lián)網(wǎng)等各平臺和機構(gòu)，不僅要加強個人信息保護，還需要有整體的觀念。如果某一家企業(yè)、某一類機構(gòu)的個人信息保護存在漏洞，都有可能對其他領(lǐng)域用戶的個人信息泄露造成嚴重的隱患，進而可能會導(dǎo)致用戶遭受財產(chǎn)損失。因此，個人信息保護需要各類機構(gòu)都提高保護水平，形成一個整體的保護機制，才有可能堵住各種漏洞?！壁w占領(lǐng)進一步表示。

以強監(jiān)管應(yīng)對黑產(chǎn)猖獗

近年來，手機黑產(chǎn)猖獗，在移動支付領(lǐng)域更是如此。即使手機并未丟失，用戶信息安全及財產(chǎn)安全也常常受到威脅。

360手機衛(wèi)士、360政企安全、中國信息通信研究院聯(lián)合發(fā)布的《2020年上半年度中國手機安全狀況報告》顯示，今年上半年，360手機先賠共接到手機詐騙舉報1561起，其中提交理賠申請的詐騙舉報為776起，涉案總金額高達778.9萬元，人均損失10037元。

騰訊手機管家發(fā)布的《2020年上半年手機安全報告》指出，數(shù)字化浪潮下，不法分子也搭上互聯(lián)網(wǎng)科技“快車”，形成從網(wǎng)站源碼搭建、第三方App利用、信息攔截，甚至海外“銷贓”渠道等專業(yè)化、產(chǎn)業(yè)化、規(guī)?；脑p騙集團。

就以往侵害個人信息的犯罪案件來看，個人信息泄露涉及銀行、工商、電信等諸多行業(yè)，涉案范圍廣、規(guī)模大。手機信息安全問題的嚴重性進一步暴露，加強個人信息保護的任務(wù)更加迫切。

趙占領(lǐng)表示，目前在公民個人信息保護方面已經(jīng)有了很多法律法規(guī)，比如刑法規(guī)定有侵犯公民個人信息罪，網(wǎng)絡(luò)安全法規(guī)定了網(wǎng)絡(luò)個人信息的保護。還有一些部門規(guī)章、國家標準、行業(yè)標準規(guī)定的網(wǎng)絡(luò)個人信息。在其他不同的領(lǐng)域，有些行業(yè)主管部門也制定了個人信息保護的相關(guān)規(guī)定。

個人信息保護法草案已于10月13日在十三屆全國人大常委會第二十二次會議上首次提請審議。

但趙占領(lǐng)認為，目前的法律、法規(guī)、標準通常都規(guī)定個人信息的收集者，依法需要采取相應(yīng)的手段和措施來保證所收集用戶的個人信息安全，防止因為自身的原因，導(dǎo)致用戶的個人信息泄露，否則需要對此承擔(dān)民事責(zé)任和行政責(zé)任，包括向用戶承擔(dān)賠償責(zé)任，接受相關(guān)監(jiān)管部門的行政處罰等。

“因此，我認為最關(guān)鍵的問題是加強執(zhí)法，加強監(jiān)管?！壁w占領(lǐng)說，“不能把所有的希望都寄托在個人信息保護法的出臺之上。如果不解決執(zhí)行的問題，仍然不能提高整個社會個人信息保護的水平?！?/p>

回到個人層面，普通用戶應(yīng)如何盡量避免被黑產(chǎn)團伙竊取個人信息呢？一位從事網(wǎng)絡(luò)安全工作的人士向記者表示，重要且容易被忽視的一點是，要給手機設(shè)置SIM卡卡鎖?！昂芏嗳硕紩o手機設(shè)置屏幕鎖，但設(shè)置SIM卡卡鎖的人并不多。設(shè)置SIM卡卡鎖之后，一旦手機丟失，即使犯罪分子將SIM卡拔下插入其他手機，也無法正常使用和接收驗證碼?！币蕴O果手機為例，用戶可以通過“設(shè)置-蜂窩網(wǎng)絡(luò)-SIM卡PIN碼-更改PIN碼”進行設(shè)置。華為手機則可以通過“設(shè)置-安全和隱私-更多安全設(shè)置-加密和憑據(jù)-設(shè)置卡鎖”，選定手機卡后，啟用密碼，再選擇修改密碼，完成手機卡的密碼設(shè)置。

這位網(wǎng)絡(luò)安全人士強調(diào)，但這樣做并非萬無一失，手機丟失后，一定要第一時間掛失SIM卡，阻斷犯罪分子通過手機號進一步獲取個人信息的途徑。另外，如果不掛失SIM卡，除了可能會遭遇盜刷操作外，還有可能被犯罪分子用來進行詐騙。

此外，在網(wǎng)絡(luò)營業(yè)廳關(guān)閉短信服務(wù)，也可以進一步防止犯罪分子通過驗證碼修改支付密碼、辦理貸款等。同時聯(lián)系銀行凍結(jié)所有銀行卡，換掉銀行卡預(yù)留手機號碼，避免不必要的損失。