近日，《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文在朋友圈刷屏，文章详细讲述了拥有十多年网络攻防经验的专家“老骆驼”与手机黑产团伙展开的一场“资金攻防战”。

这场“攻防战”，确实称得上是“惊心动魄”，而其背后隐藏的“盗窃手机——盗取个人信息——获取贷款——转移资产”这一手机黑产链，更让人“不寒而栗”。

黑产团伙盗取手机后，取出SIM卡放入其他手机用于验证。接着，黑产团伙通过其他平台快速获取失主关键信息，利用原手机号和关键个人信息注册支付软件新账号，绕过支付平台漏洞，完成贷款申请和资金转移。整个流程不过短短几个小时。

当前，随着移动支付的发展，手机早已不再是简单的通讯工具，而是更多地充当了个人信息终端。手机黑产早已在人们不知不觉中瞄上了移动支付。近几年来相关事件频现。“老骆驼”们的遭遇，折射出了当前需要迫切解决的个人信息保护问题，也给互联网平台的安全性打了个问号。

手机被窃带来疯狂盗刷

拥有十多年网络攻防经验的“老骆驼”怎么也没有想到，“个人信息被盗、资金遭转移”的事儿会发生在自己身上。根据他在文中的自述，此次盗刷事件的核心并不复杂。

9月4日19点30分，“老骆驼”的妻子手机丢失后，并未第一时间挂失手机SIM卡。“这个不果断的决定，导致了后续悲剧的发生。”“老骆驼”在文中称，黑产团伙在窃取手机后，将SIM卡取出放入其他手机，用于接收短信验证码。随后，黑产团伙登录当地社保app，获取了失主的关键个人信息。

至此，失主的手机号码、姓名、身份证号码、社保金融卡的银行卡信息均被获得，下一步，黑产团伙利用这些信息开始了疯狂盗刷。

21点24分，“老骆驼”发现手机账户在云服务中被解绑；21点48分，手机SIM卡经历了一轮失主挂失和黑产团伙解除挂失；9月5日0点23分，被盗手机锁屏密码被解开，微信、支付宝等均被修改密码。

随后，黑产团伙在支付宝、美团、京东、财付通、苏宁金融、百度等多个平台伪冒开户，实施盗刷，申请网贷并转移资产。

9月5日早晨5点，“老骆驼”通过中国电信网上营业厅，关闭了短信功能，“中止了他们后续的犯罪行为”。此时，距离手机被盗不足10小时。

文章发出后，被点名的平台陆续回应。支付宝相关团队回应称，黑产团伙未突破人脸识别功能，未在支付宝套到钱和信息，同时承诺资金被盗全额赔付。

“老骆驼“对此也发文更新了事件后续进展：“事件中涉及的几家支付公司都积极联系到我，美团的贷款记录消除了，苏宁金融把我们损失的几千都赔付了。银联云闪付的赔付也已打电话通知取消。”他同时表示，四川电信也主动联系致歉，解释称黑产团伙跟其客服说是男女朋友闹矛盾，才会出现反复挂失与解挂的情况。

回顾整个事件，银行、运营商、移动支付、网贷平台等均在不同程度上暴露出安全隐患，这些隐患恰恰就是黑产团伙盗取资金的“跳板 ”。分析完整个犯罪过程后，“老骆驼” 在文中这样感叹：实际上，这个环节里的每一个点，放在对应的业务节点里都不是什么大问题。但手机丢失后，把所有这些点串起来，问题就大了。”

运营商远程挂失、解挂业务流程是否合理

梳理“老骆驼”妻子手机被盗刷的经历，一个关键点在于：手机丢失后，他通过致电四川电信客服挂失手机卡，但不久之后，黑产团伙致电电信客服，竟然可以轻松解除挂失。手机卡被解除挂失，意味着黑产团伙可以通过手机短信验证的方式登录了各大借贷App。因此，“老骆驼”通宵与黑产团伙就“挂失、解挂”问题，来来回回几十次，也未能阻止“解除挂失”成功，直到“老骆驼”登录手机网上营业厅，关闭了短信功能，才暂时制止了黑产团伙的犯罪。

“老骆驼”认为，四川电信挂失、解挂业务流程存在漏洞，他在文中表示：“机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪，要求停止解挂行为，话务员还是以业务话术来敷衍客户：“对不起，我们的挂失解挂有固定的业务流程，只要对方能提供服务密码，就可以正常解挂。”

事后，四川电信致歉称，黑产团伙以“男女朋友闹矛盾”为由哄骗客服，才会出现反复挂失与解挂的情况。

10月14日，《法人》记者在四川电信客服处获悉，目前，提供机主姓名、电话号码、上个月拨打的三个通话号码或者电信网上营业厅密码可以解除挂失。不过，挂失业务办理后，针对线上渠道，解挂业务24小时内仅能办理一次，有特殊情况需要本人持有效证件到营业厅解挂。

北京市京师律师事务所律师孟博向记者表示，依照《中华人民共和国电信条例》规定，电信业务经营者应当按照国家有关电信安全的规定，建立健全内部安全保障制度，实行安全保障责任制。

“相较于一般用户，电信业务经营者在电信服务领域处于优势地位，其应当提供合理的远程挂失、解挂业务，保障用户的合法权益，比如发现电信服务可能被他人利用并可能危害用户的合法权益时，采取更为严格的身份识别、验证程序来防范损害结果的发生等。”孟博表示，从相关报道和当事人的陈述，以及后续所形成的后果来看，相关电信公司并未妥善履行相应义务，当事人受到了损失。

互联网平台应补齐“安全性”短板

互联网时代，获取身份证信息可能比你想象中还要容易。

“老骆驼”称，黑产团伙运用手机号和验证码快捷登录四川人社App，点开“电子社保卡”，短信验证码重置社保密码，失主姓名、身份证信息、证件照片、银行卡号就能轻而易举地被获取。

实际上，不只是四川人社App，不少地方社保App、商旅订票软件等，通过验证码登录后，均能看到自己的姓名及身份证信息，未做任何加密处理。

“老骆驼”的遭遇并非个例，他表示，文章发布后，有几个网友留言称自己经历过一模一样的场景，损失最严重的一位被黑产团伙以线上贷款的方式盗刷了68万，目前还在索赔中。

2019年9月，上海黄浦警方也对外披露了一起新型信用卡盗刷案。嫌疑人盗窃手机后凭SIM卡成功登陆携程、去哪儿等出行软件，从中获取完整的个人身份信息，进而实现盗刷操作。

“老骆驼”认为，这些包含身份证信息的APP和网站，对于身份证号码信息泄露风险并非不知道，只是在权衡“用户体验”后，放弃了出于安全性考虑的种种复杂设置，未能对一些敏感数据进行加密保护，而这些技术得以实现并不困难。

在9月8日举办的2020年中国国际服务贸易交易会北京金融科技成果专场发布会上，央行科技司司长李伟提到，金融科技发展、金融业数字化转型应重视监管科技应用，增强数字化监管能力。部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时，一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质，这给金融监管提出新挑战。

回顾此次盗刷事件，金融系统、支付平台、网贷平台等像在“酣睡”，在资质审查、用户隐私和财产保护等方面，似乎都需要补齐短板。

北京云嘉律师事务所律师赵占领认为，此次事件反映了电信、社保、金融系统各类企业或机构在个人信息保护方面，或多或少都存在一些漏洞。这些漏洞可能造成用户部分个人信息被泄露。

“此次事件还说明一个问题，像电信、金融、社保、互联网等各平台和机构，不仅要加强个人信息保护，还需要有整体的观念。如果某一家企业、某一类机构的个人信息保护存在漏洞，都有可能对其他领域用户的个人信息泄露造成严重的隐患，进而可能会导致用户遭受财产损失。因此，个人信息保护需要各类机构都提高保护水平，形成一个整体的保护机制，才有可能堵住各种漏洞。”赵占领进一步表示。

以强监管应对黑产猖獗

近年来，手机黑产猖獗，在移动支付领域更是如此。即使手机并未丢失，用户信息安全及财产安全也常常受到威胁。

360手机卫士、360政企安全、中国信息通信研究院联合发布的《2020年上半年度中国手机安全状况报告》显示，今年上半年，360手机先赔共接到手机诈骗举报1561起，其中提交理赔申请的诈骗举报为776起，涉案总金额高达778.9万元，人均损失10037元。

腾讯手机管家发布的《2020年上半年手机安全报告》指出，数字化浪潮下，不法分子也搭上互联网科技“快车”，形成从网站源码搭建、第三方App利用、信息拦截，甚至海外“销赃”渠道等专业化、产业化、规模化的诈骗集团。

就以往侵害个人信息的犯罪案件来看，个人信息泄露涉及银行、工商、电信等诸多行业，涉案范围广、规模大。手机信息安全问题的严重性进一步暴露，加强个人信息保护的任务更加迫切。

赵占领表示，目前在公民个人信息保护方面已经有了很多法律法规，比如刑法规定有侵犯公民个人信息罪，网络安全法规定了网络个人信息的保护。还有一些部门规章、国家标准、 行业标准规定的网络个人信息。在其他不同的领域，有些行业主管部门也制定了个人信息保护的相关规定。

个人信息保护法草案已于10月13日在十三届全国人大常委会第二十二次会议上首次提请审议。

但赵占领认为，目前的法律、法规、标准通常都规定个人信息的收集者，依法需要采取相应的手段和措施来保证所收集用户的个人信息安全，防止因为自身的原因，导致用户的个人信息泄露，否则需要对此承担民事责任和行政责任，包括向用户承担赔偿责任，接受相关监管部门的行政处罚等。

“因此，我认为最关键的问题是加强执法，加强监管。”赵占领说，“不能把所有的希望都寄托在个人信息保护法的出台之上。如果不解决执行的问题，仍然不能提高整个社会个人信息保护的水平。”

回到个人层面，普通用户应如何尽量避免被黑产团伙窃取个人信息呢？一位从事网络安全工作的人士向记者表示，重要且容易被忽视的一点是，要给手机设置SIM卡卡锁。“很多人都会给手机设置屏幕锁，但设置SIM卡卡锁的人并不多。设置SIM卡卡锁之后，一旦手机丢失，即使犯罪分子将SIM卡拔下插入其他手机，也无法正常使用和接收验证码。”以苹果手机为例，用户可以通过“设置-蜂窝网络-SIM卡PIN码-更改PIN码”进行设置。华为手机则可以通过“设置-安全和隐私-更多安全设置-加密和凭据-设置卡锁”，选定手机卡后，启用密码，再选择修改密码，完成手机卡的密码设置。

这位网络安全人士强调，但这样做并非万无一失，手机丢失后，一定要第一时间挂失SIM卡，阻断犯罪分子通过手机号进一步获取个人信息的途径。另外，如果不挂失SIM卡，除了可能会遭遇盗刷操作外，还有可能被犯罪分子用来进行诈骗。

此外，在网络营业厅关闭短信服务，也可以进一步防止犯罪分子通过验证码修改支付密码、办理贷款等。同时联系银行冻结所有银行卡，换掉银行卡预留手机号码，避免不必要的损失。