盗刷银行卡到底多简单？一张SIM卡就行

「如果他们可以用隐私换取便利、安全或者效率。在很多情况下，他们就愿意这么做」，这是某互联网公司董事长兼CEO眼中的中国用户。虽然大家都义愤填膺，但令人遗憾的是：在便利面前，大家真的一点都不在乎。

这是我一个在手机维修店工作的朋友「小京」的原话。「小京」当然不是真名，但这句话他是确确实实说过的。「打开门做生意」的小京放在 2020 年显然是个异类——他的iPhone 8Plus是自己装攒的，不设指纹也不设密码。问其原因，他的回答不外乎就是「反正里面也没有钱」以及「别人也没机会拿到我的手机」。

是啊，联系人里只有同事，微信支付宝没钱也没卡，你就是真的偷了他的手机，也搞不出任何钱来……真的是这样吗?这里我强烈推荐大家看看公众号「信息安全老骆驼」里的文章，里面就完整讲述了「从被偷到赔付」的全过程。

不过好在各大金融机构都愿意为此次文章里的主人公作出赔付，支付宝也在复盘后也表示此次事件中不法分子没能攻破支付宝的安全防线，银行卡号等支付信息是从其他黑色产业中获取的。支付宝的「刷脸支付」采用的是3D人脸识别技术。在进行人脸识别前，也会通过软硬件结合的方式进行检测，来判断采集到的人脸是否是照片、视频或者软件模拟生成的，能有效地避免各种人脸伪造带来的身份冒用情况。

支付宝同时也会根据用户使用的设备、登录的地点与消费习惯，在风控系统中对异常消费进行自动拦截。支付宝也建议大家单独为SIM卡设置密码，能在一定程度上防止黑产接收验证码。另外，如果使用支付宝时有什么问题，可以随时致电客服95188。

但在皆大欢喜的同时，我们也应该对其中的安全隐患感到警惕。在这个案例中，短信验证码就成为了不法分子的可乘之机。

为什么会有短信验证码?

先说说短信验证码是怎么一回事吧，其实短信验证码最初诞生的目的并不是用来给大家「快捷登录」，而是用做密码登录后的二步验证。在「登陆1.0」时代，账户登录时只对账户和密码做验证，比如大家熟知的QQ，最初就只验证账号和密码。

但随着黑色产业的发展，传统的「登陆1.0」已经无法保证信息的安全。举个例子，我敢肯定正看这篇文章的大多数网友，微信支付宝的密码、常用邮箱的密码、以及随便一个不知名论坛的密码用的都是同一个。你能保证密码不外泄，微信支付宝也能，但那些不知名的论坛却难以保证。一旦他们的服务器被入侵(甚至是主动出售你的数据)，你的常用邮箱、手机号和密码几乎能传遍全国。

针对这种状况，互联网巨头们开始引入二步验证，也就是「登陆2.0」。此时登陆不仅需要验证账户密码，还需要提交某些只有你会知道的东西，比如你QQ密保卡第二排第三行的数字是什么?你最喜欢的乐队叫什么?当然也有些动态的二步验证，比如Steam在登录时给你发的验证码邮件，或者登陆滴滴出行时的手机验证码。

换句话说，手机验证码在设计时只是一个辅助的验证手段。但在现实生活中，越来越多机构选择将「辅助手段」当作「主要手段」。不可否认的是，短信验证码登陆比传统的密码登录方便太多，但这样的方便、快捷却恰好印证了导语里李彦宏说的那句话。

「快捷登录」的背后有多危险?

首先，单是手机验证就能获取不少个人信息。比如我这里演示用的「新华书店」App，即使在新设备上，我也只需要手机号和短信验证码就可以登陆，且无需任何密码认证就能直接看到完整的收件信息。生活中像这样的App还有很多，大家可以自己回想一下自己还注册过哪些App，再想想其中的信息风险。

然后，现在不少手机品牌都可以通过手机验证码修改账户密码，即使我们锁定了手机不法分子也能用新密码绕过丢失锁。

可能有人可能认为「我挂失手机号，对方不就收不到验证码了?」其实并没有这么简单。不法分子可以通过发送短信的方式办理短信转移业务，办理后即使挂失补办了手机号卡，不法分子依然可以获取短信验证码，从而继续进行相关操作。

比如在「信息安全老骆驼」的案例中，不法分子就通过「四川人社」的App，以短信验证登陆的方式获得了该手机号对应的身份证号。除了这种政府机构的App以外，连锁酒店与商务订票App通常也是信息泄露的盲点。甚至是南方航空的官方页面，就可以用手机号+验证码登陆并查看卡号，再通过卡号+验证码修改密码，从而用新密码查看所有绑定证件号码。

至此，不法分子已经获得了你的手机号码、收件信息、身份证号码、真实姓名，同时还能用短信转移获取你的所有验证码。对不少App来说，不法分子和你本人已经没有任何区别。凭借身份证号他可以向银行客服电话查询你的卡号，再用你的信息进行绑卡消费，甚至是信用贷款。

保护好个人信息有多难?

看到这里，相信大家也发现问题所在了：SIM卡密码以及部分机构脆弱的信息管理方式。首先是SIM卡的密码，都不要说修改PIN码了，估计现在很多人都不知道SIM卡是可以设置密码的。这一方面和运营商的不宣传有关，另一方面和我们不愿意每次开机输入两个密码有关。

其次是我们某些机构「马奇诺防线」级别的个人信息管理体系。以南航为例，无论是一开始登陆还是找回密码，整个操作逻辑里登陆账号都可以用手机号代替，根本起不到交叉验证的效果。这里用南航举例并不是针对南航，因为我们身边还有无数个可以凭借手机号+验证码畅行的例子，航司也好酒店也罢，这都只是冰山一角而已。

我们能怎么做?

首先，给自己的SIM卡加上PIN码。这样就算别人偷了你的手机，也没办法换机收发短信。

第二，清理、注销不用的软件账号信息，牵涉到地址、证件的App更是要格外留心。比如我刚刚提到的新华书店App，我现在买书要么是实体书店要么是京东淘宝，这个已经弃用的App完全可以直接注销，免除后顾之忧。

南航的会员我不能取消，已添加的证件信息南航又不允许自助删除，所以我直接将绑定的手机号改成了平时在用的美国虚拟运营商号码，没有实体卡自然更安全。

除此之外，不用的账户也应该及时注销。比如我曾经用另一张SIM卡注册过微信、淘宝与支付宝，并绑定了银行卡。尽管那个手机号已经销号了。但在一段时间后这个号码会重新放出，如果某位幸运用户抽到了我的号码，并在他的手机里用短信登陆支付宝和微信，那他无意间也能获得我的个人信息与支付信息。尽管这位幸运用户没有恶意，但我们也应该对此做好防范措置，从而将风险降到最低。

哦对差点就忘记小京的事了，把文章发给他后，小京赶紧拉黑了我。

来源：雷科技公众号