◎ 文 《法人》全媒體實(shí)習(xí)記者 邵萌

資料圖片

近日，《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》一文在朋友圈刷屏，文章詳細(xì)講述了擁有十多年網(wǎng)絡(luò)攻防經(jīng)驗(yàn)的專家“老駱駝”與手機(jī)黑產(chǎn)團(tuán)伙展開的一場(chǎng)“資金攻防戰(zhàn)”。

這場(chǎng)“攻防戰(zhàn)”，確實(shí)稱得上是“驚心動(dòng)魄”，而其背后隱藏的“盜竊手機(jī)——盜取個(gè)人信息——獲取貸款——轉(zhuǎn)移資產(chǎn)”這一手機(jī)黑產(chǎn)鏈，更讓人“不寒而栗”。

黑產(chǎn)團(tuán)伙盜取手機(jī)后，取出SIM卡放入其他手機(jī)用于驗(yàn)證。接著，黑產(chǎn)團(tuán)伙通過其他平臺(tái)快速獲取失主關(guān)鍵信息，利用原手機(jī)號(hào)和關(guān)鍵個(gè)人信息注冊(cè)支付軟件新賬號(hào)，繞過支付平臺(tái)漏洞，完成貸款申請(qǐng)和資金轉(zhuǎn)移。整個(gè)流程不過短短幾個(gè)小時(shí)。

當(dāng)前，隨著移動(dòng)支付的發(fā)展，手機(jī)早已不再是簡(jiǎn)單的通訊工具，而是更多地充當(dāng)了個(gè)人信息終端。手機(jī)黑產(chǎn)早已在人們不知不覺中瞄上了移動(dòng)支付。近幾年來(lái)相關(guān)事件頻現(xiàn)?！袄像橊劇眰兊脑庥?，折射出了當(dāng)前需要迫切解決的個(gè)人信息保護(hù)問題，也給互聯(lián)網(wǎng)平臺(tái)的安全性打了個(gè)問號(hào)。

手機(jī)被竊帶來(lái)瘋狂盜刷

擁有十多年網(wǎng)絡(luò)攻防經(jīng)驗(yàn)的“老駱駝”怎么也沒有想到，“個(gè)人信息被盜、資金遭轉(zhuǎn)移”的事兒會(huì)發(fā)生在自己身上。根據(jù)他在文中的自述，此次盜刷事件的核心并不復(fù)雜。

9月4日19點(diǎn)30分，“老駱駝”的妻子手機(jī)丟失后，并未第一時(shí)間掛失手機(jī)SIM卡?！斑@個(gè)不果斷的決定，導(dǎo)致了后續(xù)悲劇的發(fā)生?！薄袄像橊劇痹谖闹蟹Q，黑產(chǎn)團(tuán)伙在竊取手機(jī)后，將SIM卡取出放入其他手機(jī)，用于接收短信驗(yàn)證碼。隨后，黑產(chǎn)團(tuán)伙登錄當(dāng)?shù)厣绫pp，獲取了失主的關(guān)鍵個(gè)人信息。

至此，失主的手機(jī)號(hào)碼、姓名、身份證號(hào)碼、社保金融卡的銀行卡信息均被獲得，下一步，黑產(chǎn)團(tuán)伙利用這些信息開始了瘋狂盜刷。

21點(diǎn)24分，“老駱駝”發(fā)現(xiàn)手機(jī)賬戶在云服務(wù)中被解綁；21點(diǎn)48分，手機(jī)SIM卡經(jīng)歷了一輪失主掛失和黑產(chǎn)團(tuán)伙解除掛失；9月5日0點(diǎn)23分，被盜手機(jī)鎖屏密碼被解開，微信、支付寶等均被修改密碼。

隨后，黑產(chǎn)團(tuán)伙在支付寶、美團(tuán)、京東、財(cái)付通、蘇寧金融、百度等多個(gè)平臺(tái)偽冒開戶，實(shí)施盜刷，申請(qǐng)網(wǎng)貸并轉(zhuǎn)移資產(chǎn)。

9月5日早晨5點(diǎn)，“老駱駝”通過中國(guó)電信網(wǎng)上營(yíng)業(yè)廳，關(guān)閉了短信功能，“中止了他們后續(xù)的犯罪行為”。此時(shí)，距離手機(jī)被盜不足10小時(shí)。

文章發(fā)出后，被點(diǎn)名的平臺(tái)陸續(xù)回應(yīng)。支付寶相關(guān)團(tuán)隊(duì)回應(yīng)稱，黑產(chǎn)團(tuán)伙未突破人臉識(shí)別功能，未在支付寶套到錢和信息，同時(shí)承諾資金被盜全額賠付。

“老駱駝“對(duì)此也發(fā)文更新了事件后續(xù)進(jìn)展：“事件中涉及的幾家支付公司都積極聯(lián)系到我，美團(tuán)的貸款記錄消除了，蘇寧金融把我們損失的幾千都賠付了。銀聯(lián)云閃付的賠付也已打電話通知取消?！彼瑫r(shí)表示，四川電信也主動(dòng)聯(lián)系致歉，解釋稱黑產(chǎn)團(tuán)伙跟其客服說(shuō)是男女朋友鬧矛盾，才會(huì)出現(xiàn)反復(fù)掛失與解掛的情況。

回顧整個(gè)事件，銀行、運(yùn)營(yíng)商、移動(dòng)支付、網(wǎng)貸平臺(tái)等均在不同程度上暴露出安全隱患，這些隱患恰恰就是黑產(chǎn)團(tuán)伙盜取資金的“跳板”。分析完整個(gè)犯罪過程后，“老駱駝”在文中這樣感嘆：實(shí)際上，這個(gè)環(huán)節(jié)里的每一個(gè)點(diǎn)，放在對(duì)應(yīng)的業(yè)務(wù)節(jié)點(diǎn)里都不是什么大問題。但手機(jī)丟失后，把所有這些點(diǎn)串起來(lái)，問題就大了。”

運(yùn)營(yíng)商遠(yuǎn)程掛失、解掛業(yè)務(wù)流程是否合理

梳理“老駱駝”妻子手機(jī)被盜刷的經(jīng)歷，一個(gè)關(guān)鍵點(diǎn)在于：手機(jī)丟失后，他通過致電四川電信客服掛失手機(jī)卡，但不久之后，黑產(chǎn)團(tuán)伙致電電信客服，竟然可以輕松解除掛失。手機(jī)卡被解除掛失，意味著黑產(chǎn)團(tuán)伙可以通過手機(jī)短信驗(yàn)證的方式登錄了各大借貸App。因此，“老駱駝”通宵與黑產(chǎn)團(tuán)伙就“掛失、解掛”問題，來(lái)來(lái)回回幾十次，也未能阻止“解除掛失”成功，直到“老駱駝”登錄手機(jī)網(wǎng)上營(yíng)業(yè)廳，關(guān)閉了短信功能，才暫時(shí)制止了黑產(chǎn)團(tuán)伙的犯罪。

“老駱駝”認(rèn)為，四川電信掛失、解掛業(yè)務(wù)流程存在漏洞，他在文中表示：“機(jī)主幾次在電話中告知話務(wù)員自己正在遭受銀行卡盜刷犯罪，要求停止解掛行為，話務(wù)員還是以業(yè)務(wù)話術(shù)來(lái)敷衍客戶：“對(duì)不起，我們的掛失解掛有固定的業(yè)務(wù)流程，只要對(duì)方能提供服務(wù)密碼，就可以正常解掛?！?/p>

事后，四川電信致歉稱，黑產(chǎn)團(tuán)伙以“男女朋友鬧矛盾”為由哄騙客服，才會(huì)出現(xiàn)反復(fù)掛失與解掛的情況。

10月14日，《法人》記者在四川電信客服處獲悉，目前，提供機(jī)主姓名、電話號(hào)碼、上個(gè)月?lián)艽虻娜齻€(gè)通話號(hào)碼或者電信網(wǎng)上營(yíng)業(yè)廳密碼可以解除掛失。不過，掛失業(yè)務(wù)辦理后，針對(duì)線上渠道，解掛業(yè)務(wù)24小時(shí)內(nèi)僅能辦理一次，有特殊情況需要本人持有效證件到營(yíng)業(yè)廳解掛。

北京市京師律師事務(wù)所律師孟博向記者表示，依照《中華人民共和國(guó)電信條例》規(guī)定，電信業(yè)務(wù)經(jīng)營(yíng)者應(yīng)當(dāng)按照國(guó)家有關(guān)電信安全的規(guī)定，建立健全內(nèi)部安全保障制度，實(shí)行安全保障責(zé)任制。

“相較于一般用戶，電信業(yè)務(wù)經(jīng)營(yíng)者在電信服務(wù)領(lǐng)域處于優(yōu)勢(shì)地位，其應(yīng)當(dāng)提供合理的遠(yuǎn)程掛失、解掛業(yè)務(wù)，保障用戶的合法權(quán)益，比如發(fā)現(xiàn)電信服務(wù)可能被他人利用并可能危害用戶的合法權(quán)益時(shí)，采取更為嚴(yán)格的身份識(shí)別、驗(yàn)證程序來(lái)防范損害結(jié)果的發(fā)生等?！泵喜┍硎荆瑥南嚓P(guān)報(bào)道和當(dāng)事人的陳述，以及后續(xù)所形成的后果來(lái)看，相關(guān)電信公司并未妥善履行相應(yīng)義務(wù)，當(dāng)事人受到了損失。

互聯(lián)網(wǎng)平臺(tái)應(yīng)補(bǔ)齊“安全性”短板

互聯(lián)網(wǎng)時(shí)代，獲取身份證信息可能比你想象中還要容易。

“老駱駝”稱，黑產(chǎn)團(tuán)伙運(yùn)用手機(jī)號(hào)和驗(yàn)證碼快捷登錄四川人社App，點(diǎn)開“電子社保卡”，短信驗(yàn)證碼重置社保密碼，失主姓名、身份證信息、證件照片、銀行卡號(hào)就能輕而易舉地被獲取。

實(shí)際上，不只是四川人社App，不少地方社保App、商旅訂票軟件等，通過驗(yàn)證碼登錄后，均能看到自己的姓名及身份證信息，未做任何加密處理。

資料圖片

“老駱駝”的遭遇并非個(gè)例，他表示，文章發(fā)布后，有幾個(gè)網(wǎng)友留言稱自己經(jīng)歷過一模一樣的場(chǎng)景，損失最嚴(yán)重的一位被黑產(chǎn)團(tuán)伙以線上貸款的方式盜刷了68萬(wàn)，目前還在索賠中。

2019年9月，上海黃浦警方也對(duì)外披露了一起新型信用卡盜刷案。嫌疑人盜竊手機(jī)后憑SIM卡成功登陸攜程、去哪兒等出行軟件，從中獲取完整的個(gè)人身份信息，進(jìn)而實(shí)現(xiàn)盜刷操作。

“老駱駝”認(rèn)為，這些包含身份證信息的APP和網(wǎng)站，對(duì)于身份證號(hào)碼信息泄露風(fēng)險(xiǎn)并非不知道，只是在權(quán)衡“用戶體驗(yàn)”后，放棄了出于安全性考慮的種種復(fù)雜設(shè)置，未能對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，而這些技術(shù)得以實(shí)現(xiàn)并不困難。

隨著社會(huì)經(jīng)濟(jì)的高速發(fā)展，生活水平不斷提高，人民環(huán)保意識(shí)也在逐漸增強(qiáng)，面對(duì)日益惡化的水體環(huán)境，要求改善和治理河道環(huán)境的呼聲越來(lái)越高。江蘇省常州市委、市政府高度重視水環(huán)境綜合治理，2006年開始實(shí)施清水工程，工程內(nèi)容涵蓋城區(qū)186條河道，整治方向在最初控源截污、清淤活水的基礎(chǔ)上不斷深化，并引入生態(tài)治水的理念，開展城區(qū)河道的生態(tài)修復(fù)示范。通過“控源截污、調(diào)水、疏浚、生態(tài)修復(fù)”等措施，消除了河道黑臭，改善了河道水質(zhì)，美化了河道景觀，部分河道從“龍須溝”變成“水清魚躍、岸綠鳥飛”的景觀河。

在9月8日舉辦的2020年中國(guó)國(guó)際服務(wù)貿(mào)易交易會(huì)北京金融科技成果專場(chǎng)發(fā)布會(huì)上，央行科技司司長(zhǎng)李偉提到，金融科技發(fā)展、金融業(yè)數(shù)字化轉(zhuǎn)型應(yīng)重視監(jiān)管科技應(yīng)用，增強(qiáng)數(shù)字化監(jiān)管能力。部分機(jī)構(gòu)在利用技術(shù)創(chuàng)新業(yè)務(wù)模式、提升服務(wù)效率、改善用戶體驗(yàn)的同時(shí)，一定程度上簡(jiǎn)化了業(yè)務(wù)流程、削弱了風(fēng)控強(qiáng)度、掩蓋了業(yè)務(wù)本質(zhì)，這給金融監(jiān)管提出新挑戰(zhàn)。

回顧此次盜刷事件，金融系統(tǒng)、支付平臺(tái)、網(wǎng)貸平臺(tái)等像在“酣睡”，在資質(zhì)審查、用戶隱私和財(cái)產(chǎn)保護(hù)等方面，似乎都需要補(bǔ)齊短板。

北京云嘉律師事務(wù)所律師趙占領(lǐng)認(rèn)為，此次事件反映了電信、社保、金融系統(tǒng)各類企業(yè)或機(jī)構(gòu)在個(gè)人信息保護(hù)方面，或多或少都存在一些漏洞。這些漏洞可能造成用戶部分個(gè)人信息被泄露。

“此次事件還說(shuō)明一個(gè)問題，像電信、金融、社保、互聯(lián)網(wǎng)等各平臺(tái)和機(jī)構(gòu)，不僅要加強(qiáng)個(gè)人信息保護(hù)，還需要有整體的觀念。如果某一家企業(yè)、某一類機(jī)構(gòu)的個(gè)人信息保護(hù)存在漏洞，都有可能對(duì)其他領(lǐng)域用戶的個(gè)人信息泄露造成嚴(yán)重的隱患，進(jìn)而可能會(huì)導(dǎo)致用戶遭受財(cái)產(chǎn)損失。因此，個(gè)人信息保護(hù)需要各類機(jī)構(gòu)都提高保護(hù)水平，形成一個(gè)整體的保護(hù)機(jī)制，才有可能堵住各種漏洞。”趙占領(lǐng)進(jìn)一步表示。

以強(qiáng)監(jiān)管應(yīng)對(duì)黑產(chǎn)猖獗

近年來(lái)，手機(jī)黑產(chǎn)猖獗，在移動(dòng)支付領(lǐng)域更是如此。即使手機(jī)并未丟失，用戶信息安全及財(cái)產(chǎn)安全也常常受到威脅。

360手機(jī)衛(wèi)士、360政企安全、中國(guó)信息通信研究院聯(lián)合發(fā)布的《2020年上半年度中國(guó)手機(jī)安全狀況報(bào)告》顯示，今年上半年，360手機(jī)先賠共接到手機(jī)詐騙舉報(bào)1561起，其中提交理賠申請(qǐng)的詐騙舉報(bào)為776起，涉案總金額高達(dá)778.9萬(wàn)元，人均損失10037元。

騰訊手機(jī)管家發(fā)布的《2020年上半年手機(jī)安全報(bào)告》指出，數(shù)字化浪潮下，不法分子也搭上互聯(lián)網(wǎng)科技“快車”，形成從網(wǎng)站源碼搭建、第三方App利用、信息攔截，甚至海外“銷贓”渠道等專業(yè)化、產(chǎn)業(yè)化、規(guī)模化的詐騙集團(tuán)。

就以往侵害個(gè)人信息的犯罪案件來(lái)看，個(gè)人信息泄露涉及銀行、工商、電信等諸多行業(yè)，涉案范圍廣、規(guī)模大。手機(jī)信息安全問題的嚴(yán)重性進(jìn)一步暴露，加強(qiáng)個(gè)人信息保護(hù)的任務(wù)更加迫切。

趙占領(lǐng)表示，目前在公民個(gè)人信息保護(hù)方面已經(jīng)有了很多法律法規(guī)，比如刑法規(guī)定有侵犯公民個(gè)人信息罪，網(wǎng)絡(luò)安全法規(guī)定了網(wǎng)絡(luò)個(gè)人信息的保護(hù)。還有一些部門規(guī)章、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)規(guī)定的網(wǎng)絡(luò)個(gè)人信息。在其他不同的領(lǐng)域，有些行業(yè)主管部門也制定了個(gè)人信息保護(hù)的相關(guān)規(guī)定。

個(gè)人信息保護(hù)法草案已于10月13日在十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議上首次提請(qǐng)審議。

但趙占領(lǐng)認(rèn)為，目前的法律、法規(guī)、標(biāo)準(zhǔn)通常都規(guī)定個(gè)人信息的收集者，依法需要采取相應(yīng)的手段和措施來(lái)保證所收集用戶的個(gè)人信息安全，防止因?yàn)樽陨淼脑?，?dǎo)致用戶的個(gè)人信息泄露，否則需要對(duì)此承擔(dān)民事責(zé)任和行政責(zé)任，包括向用戶承擔(dān)賠償責(zé)任，接受相關(guān)監(jiān)管部門的行政處罰等。

“因此，我認(rèn)為最關(guān)鍵的問題是加強(qiáng)執(zhí)法，加強(qiáng)監(jiān)管。”趙占領(lǐng)說(shuō)，“不能把所有的希望都寄托在個(gè)人信息保護(hù)法的出臺(tái)之上。如果不解決執(zhí)行的問題，仍然不能提高整個(gè)社會(huì)個(gè)人信息保護(hù)的水平?！?/p>

回到個(gè)人層面，普通用戶應(yīng)如何盡量避免被黑產(chǎn)團(tuán)伙竊取個(gè)人信息呢？一位從事網(wǎng)絡(luò)安全工作的人士向記者表示，重要且容易被忽視的一點(diǎn)是，要給手機(jī)設(shè)置SIM卡卡鎖?！昂芏嗳硕紩?huì)給手機(jī)設(shè)置屏幕鎖，但設(shè)置SIM卡卡鎖的人并不多。設(shè)置SIM卡卡鎖之后，一旦手機(jī)丟失，即使犯罪分子將SIM卡拔下插入其他手機(jī)，也無(wú)法正常使用和接收驗(yàn)證碼?！币蕴O果手機(jī)為例，用戶可以通過“設(shè)置-蜂窩網(wǎng)絡(luò)-SIM卡PIN碼-更改PIN碼”進(jìn)行設(shè)置。華為手機(jī)則可以通過“設(shè)置-安全和隱私-更多安全設(shè)置-加密和憑據(jù)-設(shè)置卡鎖”，選定手機(jī)卡后，啟用密碼，再選擇修改密碼，完成手機(jī)卡的密碼設(shè)置。

這位網(wǎng)絡(luò)安全人士強(qiáng)調(diào)，但這樣做并非萬(wàn)無(wú)一失，手機(jī)丟失后，一定要第一時(shí)間掛失SIM卡，阻斷犯罪分子通過手機(jī)號(hào)進(jìn)一步獲取個(gè)人信息的途徑。另外，如果不掛失SIM卡，除了可能會(huì)遭遇盜刷操作外，還有可能被犯罪分子用來(lái)進(jìn)行詐騙。

此外，在網(wǎng)絡(luò)營(yíng)業(yè)廳關(guān)閉短信服務(wù)，也可以進(jìn)一步防止犯罪分子通過驗(yàn)證碼修改支付密碼、辦理貸款等。同時(shí)聯(lián)系銀行凍結(jié)所有銀行卡，換掉銀行卡預(yù)留手機(jī)號(hào)碼，避免不必要的損失。