一夜被盗刷5万 运营商\云服务\互金平台谁来背这个锅

本篇文章3518字，读完约9分钟

近日有消息称，深圳何先生发现自己的手机被一个陌生号码抢去，诈骗者收到短信验证码，用何先生的京东账户消费申请贷款，一夜之间抢走5万多元。

然而，为什么会这样呢？何先生被偷的原因是什么？客户应该如何采取预防措施？我们能从根本上解决这个问题吗？

让我们像破案一样，根据报告中的几个细节还原事实。

经与何先生联系沟通，配合移动运营商取证，360手机公司查出何先生账户被盗的过程，现公告如下:

1.1月30日，上海的一个ip设备经常试图通过使用弱密码和社会工作库密码破解何先生的360操作系统云服务账户。密码试错之间的时间间隔短至3秒，长至10分钟。由于何先生的360操作系统密码相对简单，他终于成功登录了自己的账户。

2.2月3日凌晨，ip地址位于辽宁的犯罪嫌疑人登录何先生的360os云服务账户，通过“回复短信”界面绑定何先生的号码。犯罪分子还利用“寻找手机——销毁数据”的云服务功能，每隔5到6分钟就发出一次“销毁数据”的指令，使何的手机远离网络。

3.在何先生的手机被“销毁”期间，犯罪嫌疑人收到何先生的短信验证码，用白条入侵其京东账户，造成实际损失1000元；然后用金条贷出52000元，转到何先生名下的中国银行(601988，买)卡，再转50000元到犯罪嫌疑人的账户，无卡提现2000元。何先生的损失总计5.3万元。

在此次事件中，何先生的银行卡号码、取款密码、预留手机号码和身份证号码(网上个人信息交易黑市俗称“网上银行四大件”)已通过其他渠道泄露并被犯罪嫌疑人掌握。随后，犯罪嫌疑人利用短信验证码盗取了何先生的银行卡资金。种种迹象表明，这是一种新型的欺诈行为，犯罪团伙作案，分工严格。

几个高科技新企业卷入此案

让我们来看看这个案例中的几个新的高科技业务术语:运营商提供的子号码、破坏智能手机云服务的数据以及京东白条/金条账户贷款。

运营商提供的辅助号码是在一张sim卡上打开多个号码。当你不想让对方理解你的主要号码(sao)，但需要通过电话/短信进行沟通时，你可以给对方一个次要号码进行联系，然后在沟通后取消。

该业务很好地适应了网上购物、房地产租赁和销售、快递、出租车等场景，受到客户的广泛欢迎，并根据客户需求增加了一些衍生功能，如主辅号码可以随时在线切换，可以调用辅号码进行提醒。(参见2015年的文章“一卡多号”。你能做到吗？】

听起来，智能手机云服务的名字很高，不同的产品有不同的形式和特点。360提供的云服务自然强调安全性。360云服务集成了通讯录、照片、短信、通话记录等个人数据的备份和恢复，操作非常简单，只需点击一下就可以自动备份和恢复手机中的重要信息。使用云服务的最大优势是数据保护，即使数据发生变化，也无需担心数据丢失。

考虑到不同客户的需求，360云服务也有一些“独特的隐藏武器”。如果用户丢失了手机怎么办？您可以通过云远程“销毁数据”。原手机的持有者手里拿着一个废金属，所以不存在信息泄露的风险。

京东白质/金条账户贷款都是京东金融的产品。在“互联网+”的发展趋势下，借助京东电子商务的积累，京东金融不仅帮助客户解决购物场景，还为客户提供财务管理和信用服务。

最初，“京东白条”为顾客提供了“先消费后付款”的支付方式，以改善他们的购物体验。后来，推出了现金借贷产品京东金条。该业务是为信用好的借据提供现金借贷服务，是现金消费场景下借据信用的延伸。(最新消息，京东金融的“白娜”业务已经停止。(

场景再现

据报道，何的云服务密码是弱密码，即1月30日被“撞入图书馆”，即被犯罪嫌疑人试用过。这意味着犯罪嫌疑人可以像何先生一样使用360云服务。

2月3日凌晨，犯罪嫌疑人首先用手机发送了将二级号码绑定到何先生号码的申请，然后登录到何先生的云服务账户，并发送了一条具有“回复信息”功能的确认信息，完成了一级和二级号码的绑定。这样，何的号码就成了嫌疑人手机的“二号”。

接下来，犯罪嫌疑人在360云服务平台上启动了“销毁数据”功能，导致何的手机关机、离线，无法接收任何信息。同时，犯罪嫌疑人以何先生的手机号码作为身份证登录京东，京东平台的短信验证码无法发送到何先生的手机上，因此被转移到何先生手机的“主号码”，即犯罪嫌疑人的号码。

此时，犯罪嫌疑人能够以何的名义在京东开展业务。首先，他用“京东白条”消费，造成了约1000元的损失。随后，他以“信用良好的白条用户”的身份申请了5.2万元的金条贷款。

根据京东的业务规则，贷款必须划入客户账户。但是，这种重金保护并没有挽回何先生的损失，因为犯罪嫌疑人已经获得了他的中国银行卡的卡号、取款密码和身份证信息，所以贷款转到何先生的卡上后，犯罪嫌疑人通过转账和无卡取款的方式转移了卡上的所有资金。

当然，如果有验证码，信息会以同样的方式转移到嫌疑人的手机上。

一夜之间5万元被偷了。这是谁的错？

从表面上看，运营商、360、JD.com甚至银行都没有做错什么。

从运营商的角度来看，整个过程完全符合普通用户的行为逻辑:首先，用一个号码绑定第二个号码，被绑定的手机也发送回复确认消息。平台发送验证码，运营商也及时准确地将信息发送给接收手机；当次要号码发送的短消息不成功时，该消息被转发到主要号码以保持通信畅通。

360云服务看起来也很尴尬:通过云服务回复短信是为了方便客户，但结果却成了犯罪分子欺诈性使用客户身份的平台和工具；最初，销毁数据的目的是防止客户的手机丢失时信息泄露，但他们成了帮凶。由于用户的弱密码被破解，360无法判断登录是李悝jy还是李鬼，也无法判断丢失的手机或真正的用户是被执行来销毁数据的。

京东的金融创新让一个卡里没钱的客户损失了数万；但从京东来看，用户的认证已经全部通过，发起的业务是合规合法的。拦截请求而不提供服务的原因是什么？网上银行转账和无卡取款现在是非常常见的服务方式，它们没有什么问题。

从这个角度来看，何先生似乎是犯错误最多、影响最大的关键:一是在360云服务平台上使用弱密码；二是账户信息的密码被泄露。

读者对此类新闻会有什么反应？运营商的新业务有风险吗？互联网的新业务有风险吗？远离这些新事物更好吗？

深度分析

入口一直是许多企业竞争的焦点(见2014年《竞争入口真的很美吗》一文)，也是网络故事的核心。然而，人们发现没有人可以取代任何人，从而形成了一种多入口共存的模式(见2016年的文章“如果没有垄断，入口还能盈利吗？”)。

这个案例只是展示了当多个入口共存时的新问题。

根据前面的分析，从运营商、360和京东的角度来看，很难区分运营商是何先生还是假冒的:运营商以客户的名义接收360平台发送的短信，京东在认证时通过中国移动发送验证码，每个服务商只有一些关于客户的信息。谁将提供系统的安全保护？(补充说明:360已经按照预付款的承诺全额支付给用户，但这是服务补偿，不是全面保护。(

在梦网时代，运营商是手机用户的入口，客户订购的各种服务必须与运营商建立“订购关系”，然后运营商据此向用户收费，并与sp进行账户分割。因此，运营商有责任为用户提供“全面解决方案”和包括信息安全在内的所有服务。

在当今的移动互联网时代，运营商不再拥有用户的完全订购关系，许多服务似乎都与运营商有关，只是因为互联网公司使用用户的手机作为id，而运营商提供验证码等渠道服务，不再具备提供完整服务的能力。

那么，有没有替代运营商成为客户服务的整合者？本案中，何先生是中国移动、360云服务和京东的客户。三者中的每一个都只能提供一部分信息服务，是用户将它们整合在一起。

因此，当客户自身的安全意识不强，犯罪分子精通业务时，利用不同服务提供商的信息不完整、钻漏洞甚至犯罪的风险会越来越大。

解决办法

首先，它是用户增强安全意识的唯一有效的解决方案。隐私保护、密码设置和面对各种诱惑的应对方式越来越成为这个时代必备的自我保护手段。尤其是对于那些不可思议的“大交易”，我认为最好不要相信。

二是组建信息安全联盟，实现不同门户之间的信息共享和互通，提高联合安全防范能力。说谎者在玩跨平台游戏，如果他们继续打自己的仗，很难对付他们。

然而，这种方法非常困难，因为所有平台都是竞争性的，缺乏实现信息共享的信任。此外，在许多情况下，增强安全性意味着降低操作的便利性，这是许多创新型企业在倒闭时不愿做的事情。

三是组建信息安全中心，从多个入口收集信息，提高安全防护能力。做到这一点并不容易，因为这个平台的权威性和服务能力都很高，很难找到这样的平台。

因此，结论是:当有许多入口时，做好个人安全保护，为自己寻求更多的幸福。

[钛媒作者简介:雨凝，微信公众号:CMCC-雨凝]

来源：千龙新闻网