近日有新聞報道，深圳的何先生發現，自己的手機曾經被一個陌生號碼接管，騙子接收了短信驗證碼，用何先生的京東賬戶白條消費和申請貸款，一夜間洗劫了5萬多元。

　　然而，這個事情為什么會發生？何先生被盜刷的原因是什么？客戶又應該如何防范？能否從根本上解決問題？

　　讓我們像破案一樣，根據報道中的幾個細節來，還原事實真相。

　　360手機公司經過與何先生聯系溝通，并與移動運營商合作取證調查，現已查明何先生賬戶被盜的過程，公告如下：

　　一、1月30日，上海一個IP的設備利用弱密碼和社工庫密碼，頻繁嘗試破解何先生的360OS云服務賬號，試錯密碼的間隔時間最短為3秒鐘，最長為10分鐘。由于何先生的360OS密碼較簡單，最終被成功登陸賬號。

　　二、2月3日凌晨，IP位于遼寧的犯罪嫌疑人登陸何先生的360OS云服務賬號，利用“回復短信”接口把何先生號碼綁定。犯罪分子又利用云服務“找手機—銷毀資料”功能，每隔5、6分鐘就發出一次“銷毀資料”指令，使何先生的手機持續處于離網狀態。

　　三、在何先生手機被“銷毀資料”期間，犯罪嫌疑人接收了何先生的短信驗證碼，入侵其京東賬號用白條消費，造成實際損失1000元；再用金條貸款52000元，轉入何先生名下的中國銀行卡中，隨后轉賬50000元到犯罪嫌疑人賬戶，又用ATM機無卡取款2000元。何先生的損失總計達到53000元。

　　在此事件中，何先生的銀行卡號、取款密碼、預留手機號及身份證號（在網絡個人信息交易黑市中俗稱為“網銀四大件”）已通過其他途徑泄漏并被犯罪嫌疑人所掌握，再利用短信驗證碼，犯罪嫌疑人竊取了何先生銀行卡資金。種種跡象表明，這是一種由團伙作案、分工嚴密的新型詐騙手段。

　　案例中涉及的幾個高科技新業務

　　我們先看看這個案例中的幾個高科技新業務名詞：運營商提供的副號碼、智能手機云服務-銷毀資料、京東白條/金條賬戶貸款。

　　運營商提供的副號碼，是在一張SIM卡上開啟多個號碼。當你不希望自己的主用號碼被對方了（sao）解（rao），卻需要進行電話/短信溝通時，就可以給對方一個副號碼來聯系，等到溝通完再取消即可。

　　這項業務與網購、房產租售、快遞、打車等場景的適配度非常好，廣受客戶歡迎，并結合客戶需求增加了一些衍生功能，比如主副號碼可以在線隨時切換，副號碼來電提醒等。（參見2015年的文章《“一卡多號”的幾種變化，你造不？》）

　　智能手機云服務這個名字，一聽就非常高大上，各家產品形態和特點也不盡相同，360提供的云服務自然更強調安全性。360云服務將通訊錄、照片、短信及通話記錄等個人數據備份與恢復于一身，而且操作非常簡便，可以一鍵自動備份與恢復手機中的重要信息。使用云服務最大的好處就是對數據保護，即使換機換號的情況下也不用擔心數據的丟失。

　　考慮到不同客戶的需求，360云服務也有一些"獨門暗器"，萬一用戶手機丟了怎么辦？可以通過云的方式在遠程"銷毀資料"，原有手機的持有者拿的是一塊廢鐵，也就沒有信息泄露的風險了。

　　京東白條/金條賬戶貸款，都是"京東金融"旗下的產品，在"互聯網+"的發展大勢之下，借助于京東在電商方面的積累，京東金融不僅幫客戶解決購物場景，還為客戶提供了理財、信貸等服務。

　　最初，"京東白條"是為客戶提供"先消費，后付款"的支付方式，改善客戶的購物體驗。后來又推出了現金借貸產品，就是京東金條，這個業務是為信用良好的白條用戶提供現金借貸服務，是白條信用在現金消費場景下的延伸。（最新消息，京東金融旗下的"白拿"業務被叫停了。）

　　場景重現

　　據報道，事主何先生的云服務密碼是弱口令，于1月30日被"撞庫"，就是被犯罪嫌疑人試了出來。這就意味著，犯罪嫌疑人可以用何先生的身份使用360云服務。

　　2月3日凌晨，犯罪嫌疑人先用自己的手機向何先生的號碼發送副號碼綁定申請，再登錄何先生的云服務賬號，用"回復短信"的功能發送確認短信，完成了主副號碼綁定。這樣何先生的號碼就成了犯罪嫌疑人手機的"副號碼"。

　　接下來，犯罪嫌疑人在360云服務平臺上發起"銷毀資料"功能，導致何先生的手機一度處于關機離網狀態，無法接收到任何信息。與此同時，犯罪嫌疑人以何先生的手機號碼作為ID登陸京東，京東平臺的短信驗證碼發送不到何先生的手機上，于是轉到何先生的手機"主號碼"，也就是犯罪嫌疑人的號碼上。

　　此時，犯罪嫌疑人能夠冒用何先生的名義在京東上操作了。他先是使用"京東白條"消費，造成了大約1000元的損失，之后就以"信用良好的白條用戶"身份申請金條貸款52000元。

　　按照京東的業務規則，貸款必須打到客戶自己的賬戶上。但這重保障手段，也沒能挽回何先生的損失，因為此前犯罪嫌疑人已經得到了他的中國銀行卡的卡號、取款密碼以及身份證信息等，因此當貸款轉到何先生卡之后，犯罪嫌疑人將資金以轉賬和無卡取款等方式，將卡上資金全部轉走。

　　當然，這時如果有驗證碼，信息也如法炮制被轉到犯罪嫌疑人的手機上。

　　一夜被盜5萬元，誰的錯？

　　表面來看，運營商、360、京東，甚至包括銀行，誰也沒有做錯什么。

　　從運營商來看，整個過程完全符合一個正常用戶的行為邏輯：先用一個號碼發起綁定副號碼，被綁定的手機也發送了回復確認短信。平臺發送驗證碼，運營商也及時準確地將信息傳遞給接收手機；當副號碼關機短信發送不成功時，為保持通信暢通將信息轉發至主號。

　　360云服務看起來也挺冤：通過云服務回復短信是為了方便客戶，結果反而成了犯罪分子冒用客戶身份的平臺和工具；本來銷毀資料是為了防止用戶手機丟失時造成客戶的信息泄露，沒想到卻成了幫兇。而因為用戶的弱密碼被攻破，所以360無法判斷登錄上來的是李逵還是李鬼，被執行銷毀資料的是丟失的手機還是真正的用戶。

　　京東的金融創新，讓一個卡里沒錢的客戶損失數萬；但從京東來看，對用戶的身份驗證全部通過，發起的業務又合規合法，有什么理由攔截請求不提供服務？銀行的網上轉賬和無卡取款更是如今非常普遍的服務手段，也沒有錯啊。

　　如此看來，似乎何先生才是犯錯誤最多造成影響最大的關鍵：一是在360云服務平臺上使用弱口令；二是賬戶信息密碼泄露。

　　看到這樣的新聞，讀者的腦海中會做出什么反應？運營商的新業務有風險？互聯網的新業務有風險？對于這些新鮮事物，是不是還是遠離比較好？

　　深度分析

　　入口曾是眾多企業爭奪的焦點（參見2014年的文章《入口爭奪真的很美么》），更是互聯網故事的核心。但是打來打去發現誰也取代不了誰，于是形成了多入口并存的格局（參見2016年的文章《如果不再壟斷，入口還牛得起來嗎》）。

　　這個案例，恰恰表現出多入口并存的情況下，出現的新問題。

　　前面分析過，從運營商、360和京東來看，都難以識別操作者是何先生還是假冒者：運營商接到的是360平臺以客戶名義發送的短信，京東進行身份驗證時通過中國移動發送驗證碼，每一個服務者都只有客戶的部分信息，誰來提供系統性的安全防護？（補充說明：360已經按照先行賠付的承諾給用戶全額賠付，但這是服務補償，而非全面防護。）

　　夢網時代，運營商是手機用戶的入口，客戶訂購的各種業務，都必須在運營商這里留下"訂購關系"，然后運營商據此向用戶收費，與SP分賬。所以運營商有責任為用戶提供"Total Solution"，提供包括信息安全在內的一切服務。

　　如今的移動互聯網時代，運營商不再擁有用戶的全量訂購關系，很多業務貌似與運營商有關，只是因為互聯網企業將用戶的手機作為ID，運營商提供驗證碼等通道類服務，不再具備提供完整服務的能力。

　　那么有沒有運營商的替代者，成為客戶服務的集成者呢？在這個案例中，當事人何先生既是中國移動的客戶，又是360云服務的客戶，還是京東的客戶。這三者每家都只能提供一部分信息服務，而將其集成在一起的，是用戶自己。

　　于是，當客戶自身安全意識不強，而犯罪分子又對業務精通的時候，這種利用不同服務商信息不完備，鉆漏洞甚至犯罪的風險就會越來越大。

　　解決辦法

　　首先，用戶增強自己的安全防范意識，是眼下唯一有效的解決方案。隱私保護、密碼設定，以及面對各種誘惑時的應對方式，越來越成為這個時代必要的自我防護手段。尤其對于那些匪夷所思的"大便宜"，個人以為還是別信的好。

　　第二種方式是形成信息安全聯盟，實現不同入口之間的信息共享和互通，加大安全聯合防范的能力。騙子們都在玩跨平臺，如果繼續各自為戰，很難應對。

　　但是這種方式難度非常大，因為各家平臺之間都是競爭關系，缺乏實現信息共享的信任感。而且在很多時候，增強安全性意味著降低操作的便利性，這是很多創新企業打死都不愿意做的事情。

　　第三種方式是形成信息安全中心，將多入口的信息匯集在一起，提高安全防護能力。要做到這一點也不易，因為這個平臺的權威性和服務能力要非常高，想找到這樣的平臺，太難了。

　　所以結論是：在多入口的時候，做好個人自己的安全防護，自求多福吧。

　　【鈦媒體作者介紹：寧宇，微信公眾號：尚儒客棧（CMCC-ningyu）】

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：王薏群