后续进展
9月9日——
在经历了与一个专业黑产团伙的几天对抗之后 ， 新建了这个微信公众号 ， 根据自己搜集整理分析的结果发表了《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文 ， 这篇文章发表后引起的轰动效果 ， 完全超出了我的预期 。 不想原本只是写给小区业主群的案件记录分析结果一夜间成了网络热文 ， 也答应过网友 ， 事件有了新的进展就汇报给大家 。
在今天（9月11日）下午 ， 事件中涉及的几家支付公司都积极联系到我 ， 美团的贷款记录消除了 ， 苏宁金融把我们损失的几千都赔付了 。 由于美团贷款的记录消除 ， 实际上还导致苏宁金融赔付金融比他造成的损失多了300元 ， 已经联系苏宁金融进行退款 。 银联云闪付的赔付也已打电话通知取消 。 对于赔付金额 ， 该还我们的一分都不能少 ， 但多的我们也一分不多要 。
发上一篇文章的时候 ， 黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息推论判断出来的 ， 文章的发表也引来了各方注意 ， 提出了个别文章中推论出错的地方 。
例如人脸识别的绕过 ， 支付宝在进行业务设计时 ， 对在原手机上创建并登陆的子账号 ， 在实名认证时 ， 匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的 ， 这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此 ， 人脸识别的绕过确实错怪他们了 ， 这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录 ， 推测是为了不触发支付宝的风控规则 。
至于四川电信 ， 今天也主动联系到我老婆 ， 对那晚的事件进行道歉 ， 也解释了说对方当时跟他们的客服说是男女朋友闹矛盾 ， 只能说犯罪分子很狡猾 ， 但对于四川电信的远程挂失和解挂的业务流程设计 ， 站在安全的角度上考虑 ， 我还是不能认可 。 中间有个小插曲 ， 我为了调查案发时我的短信详单中一条未知的短信记录 ， 再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司 ， 客服拒绝了我 。 虽然未能查成 ， 但说实话我反而是高兴的 ， 至少说明对客户信息保密的业务原则还是有效的 。
再说下盗取手机进而实现银行卡盗刷这个案件 ， 自从文章发布后 ， 也有几个网友在微信公众号上留言 ， 说自己经历过一模一样的场景 ， 只是受损金额都比较大 ， 最严重的一位有68万的线上贷款 ， 目前还在索赔中 。
在网上找类似案例的时候 ， 发现2019年9月有一篇新闻——《凭SIM卡登陆各软件！上海警方披露最新型盗刷手法》 ， 大家有兴趣可以搜一下 ， 看新闻介绍的犯罪手法 ， 基本上和我遇到的这个案件是一致的 ， 只是获取身份信息的途径不一样 。
前面也提到 ， 犯罪分子精心设计的这么一套犯罪脚本 ， 在身份信息获取这种比较容易的环节上 ， 一定是会有备用方案的 ， 目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP（如华住、锦江）、商旅订票类（如去哪儿） ， 这些包含身份证信息的APP和网站 ， 对于身份证号码信息的泄露风险并不是说不知道 ， 只是在业务的“用户体验”面前 ， 安全已经不算个问题了 ， 毕竟我这种案件的数量还是不多 。 以去哪儿为例 ， 在常用旅客列表中 ， 对身份证信息进行了屏蔽显示 ， 但点击进入信息编辑界面时就明文展示了：
对敏感数据加个保护的实现技术有难度么？再看看携程的处理方式：

本文插图
我不知道在编辑界面明文展示身份证号码能提升多少百分比的用户使用体验友好度 ， 但安全性的差别就是0%和100% 。
今天在朋友圈看到一篇文章《央行科技司司长李伟：金融科技发展应重视个人信息保护》 ， 我的案子刚好与文章里提到的部分内容应景 。 李司长在9月8日的发布会上提了三块内容：

• 新华社客户端|夜览 | 触目惊心！全球新冠确诊病例超4000万
• 小逗传媒建琪|多年无人踏足成“鬼楼”，场面触目惊心，男子发现一座废弃学校
• 七宝宝育儿|美国警察执法有多暴力？美媒列出的数据触目惊心
• 艺考|耽误多少学子的前程？艺考腐败触目惊心，牵扯多所顶级艺术院校！
• 21世纪经济报道约6成网友不愿为iPhone12买单，苹果官网却被抢崩了？
• 21世纪经济报道5G时代哪些APP最火？腾讯会议、B站、抖音、直播等视频类应用前排坐
• 小猪猪盼易|从隋朝活到21世纪，至今依然强大，史上唯一存活超过1400年的公司
• nba|21世纪前十年是邓奥科的天下，第二个十年，是詹姆斯一人的天下？
• 石家庄日报|触目惊心！25岁小伙醉驾致七旬老人死亡
• 联合国报告：全球自然灾害总数在21世纪前20年大幅攀升