手機失竊后有多可怕

近日，一篇以前的舊文在朋友圈熱傳，讓不少網(wǎng)友大驚失色：過去丟手機，可能損失的只是一部手機的錢；如今丟了手機，可能搭上“全部身家”，甚至因此背上貸款。

手機成了“萬能鑰匙”

引發(fā)熱議的這篇舊文，是一位自稱信息安全專家“老駱駝”的人，根據(jù)自己的經(jīng)歷寫成的。手機被盜后，黑色產(chǎn)業(yè)鏈利用個人信息來盜取手機銀行、各App賬戶資金，用被盜者身份在網(wǎng)貸平臺貸款。

這一案例的特殊性在于，“老駱駝”本身對信息安全有所研究，因此不斷和盜竊團伙斗智斗勇。但從中，也暴露了個別App、銀行和互聯(lián)網(wǎng)平臺的安全漏洞。像“老駱駝”這樣的專業(yè)人士在家人丟失手機后都疲于應對，我們這些普通人豈不是任網(wǎng)絡黑產(chǎn)“宰割”的小綿羊？

據(jù)相關(guān)機構(gòu)最新數(shù)據(jù)顯示，截至2020 年6 月份，國內(nèi)網(wǎng)民規(guī)模9.4 億，其中手機網(wǎng)民數(shù)量已經(jīng)突破9 億。正因如此，手機丟失引發(fā)的安全隱患才會屢次成為輿論熱點。

據(jù)悉，“老駱駝”手機丟失后，通過手機中的App，黑產(chǎn)組織獲取了大量個人信息，包括身份證號碼、銀行卡號等。更尷尬的是，在“老駱駝”機主本人口頭掛失手機卡后，網(wǎng)絡黑產(chǎn)組織竟騙取了運營商的信任，順利解除了機主本人的臨時掛失。于是，“掛失—解掛—掛失—解掛……”的循環(huán)進行了“來來回回幾十次”。

解除掛失后，“老駱駝”的手機號可以正常使用。于是，黑產(chǎn)組織使用“老駱駝”的身份證信息在多個平臺開戶，并且在各個平臺申請了數(shù)目不等的貸款。

從網(wǎng)文揭露的情況看，手機盜竊者早就不再滿足于把偷來的手機刷機，然后賣給二手市場，而是通過手機作出一連串的資金盜竊行為，而且在和被盜者拼手速、拼耐力。

雖然SIM 卡、銀行卡、支付平臺等可以申請凍結(jié)，但由于一些網(wǎng)貸平臺簡單依靠個人信息即可貸款，甚至凍結(jié)也可以靠個人信息解凍，所以，掌握了個人信息的盜竊者猶如掌握了“萬能鑰匙”，令人防不勝防。

這些年，很多銀行和互聯(lián)網(wǎng)平臺，也都在尋求便捷性和安全性之間的平衡。但便捷是加分項，安全是必答題；安全是“1”，便捷是后面的“0”，沒有安全的便捷，只會讓一些違法分子鉆了漏洞。

面對愈加熟練和專業(yè)的網(wǎng)絡黑產(chǎn)組織，不能指望每個人都成“老駱駝”，在消費者提高安全意識之外，銀行和互聯(lián)網(wǎng)平臺顯然要承擔更多的責任。

系統(tǒng)認人還是認信息

從“老駱駝”與網(wǎng)絡黑產(chǎn)博弈的過程來看，相關(guān)銀行和一些互聯(lián)網(wǎng)平臺存在一些安全漏洞，其中一個核心問題是，當個人信息暴露后，該如何辨別操作者是否是本人，也就是說，系統(tǒng)認人還是認信息？

對此，相關(guān)運營商客服處接受媒體采訪時表示，如需解除掛失，可以聯(lián)系客服提供登錄電信網(wǎng)上營業(yè)廳的密碼，或者機主姓名和身份證號碼+上月?lián)艽虻娜齻€通話號碼進行操作。

然而，“老駱駝”丟失的電信號碼被掛失后，確實被解除了掛失，合理的解釋就是黑產(chǎn)組織利用獲取的個人信息成功進行了解除掛失。顯然，電信運營商的掛失和解掛流程是有一些漏洞的。要想給消費者提供一個安全的手機號碼掛失功能，運營商需要梳理掛失的每一個環(huán)節(jié)，并且要增加更全面的身份驗證手段。

移動支付平臺同樣也有安全漏洞。比如，這次“老駱駝”手機丟失后，網(wǎng)絡黑產(chǎn)重新注冊了某支付平臺賬號，并關(guān)聯(lián)了手機卡。對此，官方的回應稱，黑產(chǎn)分子并沒有突破人臉識別，能注冊新號是通過其他渠道已掌握的身份信息和短信驗證碼，在常用設備上實現(xiàn)的。

從表面來看，官方的回應沒有不妥?？墒?，從技術(shù)角度來說，在常用設備上使用支付工具不需要人臉識別，這同樣是一個安全漏洞，意味著“個人信息”可以代替“本人”進行操作；而系統(tǒng)則無法判斷注冊賬號的人是黑產(chǎn)分子還是本人。

設置“一攬子的解決方案”

事實上，無論是銀行還是互聯(lián)網(wǎng)平臺，很難達到“盡善盡美”，對此公眾也能理解。網(wǎng)絡黑客、黑產(chǎn)的技術(shù)也會不斷迭代、不斷去挖掘新的漏洞；但“魔高一尺”，就要“道高一丈”，相關(guān)方面有必要根據(jù)新的犯罪特點去不斷修補Bug（缺陷漏洞）——守護好用戶的“錢袋子”是任何時候都不能推卸的責任。

另外，對于這類問題，相關(guān)平臺不妨設置“一攬子的解決方案”，讓用戶以簡單的辦法來給保險箱上一把鎖，而不是到處去上鎖。

例如，當用戶的SIM 卡掛失后，說明相關(guān)信息已經(jīng)暴露，此時與手機號碼相關(guān)的任何業(yè)務如支付平臺、手機銀行、網(wǎng)貸平臺等，都不妨設置異常提示，此時便不宜采取身份證號、手機驗證碼等單一信息驗證的方式，而是要用能夠證明是本人的方式或是用線下的方式來驗證。