手机失窃牵出黑色产业链！普通人如何防范？

9月的一个傍晚，有着多年金融信息系统安全漏洞检测工作经历、网名为“信息安全老骆驼”的一位网友，突然收到了家人的求救信号：手机在小区门口被偷了。

不过是两小时的功夫，他家人的个人身份证、银行卡号等信息相继被窃取；多个移动支付APP的登录和支付密码被篡改；盗贼甚至还把他家人的银行卡和支付APP进行绑定，直接产生多笔贷款和消费记录。

当发现异常后，他很快冻结了银行卡，并挂失了SIM卡。但万万没想到，他遇到了强劲“对手”，对方以各种手段成功将他冻结的银行卡、SIM卡反复“解冻”“解挂”。

他把这次惊心动魄、与犯罪团伙斗智斗勇的经历，写成了一篇文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》；他以切肤之痛告诫大家，手机失窃，绝不仅仅是“丢一部手机”这么简单；他用血的教训总结了一套手机信息防护措施“宝典”。

行家遇到了“对手”

根据“信息安全老骆驼”在文章中的回忆，窃取其家人手机的犯罪分子，利用电信营业厅夜间无法营业的空档，通过手机SIM卡，利用短信验证码，从某个APP上获取到了他家人的身份证、银行卡号等信息，并破解了其多个移动支付APP登录信息。

仅仅是几个小时的功夫，损失远超他想象：某银行网银有5000元的消费转账记录；ETC信用卡有各种买卡和充值记录；新建多个支付APP账号，出现多笔贷款和消费。

按照他的复盘分析，在这一系列的作案过程中，犯罪团伙分工协作，有成熟的作案脚本。对方全程利用的都是电信公司、支付平台等机构的正常业务操作，只是把各个机构的“弱验证”的相关业务链接起来，最后形成巨大的破坏。

“弱验证”即在登录、密码重置等环节，过度依赖短信验证码，缺乏其他关键要素验证信息。而犯罪分子利用登录各个相关APP，通过拼补信息，形成了完整的个人信息数据概貌，达到盗取受害者资金的目的。

“经历了这次盗刷事件后，我才发现，相比黑客利用各种高深的技术漏洞攻击金融信息系统，更可怕的是，这种把每一项看似没问题的问题组合而成的犯罪，让人防不胜防。”他在后续总结时感慨道。

这篇文章一经发出，迅速上了热搜。事件中涉及的几家支付公司、运营商等机构也都主动积极联系他，进行消除贷款记录、赔付损失、道歉等事后工作。

而从这件案例，大众也读到了移动信息时代的隐患：手机一丢，个人身份证号、银行卡等信息就处于保护失效的状态。这不禁让人感叹：这要是普通人遇到这种事情，可能不仅损失更大，短时间内难有反击之力。

如何避免手机被盗后资金损失

一位银行信息安全从业人员坦言，移动互联网时代，个人信息几近“裸奔”。“在大数据时代，个人信息泄露早已泛滥。只要有你手机SIM卡，凭借验证码，很容易从网络平台追踪到与手机号绑定的身份证信息、银行卡号等。”

“围绕个人信息的黑色产业链早已出现多年，且呈现手段多元、运作专业等特点。其中，产业链的上游包括违法获取数据的各类App渠道出售方、以及贩卖信息的中介方；下游主要是信息购买方，利用这些信息进行电信诈骗、营销、金融诈骗等。”上述人士透露称。

实际上，“信息安全老骆驼”的经历并非个例。去年，上海警方就曾对外披露了一起类似的新型信用卡盗刷案。

根据警方披露，在侦破的这起案件中，犯罪团伙利用盗取的SIM卡，通过短信验证码的方式，登录多个出行平台，获取到身份证、护照号等信息；然后，伪装成用户，拨打银行客服电话，在报出受害人个人身份信息、预留信息后，重置银行APP登录密码，以实施犯罪。

令人吃惊的是，从盗窃手机到破解盗刷，完成上述一套操作，仅用时不到2个小时。

业内观点认为，应对手机失窃后那一连串复杂而专业的问题，不能期待人人成为安全专家，不过也不能心存侥幸，应及时挂失手机SIM卡，及时冻结银行卡，并尽快完成补换卡，否则会给犯罪分子提供可趁之机。

那么，对于我们普通人来说，一旦手机丢失或失窃，如何才能确保资金安全呢？

一些比较简单有效的防护措施：

1、给手机SIM卡设置密码；

2、给手机设置屏幕锁；

3、确保手机锁屏状态下发来的短信，无法看到短信验证码内容。

金融创新下如何保护个人信息

“部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时，一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质，这给金融监管提出新挑战。”央行科技司司长李伟近日在某公开场合上强调说，在金融科技发展的过程中也应重视个人信息保护。

另外，李伟还指出，重视个人信息保护，要善用数据要素价值。“部分机构在商业利益驱使下，过分追踪与收集用户‘数字足迹’，不当使用数据驱动式营销策略，无节制侵占用户私人空间，引起消费者反感与不适。”

可以发现，每一起侵犯公民个人信息案件的背后，都与个人信息泄露泛滥有关。目前国内在个人信息保护方面的法律体系还不完善，有关个人信息保护的规定散见于各部法律、司法解释、部门规章中，但惩处力度有限，威慑力不足。

业界期盼已久的个人信息保护法草案在近日召开的全国人大常委会会议上亮相。这意味着，个人信息保护即将有专门的统一立法，在个人信息保护方面形成更加完备的制度，提供更加有力的法制保障。

对此，网友们也表达了强烈期待：

据了解，草案共有八章七十条，对法律的适用范围、个人信息处理规则、个人信息跨境提供规则、个人信息处理活动中个人的权利和处理者义务，以及履行个人信息保护职责的部门等内容作出了具体规定。