来源：商业周刊中文版（ID：businessweek）

　　这不是一起普通的手机丢失案件，连民警都表示这是“不可能”的案件。近日，《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文刷屏网络。

　　由于家人手机丢失，该文章记录了作者“老骆驼”与一伙专业老练的、利用窃取个人信息盗取他人银行账户资金的犯罪团伙斗争的经历。“老骆驼”自称有10多年网络攻防工作经验，多年金融信息安全服务从业经历。但在此一战中败了，信息被泄露、被贷款、被转账，只是“败得没那么惨而已”。

　　那么手机丢失后，应该做的第一件事是什么？在手机丢失前，我们又能做些什么来避免损失？为什么风控专家说“你这个事情是个好事”？苹果手机更安全吗？人脸识别能被他人通过吗？

　　回忆从头到尾的细节，“老骆驼”逐个分析了对方的作案流程：

　　1.获取身份信息修改了运营商服务密码

　　2.短信验证码修改华为密码

　　3.通过刷机或者抹掉数据的方式进入手机

　　4.用掌握的身份信息注册支付平台新账号

　　5.通过支付平台使用受害者原账号申请贷款

　　6.通过线上、线下完成消费

　　在这一系列过程中，犯罪团伙的特点：

　　1. 全程用的都是正常的业务操作，只是把各个机构的“弱验证”的相关业务链接起来，形成巨大的破坏；

　　2. 团队分工协作，有成熟的作案脚本，并且关键环节有多个备用方案。

　　“老骆驼”在手机丢失后，立刻致电电信客服挂失SIM卡，但不久之后，疑似盗取手机嫌疑人又致电电信客服，将该SIM卡解挂。这一状况引起了网友广泛关注。在当时情况，四川电信客服称，“只要对方能提供服务密码，正常就是可以解挂的”。同时黑产以“男女朋友闹矛盾”哄骗，导致反复挂失与解挂。一般人认为挂失之后，应该凭身份证到营业厅才能解除挂失，运营商的挂失、解挂服务存在漏洞。

　　北京市盈科（深圳）律师事务所股权高级合伙人朱逸聪表示，电信运营商在防范和监管非法使用码号资源上占有绝对优势，在发现电信服务可能被他人利用并可能危害消费者的合法权益时，理应采取较高门槛的身份识别、验证程序来防范损害结果的发生。本次事件中，电信业务员按照固定的业务流程对客户的挂失进行解挂的行为，遵循了行业标准，但该标准是否存在服务缺陷，可供讨论。

　　任何一家机构在过程中所涉及的业务，在不关联在一起的角度上看，都是小问题甚至不算问题。经过此事之后，四川电信对电话挂失和解挂的这一环节进行了调整；涉及身份信息泄露的移动App等，密码找回功能对短信验证码过度依赖，缺乏其他要素验证，其次就是涉及金融的敏感信息的保护不足。

　　“老骆驼”在文中略带调侃地借用风控专家的话：“其实你这个事情是个好事，在这种新型犯罪大量爆发前用较低的代价让大家都重视和关注起来，各机构采取有效的措施，避免后面造成更大损失后才去‘救火’的局面”。

　　SIM卡挂失失败，犯罪团伙利用掌握的身份信息在支付宝、美团、京东、财付通、苏宁金融、百度等多个平台被伪冒开户消费等操作。事后“老骆驼”表示，事件中涉及的几家支付公司都积极联系到自己，美团的贷款记录消除了，苏宁金融把损失的几千都赔付了。

　　支付宝安全团队负责人作出回应，根据账号复原了支付宝相关的情况，黑产在支付宝这里没套到钱和信息；支付宝承诺资金被盗全额赔付，包括手机丢失导致的。

　　该负责人同时澄清了两个事实：黑产并没有突破人脸识别：能注册新号是通过其他渠道已掌握的身份信息和短信验证码，在常用设备上实现的；黑产不是通过快速绑卡获得银行卡号的，而是通过输入用户的银行卡卡号+预留手机的短信验证码绑卡的，卡号是黑产通过其他渠道获得的。建议大家单独为SIM卡设置密码，能在一定程度上防止黑产接收验证码。

　　目前获得短信权限的情况下比较容易获取的如各类连锁酒店App（如华住、锦江）、商旅订票类（如去哪儿），这些包含身份证信息的App和网站，在常用旅客列表中，对身份证信息进行了屏蔽显示，但点击进入信息编辑界面时就明文展示了。

　　当一个人所有利益和关系，都集中在一部手机上的时候，也是最危险的时候。网络威胁将成为最大的安全威胁。360集团董事长周鸿祎认为，数字化将带来前所未有的安全风险，10月12日，他在第三届数字中国建设峰会上表示，“网络安全应该成为新基建的基建。”他表示，网络安全不再是附庸，而是数字化的基础，把网络安全作为国家、城市和企业数字化转型，发展数字经济的先决条件，没有科学的安全体系规划和安全能力建设，数字化就相当于“裸奔”，跑得越快，就越容易造成悲剧性的灾难。

　　个人信息保护早已成为广大人民群众最关心最直接最现实的利益问题之一。2019年起，个人信息保护法立法提速。10月13日至17日，个人信息保护法草案将提请在十三届全国人大常委会第二十二次会议审议。

　　业内人士指出，首先，手机一定要设置屏幕锁，大部分手机的屏幕锁没那么好破解，如果没法暴力破解，那么黑产团队只能使用新设备插卡，不少操作会受到限制。其次，很多人忽略了一点，要给手机设置手机SIM卡卡锁，这就让使用手机卡也需要一个密码验证，这样就算手机卡被拔下来查到其他手机里面，也没法使用正常收到验证码了，最后，确认手机被偷之后，第一时间挂失手机卡，然后冻结所有银行卡，不要抱有侥幸心理，一个疏忽一个懈怠，钱就会被转走，而且这种一般没法追回钱款。

　　“老骆驼”也强调，丢失后应第一时间立即挂失手机卡，后面的事情根本也就不会发生了，只怪当时自己报了侥幸心理。他还提醒到，可以通过设置，确保手机锁屏状态下来短信无法看到短信验证码内容。相比安卓手机，如果使用的是苹果手机遇到相同的情况，也不一定更安全。犯罪分子目的是手机卡，当然抹除数据或者刷机后进入原手机也是其避开支付软件风险控制策略的一个手段。但苹果手机如果在可越狱的版本下，也是可以通过隐藏ID的方式刷机后进入再安装App进行操作。所以“哪种手机更安全”可以忽视，设置SIM卡密码才是关键。