文/賈敬華（媒體人）

　　“魔高一尺”，就要“道高一丈”，相關方面有必要根據新的犯罪特點去不斷修補Bug——守護好用戶的“錢袋子”是任何時候都不能推卸的責任。

　　近日，一篇一個多月前的舊文在朋友圈熱傳，讓不少網友大驚失色：過去丟手機，可能損失的只是一部手機的錢；如今丟了手機，可能搭上“全部身家”甚至因此背上貸款。

　　手機成了打開個人保險箱的“萬能鑰匙”

　　引發熱議的這篇舊文，是一位自稱信息安全專家“老駱駝”的人，根據自己的經歷寫成的。標題有些拗口——《一部手機失竊而揭露的竊取個人信息實現資金盜取的黑色產業鏈》（手機失竊黑產業鏈引關注 支付寶：黑產沒套到錢和信息），文章也有些專業門檻，但大致經過不難理解：手機被盜后，黑色產業鏈利用個人信息來盜取手機銀行、各APP賬戶資金，用被盜者身份在網貸平臺貸款。可以說，偷手機已經不是目的，通過手機來薅錢才是目標所在。

　　這一案例的特殊性在于，“老駱駝”本身對信息安全有所研究，因此不斷和盜竊團伙斗智斗勇。但從中，也暴露了個別APP、銀行和互聯網平臺的安全漏洞。雖然在輿論關注下，相關銀行和平臺做了緊急回應，也給“老駱駝”進行了賠付。但這卻無法撫平公眾的擔憂：像“老駱駝”這樣的專業人士在家人丟失手機后都疲于應對，我們這些普通人豈不是任網絡黑產“宰割”的小綿羊？

　　CNNIC最新數據顯示，截至今年6月份，國內網民規模9.4億，其中手機網民數量已經突破9億，占網民總數量的99.2%。正因如此，手機丟失引發的安全隱患才會屢次成為輿論熱點，因為“老駱駝”的切身經歷可能會發生在很多人身上。不同的是，很多人并不像“老駱駝”那么專業和幸運。

　　據悉，“老駱駝”手機丟失后，通過手機中的App，黑產組織獲取了大量個人信息，包括身份證號碼、銀行卡號等。更尷尬的是，在“老駱駝”機主本人口頭掛失手機卡后，網絡黑產組織竟騙取了運營商的信任，順利解除了機主本人的臨時掛失。于是，“掛失-解掛-掛失-解掛……”的循壞進行了“來來回回幾十次”。

　　解除掛失后，“老駱駝”的手機號可以正常使用。于是，黑產組織使用“老駱駝”的身份證信息在多個平臺開戶，并且在各個平臺申請了數目不等的貸款。

　　在手機高度滲透生活的當下，很多消費者習慣使用手機支付，手機使用不當也會引發各種安全風險。從網文揭露的情況看，手機盜竊者早就不再滿足于把偷來的手機刷機然后賣給二手市場，而是通過手機做出一連串的資金盜竊行為，而且在和被盜者拼手速、拼耐力。

　　雖然SIM卡、銀行卡、支付平臺等可以申請凍結，但由于一些網貸平臺簡單依靠個人信息即可貸款，甚至凍結也可以靠個人信息解凍，所以掌握了個人信息的盜竊者猶如掌握了“萬能鑰匙”，令人防不勝防。

　　這些年，很多銀行和互聯網平臺，也都在尋求便捷性和安全性之間的平衡。但便捷是加分項、安全是必答題；安全是“1”，便捷是后面的“0”，沒有安全的便捷，只會讓一些違法分子鉆了漏洞。從網文來看，不少銀行和互聯網平臺在保障資金安全方面的確有所作為，但還是存在個別漏洞，給了犯罪分子可乘之機。

　　面對愈加熟練和專業的網絡黑產組織，不能指望每個人都成“老駱駝”，在消費者提高安全意識之外，銀行和互聯網平臺顯然要承擔更多的責任。

　　核心問題是系統認人還是認信息

　　從“老駱駝”與網絡黑產博弈的過程來看，相關銀行和一些互聯網平臺存在一些安全漏洞，其中一個核心問題是，當個人信息暴露后，該如何辨別操作者是否是本人，也就是說系統認人還是認信息？

　　▲資料圖片，圖文無關。圖/新京報網

　　在“老駱駝”手機被盜刷事件中，把丟失的手機號掛失后，竟被黑產組織解除掛失了，這說明運營商的掛失流程有漏洞可鉆。對此，相關運營商客服處接受媒體采訪時表示：如需解除掛失，可以聯系客服提供登錄電信網上營業廳的密碼或者機主姓名和身份證號碼+上月撥打的三個通話號碼進行操作。

　　然而，“老駱駝”丟失的電信號碼被掛失后，確實被解除了掛失，合理的解釋就是黑產組織利用獲取的個人信息成功進行了解除掛失。顯然，電信運營商的掛失和解掛流程是有一些漏洞的。要想給消費者提供一個安全的手機號碼掛失功能，運營商需要梳理掛失的每一個環節，并且要增加更全面的身份驗證手段。

　　移動支付平臺同樣也有安全漏洞。比如，這次“老駱駝”手機丟失后，網絡黑產重新注冊了某支付平臺賬號，并關聯了手機卡。對此，官方的回應稱：黑產分子并沒有突破人臉識別，能注冊新號是通過其他渠道已掌握的身份信息和短信驗證碼，在常用設備上實現的。

　　從表面來看，官方的回應沒有不妥。可是，從技術角度來說，在常用設備上使用支付工具不需要人臉識別，這同樣是一個安全漏洞。意味著“個人信息”可以代替“本人”進行操作；而系統則無法判斷注冊賬號的人是黑產分子還是本人。

　　事實上，無論是銀行還是互聯網平臺，很難達到“盡善盡美”，對此公眾也能理解。網絡黑客、黑產的技術也會不斷迭代、不斷去挖掘新的漏洞；但“魔高一尺”，就要“道高一丈”，相關方面有必要根據新的犯罪特點去不斷修補Bug——守護好用戶的“錢袋子”是任何時候都不能推卸的責任。

　　另外，對于這類問題，相關平臺不妨設置“一攬子的解決方案”，讓用戶以簡單的辦法來給保險箱上一把鎖，而不是到處去上鎖。例如，當用戶的SIM卡掛失后，說明相關信息已經暴露，此時與手機號碼相關的任何業務如支付平臺、手機銀行、網貸平臺等等，都不妨設置異常提示，此時便不宜采取身份證號、手機驗證碼等單一信息驗證的方式，而是要用能夠證明是本人的方式或是用線下的方式來驗證。

　　一名“信息安全專家”，手機丟失后被冒名網貸，銀行卡也被盜刷，這個教訓敲響了警鐘：要想杜絕網絡黑產，用戶的安全意識是一方面，打擊違法犯罪行為是另一方面，相關平臺進一步織密信息保護之網、堵住風控漏洞則是最關鍵的。

掃二維碼 3分鐘開戶 緊抓股市暴漲行情！

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：潘翹楚