支付宝|惊心动魄！一部手机丢失后有多可怕？多平台中招，支付宝紧急回应( 七 ) 银行|身份证|苏宁|第三方支付

然后这个事情是不是就这样结束了？也不一定哈， 9月5日我们补办完手机卡时我就和我老婆说了，后面这段时间内要小心陌生的电话和短信、微信。对方快吃进嘴的肉被硬扯下去一大块，手里又有你的一些信息，肯定不会甘心的，要小心后续的网络钓鱼、和电话诈骗。这两天她手机就开始收到有可疑的短信了，什么套路也懒得去猜了，反正不理会就是了。
我所经历的这个案件，其实和前两年新闻上报道过的钱包丢失，对方用偷到的身份证去营业厅补了卡，然后导致银行账户损失其实是差不多的，目标都是手机卡。移动互联网的发展给我们的生活带来了巨大的改变，手机的地位也越来越高，希望大家吸取我的这次经验教训，提前做好防范，出事别学我，第一时间挂失手机卡、所有银行卡。后续进展9月9日——在经历了与一个专业黑产团伙的几天对抗之后，新建了这个微信公众号，根据自己搜集整理分析的结果发表了《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文，这篇文章发表后引起的轰动效果，完全超出了我的预期。不想原本只是写给小区业主群的案件记录分析结果一夜间成了网络热文，也答应过网友，事件有了新的进展就汇报给大家。在今天（9月11日）下午，事件中涉及的几家支付公司都积极联系到我，美团的贷款记录消除了，苏宁金融把我们损失的几千都赔付了。由于美团贷款的记录消除，实际上还导致苏宁金融赔付金融比他造成的损失多了300元，已经联系苏宁金融进行退款。银联云闪付的赔付也已打电话通知取消。对于赔付金额，该还我们的一分都不能少，但多的我们也一分不多要。发上一篇文章的时候，黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息推论判断出来的，文章的发表也引来了各方注意，提出了个别文章中推论出错的地方。例如人脸识别的绕过，支付宝在进行业务设计时，对在原手机上创建并登陆的子账号，在实名认证时，匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的，这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此，人脸识别的绕过确实错怪他们了，这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录，推测是为了不触发支付宝的风控规则。至于四川电信，今天也主动联系到我老婆，对那晚的事件进行道歉，也解释了说对方当时跟他们的客服说是男女朋友闹矛盾，只能说犯罪分子很狡猾，但对于四川电信的远程挂失和解挂的业务流程设计，站在安全的角度上考虑，我还是不能认可。中间有个小插曲，我为了调查案发时我的短信详单中一条未知的短信记录，再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司，客服拒绝了我。虽然未能查成，但说实话我反而是高兴的，至少说明对客户信息保密的业务原则还是有效的。再说下盗取手机进而实现银行卡盗刷这个案件，自从文章发布后，也有几个网友在微信公众号上留言，说自己经历过一模一样的场景，只是受损金额都比较大，最严重的一位有68万的线上贷款，目前还在索赔中。在网上找类似案例的时候，发现2019年9月有一篇新闻——《凭SIM卡登陆各软件！上海警方披露最新型盗刷手法》，大家有兴趣可以搜一下，看新闻介绍的犯罪手法，基本上和我遇到的这个案件是一致的，只是获取身份信息的途径不一样。前面也提到，犯罪分子精心设计的这么一套犯罪脚本，在身份信息获取这种比较容易的环节上，一定是会有备用方案的，目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP（如华住、锦江）、商旅订票类（如去哪儿），这些包含身份证信息的APP和网站，对于身份证号码信息的泄露风险并不是说不知道，只是在业务的“用户体验”面前，安全已经不算个问题了，毕竟我这种案件的数量还是不多。以去哪儿为例，在常用旅客列表中，对身份证信息进行了屏蔽显示，但点击进入信息编辑界面时就明文展示了：