近日,《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文在朋友圈刷屏,文章详细讲述了拥有十多年网络攻防经验的专家“老骆驼”与手机黑产团伙展开的一场“资金攻防战”。
这场“攻防战”,确实称得上是“惊心动魄”,而其背后隐藏的“盗窃手机——盗取个人信息——获取贷款——转移资产”这一手机黑产链,更让人“不寒而栗”。
黑产团伙盗取手机后,取出SIM卡放入其他手机用于验证。接着,黑产团伙通过其他平台快速获取失主关键信息,利用原手机号和关键个人信息注册支付软件新账号,绕过支付平台漏洞,完成贷款申请和资金转移。整个流程不过短短几个小时。
当前,随着移动支付的发展,手机早已不再是简单的通讯工具,而是更多地充当了个人信息终端。手机黑产早已在人们不知不觉中瞄上了移动支付。近几年来相关事件频现。“老骆驼”们的遭遇,折射出了当前需要迫切解决的个人信息保护问题,也给互联网平台的安全性打了个问号。
手机被窃带来疯狂盗刷
拥有十多年网络攻防经验的“老骆驼”怎么也没有想到,“个人信息被盗、资金遭转移”的事儿会发生在自己身上。根据他在文中的自述,此次盗刷事件的核心并不复杂。
9月4日19点30分,“老骆驼”的妻子手机丢失后,并未第一时间挂失手机SIM卡。“这个不果断的决定,导致了后续悲剧的发生。”“老骆驼”在文中称,黑产团伙在窃取手机后,将SIM卡取出放入其他手机,用于接收短信验证码。随后,黑产团伙登录当地社保app,获取了失主的关键个人信息。
至此,失主的手机号码、姓名、身份证号码、社保金融卡的银行卡信息均被获得,下一步,黑产团伙利用这些信息开始了疯狂盗刷。
21点24分,“老骆驼”发现手机账户在云服务中被解绑;21点48分,手机SIM卡经历了一轮失主挂失和黑产团伙解除挂失;9月5日0点23分,被盗手机锁屏密码被解开,微信、支付宝等均被修改密码。
随后,黑产团伙在支付宝、美团、京东、财付通、苏宁金融、百度等多个平台伪冒开户,实施盗刷,申请网贷并转移资产。
9月5日早晨5点,“老骆驼”通过中国电信网上营业厅,关闭了短信功能,“中止了他们后续的犯罪行为”。此时,距离手机被盗不足10小时。
文章发出后,被点名的平台陆续回应。支付宝相关团队回应称,黑产团伙未突破人脸识别功能,未在支付宝套到钱和信息,同时承诺资金被盗全额赔付。
“老骆驼“对此也发文更新了事件后续进展:“事件中涉及的几家支付公司都积极联系到我,美团的贷款记录消除了,苏宁金融把我们损失的几千都赔付了。银联云闪付的赔付也已打电话通知取消。”他同时表示,四川电信也主动联系致歉,解释称黑产团伙跟其客服说是男女朋友闹矛盾,才会出现反复挂失与解挂的情况。
回顾整个事件,银行、运营商、移动支付、网贷平台等均在不同程度上暴露出安全隐患,这些隐患恰恰就是黑产团伙盗取资金的“跳板 ”。分析完整个犯罪过程后,“老骆驼” 在文中这样感叹:实际上,这个环节里的每一个点,放在对应的业务节点里都不是什么大问题。但手机丢失后,把所有这些点串起来,问题就大了。”
运营商远程挂失、解挂业务流程是否合理
梳理“老骆驼”妻子手机被盗刷的经历,一个关键点在于:手机丢失后,他通过致电四川电信客服挂失手机卡,但不久之后,黑产团伙致电电信客服,竟然可以轻松解除挂失。手机卡被解除挂失,意味着黑产团伙可以通过手机短信验证的方式登录了各大借贷App。因此,“老骆驼”通宵与黑产团伙就“挂失、解挂”问题,来来回回几十次,也未能阻止“解除挂失”成功,直到“老骆驼”登录手机网上营业厅,关闭了短信功能,才暂时制止了黑产团伙的犯罪。
“老骆驼”认为,四川电信挂失、解挂业务流程存在漏洞,他在文中表示:“机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪,要求停止解挂行为,话务员还是以业务话术来敷衍客户:“对不起,我们的挂失解挂有固定的业务流程,只要对方能提供服务密码,就可以正常解挂。”
事后,四川电信致歉称,黑产团伙以“男女朋友闹矛盾”为由哄骗客服,才会出现反复挂失与解挂的情况。
10月14日,《法人》记者在四川电信客服处获悉,目前,提供机主姓名、电话号码、上个月拨打的三个通话号码或者电信网上营业厅密码可以解除挂失。不过,挂失业务办理后,针对线上渠道,解挂业务24小时内仅能办理一次,有特殊情况需要本人持有效证件到营业厅解挂。
北京市京师律师事务所律师孟博向记者表示,依照《中华人民共和国电信条例》规定,电信业务经营者应当按照国家有关电信安全的规定,建立健全内部安全保障制度,实行安全保障责任制。
“相较于一般用户,电信业务经营者在电信服务领域处于优势地位,其应当提供合理的远程挂失、解挂业务,保障用户的合法权益,比如发现电信服务可能被他人利用并可能危害用户的合法权益时,采取更为严格的身份识别、验证程序来防范损害结果的发生等。”孟博表示,从相关报道和当事人的陈述,以及后续所形成的后果来看,相关电信公司并未妥善履行相应义务,当事人受到了损失。
互联网平台应补齐“安全性”短板
互联网时代,获取身份证信息可能比你想象中还要容易。
“老骆驼”称,黑产团伙运用手机号和验证码快捷登录四川人社App,点开“电子社保卡”,短信验证码重置社保密码,失主姓名、身份证信息、证件照片、银行卡号就能轻而易举地被获取。
实际上,不只是四川人社App,不少地方社保App、商旅订票软件等,通过验证码登录后,均能看到自己的姓名及身份证信息,未做任何加密处理。
“老骆驼”的遭遇并非个例,他表示,文章发布后,有几个网友留言称自己经历过一模一样的场景,损失最严重的一位被黑产团伙以线上贷款的方式盗刷了68万,目前还在索赔中。
2019年9月,上海黄浦警方也对外披露了一起新型信用卡盗刷案。嫌疑人盗窃手机后凭SIM卡成功登陆携程、去哪儿等出行软件,从中获取完整的个人身份信息,进而实现盗刷操作。
“老骆驼”认为,这些包含身份证信息的APP和网站,对于身份证号码信息泄露风险并非不知道,只是在权衡“用户体验”后,放弃了出于安全性考虑的种种复杂设置,未能对一些敏感数据进行加密保护,而这些技术得以实现并不困难。
在9月8日举办的2020年中国国际服务贸易交易会北京金融科技成果专场发布会上,央行科技司司长李伟提到,金融科技发展、金融业数字化转型应重视监管科技应用,增强数字化监管能力。部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时,一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质,这给金融监管提出新挑战。
回顾此次盗刷事件,金融系统、支付平台、网贷平台等像在“酣睡”,在资质审查、用户隐私和财产保护等方面,似乎都需要补齐短板。
北京云嘉律师事务所律师赵占领认为,此次事件反映了电信、社保、金融系统各类企业或机构在个人信息保护方面,或多或少都存在一些漏洞。这些漏洞可能造成用户部分个人信息被泄露。
“此次事件还说明一个问题,像电信、金融、社保、互联网等各平台和机构,不仅要加强个人信息保护,还需要有整体的观念。如果某一家企业、某一类机构的个人信息保护存在漏洞,都有可能对其他领域用户的个人信息泄露造成严重的隐患,进而可能会导致用户遭受财产损失。因此,个人信息保护需要各类机构都提高保护水平,形成一个整体的保护机制,才有可能堵住各种漏洞。”赵占领进一步表示。
以强监管应对黑产猖獗
近年来,手机黑产猖獗,在移动支付领域更是如此。即使手机并未丢失,用户信息安全及财产安全也常常受到威胁。
360手机卫士、360政企安全、中国信息通信研究院联合发布的《2020年上半年度中国手机安全状况报告》显示,今年上半年,360手机先赔共接到手机诈骗举报1561起,其中提交理赔申请的诈骗举报为776起,涉案总金额高达778.9万元,人均损失10037元。
腾讯手机管家发布的《2020年上半年手机安全报告》指出,数字化浪潮下,不法分子也搭上互联网科技“快车”,形成从网站源码搭建、第三方App利用、信息拦截,甚至海外“销赃”渠道等专业化、产业化、规模化的诈骗集团。
就以往侵害个人信息的犯罪案件来看,个人信息泄露涉及银行、工商、电信等诸多行业,涉案范围广、规模大。手机信息安全问题的严重性进一步暴露,加强个人信息保护的任务更加迫切。
赵占领表示,目前在公民个人信息保护方面已经有了很多法律法规,比如刑法规定有侵犯公民个人信息罪,网络安全法规定了网络个人信息的保护。还有一些部门规章、国家标准、 行业标准规定的网络个人信息。在其他不同的领域,有些行业主管部门也制定了个人信息保护的相关规定。
个人信息保护法草案已于10月13日在十三届全国人大常委会第二十二次会议上首次提请审议。
但赵占领认为,目前的法律、法规、标准通常都规定个人信息的收集者,依法需要采取相应的手段和措施来保证所收集用户的个人信息安全,防止因为自身的原因,导致用户的个人信息泄露,否则需要对此承担民事责任和行政责任,包括向用户承担赔偿责任,接受相关监管部门的行政处罚等。
“因此,我认为最关键的问题是加强执法,加强监管。”赵占领说,“不能把所有的希望都寄托在个人信息保护法的出台之上。如果不解决执行的问题,仍然不能提高整个社会个人信息保护的水平。”
回到个人层面,普通用户应如何尽量避免被黑产团伙窃取个人信息呢?一位从事网络安全工作的人士向记者表示,重要且容易被忽视的一点是,要给手机设置SIM卡卡锁。“很多人都会给手机设置屏幕锁,但设置SIM卡卡锁的人并不多。设置SIM卡卡锁之后,一旦手机丢失,即使犯罪分子将SIM卡拔下插入其他手机,也无法正常使用和接收验证码。”以苹果手机为例,用户可以通过“设置-蜂窝网络-SIM卡PIN码-更改PIN码”进行设置。华为手机则可以通过“设置-安全和隐私-更多安全设置-加密和凭据-设置卡锁”,选定手机卡后,启用密码,再选择修改密码,完成手机卡的密码设置。
这位网络安全人士强调,但这样做并非万无一失,手机丢失后,一定要第一时间挂失SIM卡,阻断犯罪分子通过手机号进一步获取个人信息的途径。另外,如果不挂失SIM卡,除了可能会遭遇盗刷操作外,还有可能被犯罪分子用来进行诈骗。
此外,在网络营业厅关闭短信服务,也可以进一步防止犯罪分子通过验证码修改支付密码、办理贷款等。同时联系银行冻结所有银行卡,换掉银行卡预留手机号码,避免不必要的损失。
