转自公共号原文点击进入
9月9日，我在经历了与一个专业黑产团伙的几天对抗之后，新建了这个微信公众号，根据自己搜集整理分析的结果发表了《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文，这篇文章发表后引起的轰动效果，完全超出了我的预期。不想原本只是写给小区业主群的案件记录分析结果一夜间成了网络热文，也答应过网友，事件有了新的进展就汇报给大家。

在今天下午，事件中涉及的几家支付公司都积极联系到我，美团的贷款记录消除了，苏宁金融把我们损失的几千都赔付了。由于美团贷款的记录消除，实际上还导致苏宁金融赔付金融比他造成的损失多了300元，已经联系苏宁金融进行退款。银联云闪付的赔付也已打电话通知取消。对于赔付金额，该还我们的一分都不能少，但多的我们也一分不多要。

发上一篇文章的时候，黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息推论判断出来的，文章的发表也引来了各方注意，提出了个别文章中推论出错的地方。例如人脸识别的绕过，支付宝在进行业务设计时，对在原手机上创建并登陆的子账号，在实名认证时匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的，这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此，人脸识别的绕过确实错怪他们了，这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录，推测是为了不触发支付宝的风控规则。

至于四川电信，今天也主动联系到我老婆，对那晚的事件进行道歉，也解释了说对方当时跟他们的客服说是男女朋友闹矛盾，只能说犯罪分子很狡猾，但对于四川电信的远程挂失和解挂的业务流程设计，站在安全的角度上考虑，我还是不能认可。中间有个小插曲，我为了调查案发时我的短信详单中一条未知的短信记录，再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司，客服拒绝了我。虽然未能查成，但说实话我反而是高兴的，至少说明对客户信息保密的业务原则还是有效的。

再说下盗取手机进而实现银行卡盗刷这个案件，自从文章发布后，也有几个网友在微信公众号上留言，说自己经历过一模一样的场景，只是受损金额都比较大，最严重的一位有68万的线上贷款，目前还在索赔中。在网上找类似案例的时候，发现2019年9月有一篇新闻

《凭SIM卡登陆各软件！上海警方披露最新型盗刷手法》，大家有兴趣可以搜一下，看新闻介绍的犯罪手法，基本上和我遇到的这个案件是一致的，只是获取身份信息的途径不一样，我上篇文章中也提到，犯罪分子精心设计的这么一套犯罪脚本，在身份信息获取这种比较容易的环节上，一定是会有备用方案的，目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP（如华住、锦江）、商旅订票类（如去哪儿），这些包含身份证信息的APP和网站，对于身份证号码信息的泄露风险并不是说不知道，只是在业务的“用户体验”面前，安全已经不算个问题了，毕竟我这种案件的数量还是不多。以去哪儿为例，在常用旅客列表中，对身份证信息进行了屏蔽显示，但点击进入信息编辑界面时就明文展示了：





对敏感数据加个保护的实现技术有难度么？ 再看看携程的处理方式：



我不知道在编辑界面明文展示身份证号码能提升多少百分比的用户使用体验友好度，但安全性的差别就是0%和100%。

今天在朋友圈看到一篇文章《央行科技司司长李伟：金融科技发展应重视个人信息保护》，我的案子刚好与文章里提到的部分内容应景。李司长在9月8日的发布会上提了三块内容：

一是重视个人信息保护，善用数据要素价值。

二是重视数字鸿沟问题，践行数字普惠金融。

三是重视监管科技应用，增强数字化监管能力。

其中第三部分提到：部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时，一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质，这给金融监管提出新挑战。回看现在各大支付APP热推的”快捷绑卡”业务，相比之前的银行卡绑定流程，是简单快捷了一些，但金融业务，是越简单快捷越好么？昨天我的文章火了后，很多邻居说忘记了自己在哪家银行开过银行卡，想找出来注销掉，问有什么办法。



最后再谈下我上篇文章中提到的让大家设置手机SIM卡密码，主要有几点考虑



手机锁屏状态下对方无法使用短信功能；

如果更换手机卡至新手机则需要输入SIM卡密码；

要解锁SIM，需要从运营商获取PUK码；

要获取PUK码，需要提供身份信息进行验证

未解锁手机的情况下加上SIM卡加锁，对方无法知道你的手机号码，这样断了获取身份信息的路

当然，这样一个安全闭环里也还是有些风险，例如利用GSM中间人攻击获取到号码，但这类一般人遇到不的对普通民众来说可以不用考虑。第一时间挂失手机卡，这一点还是必要的行动，也希望运营商在我这个案件之后，会作出相应的改变。

俗话说“靠人人跑，靠树树倒”，还是靠自己靠谱些，按现在移动金融业务的发展趋势，将来会面临更加严峻的安全挑战；而且金融业务用到的部分关键要素信息，如手机号码、身份证号码在常规移动互联网业务中的交叉使用，数据泄露的风险将越来越大。虽然部分金融机构都给出了被盗刷后的赔付承若，案件发生在自己身上后你能否符合赔付的标准条件不好说，耗费大量时间精力在这件事上面，也是很心累的。

此外，上篇文章中我按我自己手机的操作流程步骤作为SIM卡设置密码的例子，后来发现很多网友可能由于手机品牌型号差异导致操作失误而锁住SIM卡，对此给大家造成的不变给大家道个歉，考虑不周啊。大家还是在网上搜索自己的手机对应品牌的SIM卡密码设置然后按照详细教程一步一步操作，如遇到SIM卡密码验证失败后出现PUK码输入要求，可联系运营商获取PUK码。请一定小心谨慎，必要时可到运营商营业厅设置。

自己长期从事金融行业信息系统的安全漏洞检测，也曾多次被自己发现的可直接影响账户资金安全的漏洞而震惊，但经历了这次盗刷事件之后我才发现，相比黑客利用各种高深的技术漏洞攻击金融信息系统，更可怕的是这种把每一项看似没问题的问题组合而成的犯罪，让人防不胜防。也希望今后在工作之余，能有时间把自己在金融信息安全行业的专业知识，用大家都能看得懂的方式写出来，提高大家的安全防范意识。

两篇都看完了，给楼主点赞。

点开链接 玩起超级马里奥

很早以前 就给自己手机卡设置了密码

手机丢了，第一时间竟然不是想着挂失手机号码，而是觉得手机还能找回来，还是干了十几年信息安全的同志，佩服了。

不明白国内为什么不开放esim

丢手机第一时间注销，多简单的事情

已经晚上，营业厅关门了
只能通过电话挂失

建议认真读一下上篇文章，再评论。
当事博主用亲身经历，告诉大家，加SIM锁/手机锁屏，形成闭环是有多重要。

動了國內運營商的奶酪，用戶不變號轉換運營商變得操作簡單易行而且快速，這會嚴重增加用戶的流動性，幾個運營商全都怕這個，一個攜號轉網折騰了多少年才剛有點眉目，直接上esim，誰也受不了，尤其現在都是搶5G業務和用戶的時期

是那个ping码？

请问未越狱的新款苹果手机+sim卡设了密码（假设未被猜破）的情况下是否可以回避楼主遭遇的所有盗刷盗冲？

没看文章就回帖不是个好习惯，

楼主文章说过了半夜挂失多次不成功啊

感谢楼主亲身说法。感谢楼主提供的对策。
大数据时代，如保有效保护自己的敏感信息，还是任重道远呀。

作者自己说的啊，丢了两个小时后发现手机能拨通，才想起挂失，不过这时候服务密码已经被改了。要是当时丢了就挂失，可能后边没那些麻烦事情了！

等等 服务密码可以通过电话客服的吗？

广西电信
百度认证:中国电信股份有限公司广西号百信息服务分公司... 2020-04-19
关注
以电信2113为例，电信用户可以通过电信网上营5261业厅查询到puk密码的，具4102体如下：
1、打开电信网上营业厅，然后点击支1653持与帮助
2、然后选择常用查询，点击puk码查询，登录自己的手机号后即可查询到自己的puk密码了
如果安卓手机可以不关机绕过登陆锁屏之类，那PIN密码也是形同虚设了啊

是啊 当时就担心电话号码被乱用

微信文章已经404了吧

刚打开朋友圈，还在

我放错链接了，已修改。

广东移动APP，登录后我的信息栏，PUK码就明晃晃的躺在哪里

前置条件是你的sim卡没被锁。坏蛋拿了你的卡试pin码失败卡死还能登录你的移动app吗？

网贷这一步真TMD太恶心了。。。。

问题在于现在手机本身的指纹、图形或数字锁屏都不保险.......

设了pin码和手机锁屏密码后，拿到手机不能干什么事情，如果没有pin码就能将sim卡换到其他手机上使用。

请教一下，如果手机换成非安卓阵营的，比如说果子机，会不会好些？

这个必须顶一下。
看了楼主第一篇文章后，马上给自己的sim卡设置pin码，结果还把SIM卡锁了。
然后打10086，验证身份证就可以拿到puk码。
也就是说知道了身份证，其实pin码也是不安全的。
这点也要注意。

立马给自己的sim卡加锁

电话号码都不知道吧

吓得我赶紧把存在手机里面的身份证照片，银行卡删掉。。。赶紧设置SIM密码。。

点赞....反正我银行卡也没钱,贷款也带不了,啥都不怕