近日有新聞報道，深圳的何先生發(fā)現(xiàn)，自己的手機曾經(jīng)被一個陌生號碼接管，騙子接收了短信驗證碼，用何先生的京東賬戶白條消費和申請貸款，一夜間洗劫了5萬多元。 　　 　　然而，這個事情為什么會發(fā)生？何先生被盜刷的原因是什么？客戶又應(yīng)該如何防范？能否從根本上解決問題？ 　　 　　讓我們像破案一樣，根據(jù)報道中的幾個細節(jié)來，還原事實真相。 　　 　　 　　360手機公司經(jīng)過與何先生聯(lián)系溝通，并與移動運營商合作取證調(diào)查，現(xiàn)已查明何先生賬戶被盜的過程，公告如下： 　　 　　一、1月30日，上海一個IP的設(shè)備利用弱密碼和社工庫密碼，頻繁嘗試破解何先生的360OS云服務(wù)賬號，試錯密碼的間隔時間最短為3秒鐘，最長為10分鐘。由于何先生的360OS密碼較簡單，最終被成功登陸賬號。 　　 　　二、2月3日凌晨，IP位于遼寧的犯罪嫌疑人登陸何先生的360OS云服務(wù)賬號，利用“回復(fù)短信”接口把何先生號碼綁定。犯罪分子又利用云服務(wù)“找手機—銷毀資料”功能，每隔5、6分鐘就發(fā)出一次“銷毀資料”指令，使何先生的手機持續(xù)處于離網(wǎng)狀態(tài)。 　　 　　三、在何先生手機被“銷毀資料”期間，犯罪嫌疑人接收了何先生的短信驗證碼，入侵其京東賬號用白條消費，造成實際損失1000元；再用金條貸款52000元，轉(zhuǎn)入何先生名下的中國銀行卡中，隨后轉(zhuǎn)賬50000元到犯罪嫌疑人賬戶，又用ATM機無卡取款2000元。何先生的損失總計達到53000元。 　　 　　在此事件中，何先生的銀行卡號、取款密碼、預(yù)留手機號及身份證號（在網(wǎng)絡(luò)個人信息交易黑市中俗稱為“網(wǎng)銀四大件”）已通過其他途徑泄漏并被犯罪嫌疑人所掌握，再利用短信驗證碼，犯罪嫌疑人竊取了何先生銀行卡資金。種種跡象表明，這是一種由團伙作案、分工嚴密的新型詐騙手段。 　　 　　案例中涉及的幾個高科技新業(yè)務(wù) 　　 　　我們先看看這個案例中的幾個高科技新業(yè)務(wù)名詞：運營商提供的副號碼、智能手機云服務(wù)-銷毀資料、京東白條/金條賬戶貸款。 　　 　　運營商提供的副號碼，是在一張SIM卡上開啟多個號碼。當(dāng)你不希望自己的主用號碼被對方了（sao）解（rao），卻需要進行電話/短信溝通時，就可以給對方一個副號碼來聯(lián)系，等到溝通完再取消即可。 　　 　　這項業(yè)務(wù)與網(wǎng)購、房產(chǎn)租售、快遞、打車等場景的適配度非常好，廣受客戶歡迎，并結(jié)合客戶需求增加了一些衍生功能，比如主副號碼可以在線隨時切換，副號碼來電提醒等。（參見2015年的文章《“一卡多號”的幾種變化，你造不？》） 　　 　　智能手機云服務(wù)這個名字，一聽就非常高大上，各家產(chǎn)品形態(tài)和特點也不盡相同，360提供的云服務(wù)自然更強調(diào)安全性。360云服務(wù)將通訊錄、照片、短信及通話記錄等個人數(shù)據(jù)備份與恢復(fù)于一身，而且操作非常簡便，可以一鍵自動備份與恢復(fù)手機中的重要信息。使用云服務(wù)最大的好處就是對數(shù)據(jù)保護，即使換機換號的情況下也不用擔(dān)心數(shù)據(jù)的丟失。 　　 　　考慮到不同客戶的需求，360云服務(wù)也有一些"獨門暗器"，萬一用戶手機丟了怎么辦？可以通過云的方式在遠程"銷毀資料"，原有手機的持有者拿的是一塊廢鐵，也就沒有信息泄露的風(fēng)險了。 　　 　　京東白條/金條賬戶貸款，都是"京東金融"旗下的產(chǎn)品，在"互聯(lián)網(wǎng)+"的發(fā)展大勢之下，借助于京東在電商方面的積累，京東金融不僅幫客戶解決購物場景，還為客戶提供了理財、信貸等服務(wù)。 　　 　　最初，"京東白條"是為客戶提供"先消費，后付款"的支付方式，改善客戶的購物體驗。后來又推出了現(xiàn)金借貸產(chǎn)品，就是京東金條，這個業(yè)務(wù)是為信用良好的白條用戶提供現(xiàn)金借貸服務(wù)，是白條信用在現(xiàn)金消費場景下的延伸。（最新消息，京東金融旗下的"白拿"業(yè)務(wù)被叫停了。） 　　 　　場景重現(xiàn) 　　 　　據(jù)報道，事主何先生的云服務(wù)密碼是弱口令，于1月30日被"撞庫"，就是被犯罪嫌疑人試了出來。這就意味著，犯罪嫌疑人可以用何先生的身份使用360云服務(wù)。 　　 　　2月3日凌晨，犯罪嫌疑人先用自己的手機向何先生的號碼發(fā)送副號碼綁定申請，再登錄何先生的云服務(wù)賬號，用"回復(fù)短信"的功能發(fā)送確認短信，完成了主副號碼綁定。這樣何先生的號碼就成了犯罪嫌疑人手機的"副號碼"。 　　 　　接下來，犯罪嫌疑人在360云服務(wù)平臺上發(fā)起"銷毀資料"功能，導(dǎo)致何先生的手機一度處于關(guān)機離網(wǎng)狀態(tài)，無法接收到任何信息。與此同時，犯罪嫌疑人以何先生的手機號碼作為ID登陸京東，京東平臺的短信驗證碼發(fā)送不到何先生的手機上，于是轉(zhuǎn)到何先生的手機"主號碼"，也就是犯罪嫌疑人的號碼上。 　　 　　此時，犯罪嫌疑人能夠冒用何先生的名義在京東上操作了。他先是使用"京東白條"消費，造成了大約1000元的損失，之后就以"信用良好的白條用戶"身份申請金條貸款52000元。 　　 　　按照京東的業(yè)務(wù)規(guī)則，貸款必須打到客戶自己的賬戶上。但這重保障手段，也沒能挽回何先生的損失，因為此前犯罪嫌疑人已經(jīng)得到了他的中國銀行卡的卡號、取款密碼以及身份證信息等，因此當(dāng)貸款轉(zhuǎn)到何先生卡之后，犯罪嫌疑人將資金以轉(zhuǎn)賬和無卡取款等方式，將卡上資金全部轉(zhuǎn)走。 　　 　　當(dāng)然，這時如果有驗證碼，信息也如法炮制被轉(zhuǎn)到犯罪嫌疑人的手機上。 　　 　　一夜被盜5萬元，誰的錯？ 　　 　　表面來看，運營商、360、京東，甚至包括銀行，誰也沒有做錯什么。 　　 　　從運營商來看，整個過程完全符合一個正常用戶的行為邏輯：先用一個號碼發(fā)起綁定副號碼，被綁定的手機也發(fā)送了回復(fù)確認短信。平臺發(fā)送驗證碼，運營商也及時準確地將信息傳遞給接收手機；當(dāng)副號碼關(guān)機短信發(fā)送不成功時，為保持通信暢通將信息轉(zhuǎn)發(fā)至主號。 　　 　　360云服務(wù)看起來也挺冤：通過云服務(wù)回復(fù)短信是為了方便客戶，結(jié)果反而成了犯罪分子冒用客戶身份的平臺和工具；本來銷毀資料是為了防止用戶手機丟失時造成客戶的信息泄露，沒想到卻成了幫兇。而因為用戶的弱密碼被攻破，所以360無法判斷登錄上來的是李逵還是李鬼，被執(zhí)行銷毀資料的是丟失的手機還是真正的用戶。 　　 　　京東的金融創(chuàng)新，讓一個卡里沒錢的客戶損失數(shù)萬；但從京東來看，對用戶的身份驗證全部通過，發(fā)起的業(yè)務(wù)又合規(guī)合法，有什么理由攔截請求不提供服務(wù)？銀行的網(wǎng)上轉(zhuǎn)賬和無卡取款更是如今非常普遍的服務(wù)手段，也沒有錯啊。 　　 　　如此看來，似乎何先生才是犯錯誤最多造成影響最大的關(guān)鍵：一是在360云服務(wù)平臺上使用弱口令；二是賬戶信息密碼泄露。 　　 　　看到這樣的新聞，讀者的腦海中會做出什么反應(yīng)？運營商的新業(yè)務(wù)有風(fēng)險？互聯(lián)網(wǎng)的新業(yè)務(wù)有風(fēng)險？對于這些新鮮事物，是不是還是遠離比較好？ 　　 　　深度分析 　　 　　入口曾是眾多企業(yè)爭奪的焦點（參見2014年的文章《入口爭奪真的很美么》），更是互聯(lián)網(wǎng)故事的核心。但是打來打去發(fā)現(xiàn)誰也取代不了誰，于是形成了多入口并存的格局（參見2016年的文章《如果不再壟斷，入口還牛得起來嗎》）。 　　 　　這個案例，恰恰表現(xiàn)出多入口并存的情況下，出現(xiàn)的新問題。 　　 　　前面分析過，從運營商、360和京東來看，都難以識別操作者是何先生還是假冒者：運營商接到的是360平臺以客戶名義發(fā)送的短信，京東進行身份驗證時通過中國移動發(fā)送驗證碼，每一個服務(wù)者都只有客戶的部分信息，誰來提供系統(tǒng)性的安全防護？（補充說明：360已經(jīng)按照先行賠付的承諾給用戶全額賠付，但這是服務(wù)補償，而非全面防護。） 　　 　　夢網(wǎng)時代，運營商是手機用戶的入口，客戶訂購的各種業(yè)務(wù)，都必須在運營商這里留下"訂購關(guān)系"，然后運營商據(jù)此向用戶收費，與SP分賬。所以運營商有責(zé)任為用戶提供"Total Solution"，提供包括信息安全在內(nèi)的一切服務(wù)。 　　 　　如今的移動互聯(lián)網(wǎng)時代，運營商不再擁有用戶的全量訂購關(guān)系，很多業(yè)務(wù)貌似與運營商有關(guān)，只是因為互聯(lián)網(wǎng)企業(yè)將用戶的手機作為ID，運營商提供驗證碼等通道類服務(wù)，不再具備提供完整服務(wù)的能力。 　　 　　那么有沒有運營商的替代者，成為客戶服務(wù)的集成者呢？在這個案例中，當(dāng)事人何先生既是中國移動的客戶，又是360云服務(wù)的客戶，還是京東的客戶。這三者每家都只能提供一部分信息服務(wù)，而將其集成在一起的，是用戶自己。 　　 　　于是，當(dāng)客戶自身安全意識不強，而犯罪分子又對業(yè)務(wù)精通的時候，這種利用不同服務(wù)商信息不完備，鉆漏洞甚至犯罪的風(fēng)險就會越來越大。 　　 　　解決辦法 　　 　　首先，用戶增強自己的安全防范意識，是眼下唯一有效的解決方案。隱私保護、密碼設(shè)定，以及面對各種誘惑時的應(yīng)對方式，越來越成為這個時代必要的自我防護手段。尤其對于那些匪夷所思的"大便宜"，個人以為還是別信的好。 　　 　　第二種方式是形成信息安全聯(lián)盟，實現(xiàn)不同入口之間的信息共享和互通，加大安全聯(lián)合防范的