触目惊心！一部手机丢失后有多可怕？支付宝、银联紧急回应 _知识分享

导读：互联网资金在多个环节都面临风险，一场手机丢失后的资金攻防战备受关注。
来源丨21世纪经济报道（ID：jjbd21 采访人员：谢水旺、张雅婷）、信息安全老骆驼
近日，一篇一个月前的旧文——《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》，突然在朋友圈重新出现且刷屏。到底怎么回事？
一部手机丢失后有多可怕？多平台中招，支付宝紧急回应
“当时不知道我怎么想的，觉得可能还有机会能找回，没有未立即挂失手机卡，设置了华为找回手机的上线通知（这个不果断的决定，导致了后续悲剧的发生）。”该文作者“老骆驼”在文中称，9月4日，手机被偷了，用其他手机拨打，但对方接通后关机。
该文作者“老骆驼”自称信息安全专家，自述因手机失窃、SIM卡挂失失败遭遇手机黑产，在支付宝、美团、京东、财付通、苏宁金融、百度等多个平台被伪冒开户的经历。据分析，该案件中，由于该用户没有及时挂失SIM卡，犯罪分子在偷盗手机后，将手机中的SIM卡取出来后专门用于接收各类平台发送的短信验证码。此外，犯罪分子通过其他平台非法盗取用户信息，并在多个平台上伪冒开户实施盗刷。
其实早在当时，支付宝相关部门人士已经回应称，黑产没有在支付宝里套到任何钱和信息，也并未突破人脸验证。

文章插图
9月11日，“老骆驼”再次发文《盗窃手机盗刷银行卡黑色产业链案件之后续进展》。
在该文中，他说：“在今天下午，事件中涉及的几家支付公司都积极联系到我，美团的贷款记录消除了，苏宁金融把我们损失的几千都赔付了。由于美团贷款的记录消除，实际上还导致苏宁金融赔付金融比他造成的损失多了300元，已经联系苏宁金融进行退款。银联云闪付的赔付也已打电话通知取消。对于赔付金额，该还我们的一分都不能少，但多的我们也一分不多要。”

文章插图
注意两大关键点
关键1：四川电信称1天仅能解除挂失一次
回溯“老骆驼”与黑产分子斗争的整个流程，不难看出互联网资金在多个环节都面临风险。
第一步，黑产分子如何获得了失主的关键信息？
“老骆驼”指出四川电信的远程挂失和解挂的业务流程设存在问题，导致黑产分子通过某政务APP的短信验证功能获得了失主的姓名、手机号码、身份证号、银行卡号。
原来，“老骆驼”通过四川电信客服挂失手机号后，对方通过联系电信客服进行了“解除挂失”的操作。
一旦手机号被解除挂失，这意味着，使用各大APP时所需的身份认证环节，极有可能被对方利用短信验证码服务通过验证。
因此，“老骆驼”与黑产分子就手机号的挂失与解挂斗争了整晚，“来来回回几十次。”四川电信事后致歉“老骆驼”称，被黑产以“男女朋友闹矛盾”哄骗，导致反复挂失与解挂。
采访人员10月10日从四川电信客服处了解到，如需解除挂失，可以联系客服提供登录电信网上营业厅的密码或者机主姓名和身份证号码+上月拨打的三个通话号码进行操作。
不过，上述客服表示，目前挂失业务办理后，针对线上渠道，解除挂失业务24小时内仅能办理一次，有特殊情况需要本人持有效证件到营业厅解除挂失。
关键2：黑产分子是否绕过了人脸识别？
获得个人信息后，黑产分子如何进行的贷款申请？
“老骆驼”发现，对方利用手机号及身份信息等注册了支付宝等软件的新账号，在苏宁金融、美团等平台进行贷款申请、资金转移，ETC信用卡产生各类买卡、充值等消费记录。
针对“老骆驼”质疑支付宝快捷绑卡的安全性，支付宝方面回应称，黑产分子没有通过快速绑卡获得银行卡号，而是通过输入用户的银行卡卡号+预留手机的短信验证码绑卡的，卡号则是对方通过其他渠道获得。
在支付宝内是否可以查询到完整的银行卡号？采访人员从支付宝客服处获悉，可点击所绑定的银行卡，进入“卡管理”页面，查看卡号可通过两种途径，一是通过人脸识别认证，二则是输入支付密码。
在长文中，“老骆驼”推测，支付宝实名认证的人脸识别已被黑产分子绕过，即用图片处理技术来绕过活体人脸识别验证。
对此，支付宝的回应中否认称，黑产分子并没有突破人脸识别，能注册新号是通过其他渠道已掌握的身份信息和短信验证码，在常用设备上实现的。这是由于对方修改支付密码时被支付宝风控拦住，查不了银行卡号，也没法收付款，才注册了新号，但新号也不能使用原号里的钱。