?來源:南方都市報

@謹防黑產犯罪利用多個“弱驗證”漏洞獲取重要個人信息要素

根據當事人描述，其發現手機失竊后，立即采取了掛失手機號、解綁銀行卡的緊急措施，但由于黑產團伙掌握了當事人手機號、銀行卡號、身份證號等個人信息，依然遭遇了經濟損失。

據當事人敘述，其多個互聯網金融平臺遭遇盜刷或產生了冒用身份貸款、消費等行為，其中黑產利用手機號、身份證號和一張被他們遺漏忘記解綁的銀行儲蓄卡在美團平臺借貸產生了 5000 元貸款，還在一張ETC 信用卡上產生了各種買卡、充值等消費記錄上千元。在當事人透露的后續進展中，僅有支付寶和財付通算是風控過關，其中支付寶檢測到異常交易，未有資金損失，而財付通損失陸續被系統追回。

這位當事人事后總結稱：“黑產全程利用正常的業務操作，只是把各個機構的‘弱驗證’連接起來，便形成了巨大破壞。”所謂各個機構的“弱驗證”，是指由于手機號碼、身份證號碼在常規移動互聯網業務中的交叉使用，數據泄露的風險很大，很多非金融類的平臺可能并未使用金融App級別的安全等級保護措施，從而導致泄露了金融業務用到的部分關鍵要素信息。多個平臺的漏洞串連起來，為黑產團伙提供了多個事主的個人信息要素，最終導致了損失。

比如在本次事件中，黑產團伙通過發送短信給其他手機獲取到本機手機號碼，然后聯系電信改了服務密碼。而四川電信的遠程掛失和解掛的業務流程設置存在問題，僅憑手機服務密碼，就可以解掛。所以在當事人掛失手機號后，黑產又順利解掛。

隨后用手機號碼配合短信驗證碼改了華為密碼，把原設備上的賬號注銷了，解鎖了華為鎖屏密碼，進入了手機。由于未能及時掛失手機卡，導致后續黑產通過四川人社App快速獲取到了姓名、手機號碼、身份證號、銀行卡號失主關鍵信息。又利用原手機號和關鍵個人信息注冊支付軟件新賬號，繞過京東、蘇寧等平臺漏洞完成貸款申請、資金轉移，最后導致美團借貸產生5000元貸款，ETC信用卡產生各類買卡、充值等消費記錄。

@僅憑SIM卡，個人信息半小時內悉數被盜

實際上，一些商旅出行類App對于用戶敏感信息和數據的保護漏洞早就存在，為了提升服務效率、改善用戶體驗，簡化了應該有的保護措施。早在2019年，上海警方破獲的一起新型信用卡盜刷案中，就已經出現過這種現象，與本次當事人被盜刷的套路如出一轍。

根據上海警方披露，犯罪團伙竊得手機之后，會在短時間內破解手機解鎖碼，或者直接利用SIM卡，窺探受害人手機中的個人身份信息，以及銀行卡卡號。分為以下三步操作，最快半小時完成，等到失主補辦好手機卡號時，發現手機已經遭遇盜刷。

第一步獲取身份證信息：通過破解手機密碼，或通過盜竊來的手機SIM卡登錄商旅出行類軟件。這些出行軟件中一般都保存著SIM卡主人的常用旅客信息，包含身份證、護照號、手機號等內容。

第二步獲取銀行卡信息：通過手機恢復軟件、信用卡管理軟件或是一些未做好銀行卡信息遮蔽處理的App等途徑，以獲取被害人完整的銀行卡等信息。

第三步利用上述信息實施盜刷。據警方介紹，嫌疑人團伙成員分工合作，僅需半小時就可以完成上述操作。

SIM卡在某種意義上代表著公民的另一張“身份證”，作為一名從業多年的信息安全專家，當事人建議要設置好手機SIM密碼以防萬一。

@重要提醒：設置SIM卡密碼，手機失竊后第一時間掛失

根據類似事件總結，南都記者梳理了以下注意事項：

日常注意：

1、手機設置屏鎖、手機SIM卡設置密碼：

手機鎖屏狀態下對方無法使用短信功能，如果更換手機卡至新手機則需要輸入SIM卡密碼。要解鎖SIM，需要從運營商處獲取PUK碼，而此過程需要提供身份信息進行驗證。未解鎖手機的情況下加上SIM卡加鎖，對方無法知道你的手機號碼，這樣斷了獲取身份信息的路。

2、勿在手機備忘錄、相冊等容易獲取的地方，地方備份存放身份證、銀行卡、社保卡賬號信息。

手機失竊后，可進行以下步驟：

1、善用查找手機功能

若鎖屏密碼被破解，失主可以通過定位功能盡可能的找到丟失的手機，并可鎖定設備，追蹤設備移動軌跡；可以擦除數據，防止個人信息泄露。

2、掛失、凍結SIM卡，凍結手機網銀并更改預留手機號

手機被盜后，除凍結所有銀行卡以外，還需要把銀行卡的預留手機號碼全換掉。同時可以通過登陸網銀或者手機銀行，用快捷支付管理功能，查看綁定了哪些支付公司，嘗試用自己的手機號碼去登陸。

3、掛失支付寶賬戶

可撥打95188掛失，解除支付寶綁定；也可借用親友手機登錄支付寶賬號，修改密碼并通過“安全中心”快速掛失。可以用親友的手機登錄支付寶，點擊我的-設置-安全設置-安全中心-掛失賬號-立即掛失，即可鎖定當前賬戶，鎖定后賬戶暫時無法使用，沒辦法進行資金往來，解除掛失前其他人無法進行登錄。當登錄環境安全時，即可進行解除掛失。

4、凍結微信賬戶

當發現手機丟失后，盡快在親友的手機上登錄你的微信賬號進行掛失。一般可以采取兩種方法：方法一：點擊我-設置-賬號與安全-微信安全中心-凍結賬號，開始凍結。這樣，你的微信賬號就會被凍結，其他任何人既不能冒用你的身份進行詐騙，也不能竊取你的個人隱私。等你換了新手機，可以登錄微信賬號，通過相同的步驟，在頁面中找到“解凍賬號”把你的微信賬號解凍，恢復正常使用。方法二：登錄微信安全中心網頁（https://weixin110.qq.com）找到帳號凍結功能，接下來僅需要完成2個步驟即可成功凍結微信。

5、小心后續的網絡釣魚、和電話詐騙

收到有可疑的釣魚短信不予理會。