触目惊心|触目惊心!一部手机丢失后有多可怕?多平台中招,支付宝、银联紧急回应( 九 )
后续进展
9月9日——
在经历了与一个专业黑产团伙的几天对抗之后 , 新建了这个微信公众号 , 根据自己搜集整理分析的结果发表了《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文 , 这篇文章发表后引起的轰动效果 , 完全超出了我的预期 。 不想原本只是写给小区业主群的案件记录分析结果一夜间成了网络热文 , 也答应过网友 , 事件有了新的进展就汇报给大家 。
在今天(9月11日)下午 , 事件中涉及的几家支付公司都积极联系到我 , 美团的贷款记录消除了 , 苏宁金融把我们损失的几千都赔付了 。 由于美团贷款的记录消除 , 实际上还导致苏宁金融赔付金融比他造成的损失多了300元 , 已经联系苏宁金融进行退款 。 银联云闪付的赔付也已打电话通知取消 。 对于赔付金额 , 该还我们的一分都不能少 , 但多的我们也一分不多要 。
发上一篇文章的时候 , 黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息推论判断出来的 , 文章的发表也引来了各方注意 , 提出了个别文章中推论出错的地方 。
例如人脸识别的绕过 , 支付宝在进行业务设计时 , 对在原手机上创建并登陆的子账号 , 在实名认证时 , 匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的 , 这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此 , 人脸识别的绕过确实错怪他们了 , 这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录 , 推测是为了不触发支付宝的风控规则 。
至于四川电信 , 今天也主动联系到我老婆 , 对那晚的事件进行道歉 , 也解释了说对方当时跟他们的客服说是男女朋友闹矛盾 , 只能说犯罪分子很狡猾 , 但对于四川电信的远程挂失和解挂的业务流程设计 , 站在安全的角度上考虑 , 我还是不能认可 。 中间有个小插曲 , 我为了调查案发时我的短信详单中一条未知的短信记录 , 再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司 , 客服拒绝了我 。 虽然未能查成 , 但说实话我反而是高兴的 , 至少说明对客户信息保密的业务原则还是有效的 。
再说下盗取手机进而实现银行卡盗刷这个案件 , 自从文章发布后 , 也有几个网友在微信公众号上留言 , 说自己经历过一模一样的场景 , 只是受损金额都比较大 , 最严重的一位有68万的线上贷款 , 目前还在索赔中 。
在网上找类似案例的时候 , 发现2019年9月有一篇新闻——《凭SIM卡登陆各软件!上海警方披露最新型盗刷手法》 , 大家有兴趣可以搜一下 , 看新闻介绍的犯罪手法 , 基本上和我遇到的这个案件是一致的 , 只是获取身份信息的途径不一样 。
前面也提到 , 犯罪分子精心设计的这么一套犯罪脚本 , 在身份信息获取这种比较容易的环节上 , 一定是会有备用方案的 , 目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP(如华住、锦江)、商旅订票类(如去哪儿) , 这些包含身份证信息的APP和网站 , 对于身份证号码信息的泄露风险并不是说不知道 , 只是在业务的“用户体验”面前 , 安全已经不算个问题了 , 毕竟我这种案件的数量还是不多 。 以去哪儿为例 , 在常用旅客列表中 , 对身份证信息进行了屏蔽显示 , 但点击进入信息编辑界面时就明文展示了:
对敏感数据加个保护的实现技术有难度么?再看看携程的处理方式:
图片
我不知道在编辑界面明文展示身份证号码能提升多少百分比的用户使用体验友好度 , 但安全性的差别就是0%和100% 。
今天在朋友圈看到一篇文章《央行科技司司长李伟:金融科技发展应重视个人信息保护》 , 我的案子刚好与文章里提到的部分内容应景 。 李司长在9月8日的发布会上提了三块内容:
推荐阅读
- 高通|路透:美国手机芯片巨头高通获特朗普政府批准向华为出售芯片 但只限4G产品
- 苹果手机,5G|外媒再放狠话!苹果12无愧最强旗舰机皇:芯片、拍照水准遭曝光
- 新机发布,华为手机|荣耀 V40 和华为 nova8 相机造型曝光:或 12 月发布
- 新机发布,红米手机|Redmi Note9开启预热 王腾说新机高像素别人总想借!
- 华为手机|Mate系列刚发布,P50pro曝光,看到配置后网友表示真香
- 科技良辰|大量5G用户吐槽:“换了5G手机,网速比4G还慢”
- 市场|多重因素作用 全球智能手机市场面临新一轮洗牌
- iQOO手机|120Hz高刷屏手机推荐!手游玩家必看 吃鸡上分美滋滋
- 苹果手机,小米手机|得分128!iPhone12Pro相机成绩出炉,排名不及华为和小米
- 手机芯片|三星S21曝光,120Hz高刷直屏+首发骁龙875,价格太感人