近日,一场“手机丢失后的资金保卫战”这一事件引起了整个网络的关注。了解事件的细节和可追溯性分析,请阅读之前发布的信安老枪被盗资产盗窃,扒手有点“狂”》一文。
一方面,有10年网络攻防经验的信息安全专家“老骆驼”,一边分工明确不达目的不罢休的黑产团伙。在双方的招聘和拆迁中,整个互联网行业也经历了安全考验。
根据后续回应,涉及到的平台中仅两家实现有效风控:财付通和支付宝。其中财付通损失陆续被系统追回,但找不到客服是扣分点,支付宝没有资金损失,算是及格。
电信运营商、社保运营商利用偷来的手机套出个人信息,窃取银行账户资金,申请网贷,转移资产,app、网贷平台等平台暴露了安全隐患,无形中为黑产提供了跳板:
1、四川电信远程挂失和解挂业务流程存在问题,未能及时挂失手机卡,导致后续黑产品通过四川人设厅APP快速获取失主关键信息(姓名、手机号、身份证号、银行卡号)。
2、黑生产利用原手机号码和关键个人信息注册支付软件新账户,绕过京东、苏宁等平台漏洞完成贷款申请和资金转移,最终导致美团贷款产生5000元贷款,ETC信用卡产生各种消费记录,如购卡和充值。
被点名的平台陆续回应,老骆驼在微信官方账号更新后续处理方式:
美团消除了贷款记录,苏宁金融赔偿了相关损失。四川电信也打电话道歉,称被黑客攻击“男女朋友闹矛盾”哄骗,导致反复挂失和解挂。
受害人“老骆驼”发布的事件程序进展
支付宝安全实验室回应了老骆驼关于黑产伪造人脸完成新账户注册的推测:
黑产品没有在支付宝上设置任何资金和信息,也没有突破人脸验证。通过其他渠道掌握的身份信息和短信验证码可以注册新号码。
支付宝相关部门回应
随着移动支付的发展,手机不再是一种简单的通信工具,而是具有更多的个人信息终端功能。丢失手机不仅意味着物理损失,而且还意味着存储在里面的信息。
老骆驼的经历令人印象深刻“后背发凉”的原因,正是因为只要有一家失守,就有可能全盘皆输。他在回应中总结:“黑产全过程采用正常的业务操作,只是各机构‘弱验证’连接起来,就形成了巨大的破坏。”
互联网平台的安全性取决于整个行业的防治程度。盗窃刷事件相当于对整个行业进行压力测试,暴露的桶短板需要尽快填补防治水位。