最全光伏产业链个股梳理!重点关注标的有哪些?(附名单)

在行业高景气+涨价刺激下,今日光伏板块集体爆发掀涨停潮,珈伟新能、青岛中程、亿晶光电、晶科科技等20余只个股集体涨停。光伏还有哪些细分产业链可以挖掘,下面我们梳理了光伏产业链相关个股。

一、光伏产业链

光伏玻璃:信义玻璃、 福莱特、亚玛顿、南玻A、安彩高科、旗滨集团

光伏封装材料:福斯特(胶膜)

逆变器:阳光电源、锦浪科技、上能电气、固德威、科士达、禾望电气

光伏制造设备:晶盛机电、京运通、迈为股份、捷佳伟创

硅料:保利协鑫、新特能源、 通威股份、大全新能源、亚洲硅业、鄂尔多斯

硅片:隆基股份、中环股份、京运通、向日葵

电池:隆基股份、爱旭股份、福斯特、协鑫集成、东方日升、赛伍技术、爱康科技、航天机电、中来股份、中利集团、拓日新能、英杰电气、亿晶光电、向日葵

组件:隆基股份、天合光能、协鑫集成、晶澳科技、东方日升、赛伍技术、爱康科技、京运通、航天机电、中来股份、中利集团、拓日新能、芯能科技、亿晶光电、向日葵、ST天龙

正银:帝科股份

电站:中国光核、中国核电、晶科科技、宝新能源、节能风电、太阳能、林洋能源、京运通、吉电股份、江苏新能、川能动力

二、重点关注标的

 

雪球用户@王潡,总结了光伏重点关注标的:

1、硅料环节:短期新增供给有限,2020下半年到2021年有望维持供需整体偏紧的状态;后续国内多晶硅产业有望迎来新一轮扩产浪潮,进口替代以及国内落后产能的替代将持续演绎。

重点标的:通威股份、大全新能源

2、硅片环节:随着参与者的增加以及单晶硅片产能的大幅扩张,主要设备企业受益;后续单晶硅片供需渐趋宽松,隆基的竞争优势依然明显;随着光伏装机规模的增加,主要耗材金刚线和碳基复合材料的需求都有望持续增长,且竞争格局较好。

重点标的:隆基股份、中环股份、 晶盛机电

3、电池片环节:受益于单晶PERC电池大规模扩产,电池设备企业业绩表现较好,在电池片技术迭代较快的背景下,设备企业未来具有较好的发展前景;主要耗材导电银浆有望逐步实现国产替代。

重点标的:迈为股份、捷佳伟创、帝科股份

4、组件环节:组件竞争门槛可能提高,头部企业有望形成品牌和成本优势,未来头部企业的市占份额将持续较快提升。光伏玻璃和胶膜竞争格局较好,未来受益于光伏需求持续增长,且玻璃环节受益于双面双玻组件渗透率的提升。

重点标的:隆基股份、晶澳科技、福莱特、福斯特

5、逆变器支架:主要逆变器企业加快抢占毛利率水平明显更高的海外市场,未来趋势有望延续;国内跟踪支架龙头加速扩产,有望扩大市占份额。

重点标的:阳光电源、锦浪科技

转自:https://mp.weixin.qq.com/s/URRtPMW2REr6PJgpGdGPDA

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

10日,中国央行行长易纲在《中国金融》杂志发文《金融助力全面建成小康社会》。易纲在文章中称,货币政策坚持以人民为中心、助力全面建成小康社会,最重要的就是守护好老百姓手里的钱袋子,不让老百姓手中的票子变“毛”了,不值钱了;让广大人民群众分享国家经济发展的好处,收入稳步增长。

 

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

 

其中信息量极大。基金君整理了十大要点,供大家参考。

 

1、不让老百姓手中的票子变“毛”了,不值钱了

 

货币政策坚持以人民为中心、助力全面建成小康社会,最重要的就是守护好老百姓手里的钱袋子,不让老百姓手中的票子变“毛”了,不值钱了;让广大人民群众分享国家经济发展的好处,收入稳步增长。

 

2、坚决不搞“大水漫灌”

 

科学把握货币政策力度,既保持流动性合理充裕,促进货币供应量和社会融资规模合理增长,又坚决不搞“大水漫灌”,将经济保持在潜在产出附近,减少经济波动。

 

3、成功经济体必须保持币值稳定

 

这不仅包括国内物价水平的稳定,也包括汇率的基本稳定。若汇率发生较大幅度贬值,即便国内生产总值的本币价值上去了,换成其他国际储备货币价值也会下来,这既会影响本国在国际竞争中的地位,也影响老百姓的对外购买力。汇率剧烈波动,还会影响国内外对本国经济的信心,不利于经济主体正常的贸易投资活动。

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

4、尽可能长时间实施正常货币政策,促进居民储蓄和收入合理增长

 

2020年为应对新冠肺炎疫情影响,主要发达经济体中央银行开始实施无限量化宽松政策,非常规货币政策“常态化”特征明显。2020年以来,主要发达国家货币政策全部进入接近零利率和负利率区间。大力度刺激政策在初期有一定作用,但边际效用递减,退出难度递增,长期看还可能会刺激债务扩张和资产泡沫,固化经济结构扭曲,影响收入分配的公平性,增加系统性风险隐患。

 

相较而言,我国货币政策坚持稳健取向,保持在正常货币政策区间,是全球主要经济体中少数实施正常货币政策的国家。实施正常货币政策,保持正的利率,保持正常的、向上倾斜的收益率曲线,总体上有利于为经济主体提供正向激励,有利于经济社会的可持续发展,也有利于人民币资产的全球竞争力

 

5、坚决打好防范化解重大金融风险攻坚战,最大程度保护广大人民群众合法权益,维护经济社会安全稳定

 

金融风险具有隐蔽性、复杂性、突发性、传染性等特征,一旦大规模快速暴露,对经济社会稳定发展危害性极强。特别是,近年来我国周期性、结构性、体制性矛盾相叠加,加上外部经济金融形势更趋复杂,前期积累的金融风险处于水落石出的阶段。全面建成小康社会必须在防范好重大金融风险的同时,坚持市场化法治化的原则,积极稳妥化解和处置金融风险,保护好广大人民群众合法权益。

 

6、“明天系”“安邦系”“华信系”等重点高风险金融集团得到有序处置。

 

2020年7月17日,根据金融委部署,人民银行统筹协调,由银保监会、证监会果断接管“明天系”旗下9家核心金融机构。

 

7、高风险中小金融机构处置取得阶段性成果。除依法接管包商银行外,还会同有关地方政府和部门有效化解了锦州银行、恒丰银行等中小银行风险。

 

互联网金融和非法集资风险得到全面治理。P2P网贷机构数量和借贷规模连续26个月下降。

 

8、该出手时果断出手

 

一旦出现重大金融风险苗头,果断决策,快速处置,坚决不让局部风险发展成系统性风险、区域性风险演化为全国性风险。坚持分类施策,优先处理可能威胁经济社会稳定和引发系统性风险的突出问题,在大局稳定的前提下,做到“精准拆弹”。

 

9、出现重大金融风险后,问题机构的股东必须首先承担损失

 

我们坚持推动压实金融机构及股东的主体责任、地方政府的属地风险处置责任和金融管理部门的监管责任。

 

出现重大金融风险后,问题机构的股东必须首先承担损失,股东权益清零后依然存在缺口的,由相关大债权人依法分摊。

 

针对金融市场一度存在的“金融牌照信仰”“规模信仰”等问题,对于严重资不抵债的机构,坚决依法实施市场退出,严肃市场纪律。同时,在处置重大金融风险过程中,我们及时移送风险处置过程中发现的各类违法违规线索,配合有关部门严厉查处金融违法犯罪行为,让坏人依法受到惩罚。

 

10、2021年是第十四个五年规划的第一年,我们将开启全面建设社会主义现代化国家新征程。人民银行将以习近平新时代中国特色社会主义思想为指导,坚持以人民为中心的发展思想,继续扎实做好服务实体经济、防控金融风险、深化金融改革开放各项工作,守护币值稳定和金融稳定,为经济社会平稳健康发展作出新的贡献。

 

以下是全文

 

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

央行行长易纲重磅发文:不让老百姓手中的票子变“毛”了!

转自:https://mp.weixin.qq.com/s/nf2gKci3CSDKWt9ZNKpmXg

按这个方法和路径,大部分人都可以财富自由!!

这几天很多人在讨论财富自由,我也来蹭一波热度。
财富自由的定义
1、财富自由的定义最关键了。首先一定要搞清楚财富自由并不是说你想干什么就能干什么,而是你不想干什么就可以不干什么。
2、财富自由和辞职炒股不是一回事。财富自由是指你不需要干什么,或者是你只需要干很少的事情,就有稳定的收入。辞职炒股并不是财富自由,只是换了一个工作,而且是一个更加辛苦的工作。
3、财富自由一定要考虑通胀。不考虑通胀的财富自由,就是耍流氓。二十世纪八十年代的时候,万元户就已经很有钱了。可是这是财富自由了吗?
其实很多文章,很多人在考虑的时候,对上面这三条都没有考虑过。
财富自由的标准
财富自由的标准就两条:
第1条是以后不再需要工作,你可以按你现在的生活状况继续生活。其实是你的投资性的收入超过了你的工资的收入。
假定你每年的工作年收入是20万,而且你也觉得这20万的收入,生活已经可以了。你离退休还有20年。那么你就现在至少得先有现金400万。这条是很关键的,这表明你不再工作并不是因为懒,而是因为你的钱已经赚够了。有了这条,你才能过自己这一关。你才能过家人这一关。否则以后你自己会很矛盾,你和家人的关系也会很紧张。
第2条财富自由,应该是你要有一个确定性很高的财务状况。在财富自由的时候,并不需要你还有很高超的投资技巧。
还是上面的例子,假设现在的债券类基金的收入大概年化为6%,通胀为3%,那么你要每年还能获得20万的收入,那400万的现金就不够了.因为第2年再获得20万的收入,购买力下降了3%。第2年的时候,你的投资收益得有20+20*0.03=20.6。这时你的本金得有20.6/0.06=343.3。,所以当20年后,你的本金得有1.03的20次方倍,也就是400*1.8=720万。
上面是个数学题,好像还有点复杂,我简单估算一下,可能初始700万本金是可以的。
按这个方法和路径,大部分人都可以财富自由!!
财富自由的路径
怎么获得700万?
1、最好你父母有一定的赞助,比方说50万。城市人口中,能做到这一点的应该还是不少的。这也是如果你做不了财富自由第一代,你如果想让你的子女财富自由你需要考虑的。
2、你得省吃俭用。要积累原始本金,你必须得生吃俭用,按你年如20万的收入,再前几年,你可能收入没达到20万,如果是10多万的话,你通过6到8年年的时间,能省下个50万。这时你大概30多岁。
3、在接下来的时间里,你就必须靠投资了。假定期限是10年,首先,这十年你通过工资收入,还得投入投资账户100万。这样到10年后,你就有了约200万。中间的差额500万,你得通过投资来解决。
4、因为工资不是一开始就有的,所以假设开始的资金为150万,所以投资需要的收益为700/150=4.67。如果投资年限为10年,那么年化需要17%。如果投资年限为15年(延迟5年财富自由),那么年化需要11%。17%有点难,11%还是有希望的。
5、第一种策略,投基金,找一家公募或私募,看其历史收益率,5年以上,其实年化11%的基金很多,年化17%的也不少。
6、第二种策略,平常等待,按6%来投债券基金,牛市初期买入,牛市高点卖出。假设牛市10年里有一次,收益为3,时间成本为2年,然后另外8年的收益为1.06的8次方即1.6,则总收益为4.8也达到目标。
其他财富自由事项
1、财富自由后还得找事情做,不过是找自己喜欢的事情。有数据表明,80%中大奖的人过的非常不幸福,对非常不幸福。原因是不知道做什么了,吃喝嫖赌,人就废了。
2、不能过早的财富自由。过早的财富自由,会让你与社会脱节,你的认知和能力不够,财富会离你而去,这和第一条是类似的。古人说40而立,是非常有道理的。
3、上述财富自由模型,是在当今社会稳定的情况下设定的,所以通胀按3%来处理。也只能这么设定,因为如果社会不稳定,那你就是富可敌国,也不能财富自由。
按上面的路径,其实难度并不大。就看你有没有这个意愿和决心了!
编者:我觉得实际上最可能是这样的,大部分人财富在30-35岁因为买房结婚生小孩而财富清零。靠父母的更早点,比如早五年。然后无论你什么城市的,重点不是收入,而是每年净剩余多少。
然后是理财体系能拿下多少年化收益率。再加上通货膨胀,实际应考虑5%,因为三十年前物价是现在的十分之一,3%根本不够。然后每五年一个阶段的目标。
初级财富自由是指通胀后收益还够基础消费。比如你现在每年需要20万,你的年化收益假设能做到15%,扣掉通货膨胀,实际只有10%,那就需要两百万。两百万分每五年一个阶段去实现。核心的核心还是保证收益率。能靠父母只是加分项。
 

转自:https://mp.weixin.qq.com/s/chn5Mlvkj69OU74PUUFNmA

为什么李嘉诚们瞧不上美国身份

 

 

 

 

 

 

 

 

 

◎智谷趋势(ID:zgtrend) |  Jay Huang

为什么李嘉诚们瞧不上美国身份

 

前段时间中美关系还比较平静时,许多人会选择pick一个美国身份,在咨询过程中,我们经常被客户问到一个问题,我们全家马上要移民美国了,听说美国税法比较凶残,请问在动身移民美国前我需要事先做哪些准备工作来规避美国税?

 

对此我们的答案是这个有点难,除了一些常规动作,比如购买保险类产品外,其他可操作的空间有限。

 

然后我们一般会反问客户,为啥当初要选择美国?除了孩子教育和退休养老等刚需外,我们听到最多的答案是美国不是世界上最牛最好最发达的国家吗?我们要办就办最好的。

 

我们哑然失笑了。

 

我们承认今天或者在未来的一小段时间内美国可能还是世界龙头老大,或许还是客户口中所谓的最牛最好最发达的国家。但问题是最牛最好最发达的就一定是最适合你的吗?

 

其实客户有这个想法并不奇怪,不仅我们普通人,很多名人和有钱人在选择移民目的国时也是首选美国,关于这个的媒体报道就太多了,我们就不一一列举了。

 

他们选择美国的理由大都也是冲着“最牛最好最发达”这块招牌去的。

 

不过很多人的最终结局是哑巴吃黄连,有苦说不出,最后被美国人搞得一身鸡毛鸭血。

 

给大家举个例子,中国著名的玻璃大王,福耀玻璃创始人曹德旺早在1995年就全家移民去了美国,但是10年后,他又让全家退掉美国绿卡,并且跟家人说,必须要退掉美国绿卡,如果不退,不能继承家产。

 

在媒体采访中,曹德旺的解释是这主要是由于其强烈的民族自尊心,福耀玻璃是中国企业并且已经成为业内龙头,所以福耀玻璃必须是一家中国人的企业,而不是美国人的企业。

 

笔者一向比较尊重曹德旺先生以及他的福耀玻璃,也认同他的民族自尊心的说法。

 

不过笔者私下猜测,除了民族自尊心这个主要原因外,曹德旺放弃美国绿卡或许还有一个很小的原因:美国税法

 

为什么李嘉诚们瞧不上美国身份

 

在税法领域,美国是一个非常另类的国家。

 

全球大部分国家都不会把绿卡或者护照和税务居民划等号。

 

也就是说,你有一国的绿卡或者护照并不一定就是这个国家的纳税居民,进而不需要向该国纳税。

 

但美国不同,你只要有美国绿卡或者美国护照,你就是美国的居民纳税人,就需要向美国交税。

 

作为世界顶级富豪的曹德旺,他的收入和资产一定是惊人的,本来好好的在中国,一切顺风顺水,但他非要跑去美国,结果被美国人狠狠的宰了一刀,而且随着福耀玻璃越做越大,未来被宰只会越来越狠,所以赶紧止损回家不吝是一个明智的选择。

 

不仅是曹德旺,很多演艺界名人也深受其苦,最后纷纷选择和曹德旺走同一条路,典型代表有李连杰,成龙儿子,甄子丹等等。

 

说到这里,你就不得不佩服香港老牌富人家族的老谋深算。下面是这些香港的实际幕后控制人的国籍列表:

李嘉诚及其两儿子:加拿大籍

李兆基:加拿大籍 (离岸公司申报材料显示其还持有英国护照)

郑裕彤:加拿大籍

郭炳湘,郭炳江,郭炳联:加拿大籍 (离岸公司申报材料显示其还持有英国护照)

刘鑫雄:英国籍

潘苏通:美国籍

吕志和:加拿大籍

吴光正:加拿大籍

看到没有,这些老牌家族除了潘苏通外,无人选择美国绿卡或者美国护照。

 

是这些人拿不到美国身份吗?笑话,只要他们愿意,月球身份都可以取得,更何况是美国身份。

 

这些老牌家族可是身经百战,见多识广,不会被所谓的“最牛最好最发达”这些表象所忽悠,身份配置上也会做出更明智的选择。

 

除了一些其他考虑外,美国税法一定是他们拒绝美国身份的重要考量因素之一。

 

从以上列表中,我们还发现了一个有趣的现象,这些老牌家族似乎对加拿大很感兴趣,香港四大家族无一例外都选择了加拿大。

 

除此之外,香港娱乐圈一大批重量级艺人也都选择落户加拿大,典型代表有张国荣,林忆莲,肥肥等,连喜剧之王周星驰当年也曾经申请过加拿大移民。

 

那么加拿大到底有什么魅力能够吸引到这么多香港顶级富豪和顶级明星选择去那里落户呢?毕竟从气候条件来说,加拿大和香港简直就是天壤之别。

 

做个对比,另一个移民大国澳大利亚,不仅气候条件更好,距离上离香港还更近,但为什么他们不选择澳大利亚呢?

 

为什么李嘉诚们瞧不上美国身份

 

笔者在加拿大和澳大利亚都生活工作过好几年,对两国的优劣还是有一些比较深刻的感受和理解的,今天笔者试图从个人经历和自我感受出发来回答这个问题。

 

先说答案,加拿大和澳大利亚移民哪个更好,笔者会毫不犹豫的把选票投给澳大利亚。

 

What? 我们今天看上去不是要写一篇褒加拿大贬澳大利亚的文章吗?

 

回到上面的话题,如何解释香港的聪明人都选择了加拿大?

 

笔者的解释是此一时,彼一时。

 

我们在分析问题时永远都不能脱离当时的时代背景。

 

这些香港聪明人移民的时代是上世纪80年代到90年代。

 

在那个年代美国毫无争议以碾压式优势位居世界老大,特别是苏联解体,美国打赢冷战,在老布什和克林顿时代,美国的国力达到了巅峰。

 

所有经历过那个时代的人都会记得美国曾经像神一般的存在,是世界各国人民,特别是第三世界国家人民心目中的天堂。

 

当时的世界中心毫无疑问在美国。

 

虽然考虑到美国税法的不友好,这些聪明人不愿意选择美国,但选择一个和美国距离很近,并且和美国经济高度融合,文化相同,同种同族的美国第一贸易大国兼邻居的加拿大就顺理成章的成为了他们的第一选择。

 

而且加拿大同属英联邦国家,对于曾经的香港人来说,无论是体制设计,法律安排,教育模式还是生活方式都相对比较熟悉。

 

此外当时的加拿大自身也是一个很有国际影响力的大国,占据G7发达国家俱乐部的一席之地。

 

最重要的一点,加拿大一直都是发达国家中的另类,可能是深受基督教影响,加拿大一直都有一种悲天悯人的国家气质。

 

和美国不一样,加拿大最看不得别人不好了,有人挨饿了,有人受苦了,无论敌友,加拿大都会第一时间伸出援手。

 

打个比方,中国和美国都崇尚狼性,但加拿大崇尚羊性。

 

如果按照政治派别分类,加拿大在国际社会中应该是属于非常明显的左派。

 

这个特点带来的好处是无论是国家法律层面,还是民间思想层面,种族歧视比较少,在大多数情况下都能做到种族平等,这对于属于加拿大少数民族的香港人来说,不吝是一个福音。

 

为什么李嘉诚们瞧不上美国身份

 

我们再来看看澳大利亚,澳大利亚身处南半球,和谁都不挨着,在距离上更是远离世界中心美国。

 

经济上,在那个年代,澳大利亚还是一个骑在羊背上的国家,虽然也属于发达国家,但无论是经济规模还是国家影响力,都远远不及加拿大,它甚至都不是G7俱乐部成员。

 

更要命的是,澳大利亚曾经的白澳政策让澳大利亚背负了种族歧视的包袱。

 

和曾经的南非一样,澳大利亚歧视有色人种,以白人为独尊,国家气质更偏狼性。

 

这样的国家即使气候条件更好,距离香港更近,也很难入香港顶级富豪的法眼。

 

不过所谓风水轮流转,最近30年世界大势发生了许多重大变化。

 

首先,中国的崛起让澳大利亚在经济上狠狠的猛赚了一笔,成功的从一个骑在羊背上的国家顺利转型为一个坐在矿车上的国家,随着中国富豪的涌入,澳大利亚又成为了一个房地产大国。除了买房外,教育,旅游四面开花,澳大利亚赚的盆满钵满。

 

由于地理上的优势,澳大利亚是最靠近中国的西方国家,随着世界中心从西方转向东方,澳大利亚是这场世界级中心转移中的最大西方受益国。

 

其次,从实用主义出发,左派的另一个名字叫SB,有点类似于蛇和农夫中的农夫。

 

澳大利亚的狼性让澳大利亚在严格筛选入境难民背景和控制国内恐怖活动上远远优于加拿大。不客气的讲,澳大利亚要比加拿大更安全。

 

从此次新冠疫情中我们也能大概看出个一二来,澳大利亚在应对病毒方面反应迅速,讲科学而不讲政治正确,所以很快就控制住了疫情,成为西方国家中的抗疫明星。

 

反观加拿大,因为讲政治正确,多次延误战机,现在还在疫情的漩涡里挣扎,一个只有3800万人口,面积世界第二强的国家在新冠确诊病例数排名上,竟然在今天成功挤掉了中国,“荣列”世界十三太保之列。

  

此一时,彼一时,如果放在今天,让这些香港聪明人再选一次,笔者断定这一次他们的选择一定是澳大利亚。

转自:https://mp.weixin.qq.com/s/ZU-2tPk-C4wfe5bgdWMqrA

一部手机失窃引发的惊心动魄的战争

来源:信息安全老骆驼

9月4日 ——
7:30:正带着大娃在理发店理发,老婆过来告诉我,她在小区门口推着二娃蹲下买水果时婴儿车袋子里的手机被偷了。这时看到P40 pro上市,一年一度的换机季又到来了。说是丢失后就用其他手机拨打,但对方接通后关机。当时不知道我怎么想的,觉得可能还有机会能找回,没有未立即挂失手机卡,设置了华为找回手机的上线通知(这个不果断的决定,导致了后续悲剧的发生)。
8:51:对方把卡取出来插在其他手机开机,后面通过查询通话和短信详单才知道,才一个小时多点的时间,对方从高新区直奔成华区,以周五成都高峰期的交通状况,算是比较极限了。
一部手机失窃引发的惊心动魄的战争
9:24:家人发现被偷手机可以拨通,但我这边“查找我的手机”显示还未上线,但没两分钟我的手机收到提示手机在成华区上线了,瞬间再看找回手机界面,设备被解绑了,突然有种不好的感觉,一般的小偷不会这么快这么熟练的干这些。
立刻致电10000号挂失手机卡,但此时电信服务密码已经不正确了,通过验证身份证号码加提供上个月联系过的三个电话号码进行了挂失。开始采取紧急措施,登录手机银行把可立即赎回的理财全部赎回,活期余额全部转我账上,联系多家银行冻结信用卡,把支付宝、微信上的资金转走,绑定的信用卡全删掉,考虑到部分储蓄卡余额为0,且对方不知道我的卡号,就没去挂失。
9:48:家人说电话还可以打通,立马致电10000号,询问为什么还可以拨通,回复说卡是正常状态,继续挂失。
9:55:越想越不对劲,又致电10000号,问之前挂失失败的原因是什么。得到答复,第一次挂失是成功了的,但后面又被解挂了。
还有这种操作,打电话解除挂失,我是第一次知道,常识性认为我挂失了就应该是带上身份证去营业厅解除挂失,包括后面去报案,民警听说挂失后还可以电话解挂,也是很惊讶。
但明显对方是有备而来,后期分析时我认为连偷手机的时间都是事先定好的,对方把电信的业务流程已经掌握得很清楚了,这也导致我后期的补救措施变得很被动。
根据云闪付上的绑卡信息,继续给银行电话,挨个冻结储蓄卡,建行etc信用卡因为已经解绑了,且第二天要出行上高速,就没去管了。
这期间还漏掉一个老婆10多年前办的一张建行卡,一张工商银行卡,又埋雷了。
一部手机失窃引发的惊心动魄的战争
00:23时:发现支付宝、微信接连被挤下线,重要的是登录的设备和丢失的手机设备型号一致!完了,遇上高手了,华为的锁屏密码被解开了。
立马申请冻结(后面发现,已经晚了,对方的操作很迅速,此时支付宝已经被更换了手机号码,怀疑是多人在并发操作的。)、同时申请冻结微信,马上登陆京东,苏宁、国美等常用的APP,更换关联手机号码。没过一会,我的手机就收到一条京东的短信验证码,感觉后面几个APP应该是保住了(蜜汁自信,最后还是被打脸),喘一口气休息下。
分析对方意图,觉得所有银行卡和支付余额里偷不到钱的话可能会用老婆的信息申请贷款,但同时想到放款只能是放到本人银行卡,要想转出去得有银行卡密码(长期以来自己支付密码和银行卡密码一致,连自己都忘了这两个密码不是一个东西,后面追查时才发现,对方用了一个神招,什么银行卡密码、支付密码根本影响不到对方),应该问题不大,加上期间紧张于电信手机卡“挂失”、“解挂”阵地抢占,又有张成都银行社保金融卡漏下了。
后面的一晚上就是循环的我挂失、对方解挂,在10000号上来来回回几十次。至于为什么要坚持,因为觉得虽然自己已经把重要的APP和银行账户都保住了但还是看不透对方想干什么,不过既然对方这么执着的解挂我的手机卡,肯定是有其迫切的原因。抱着凡是敌人想要的,就坚决不能给的信念,一晚上通宵坚持下来了。
这期间我们是很被动的,因为不知道他什么时候解挂,只能躺床上不停打被偷的电话,一拨通立马再打10000号挂失。
一部手机失窃引发的惊心动魄的战争
一部手机失窃引发的惊心动魄的战争
中间多次请求10000号客服,告知手机被偷,犯罪分子正在解挂手机卡用于实施犯罪,请求他们通知领导获得审批后冻结手机卡等明早去营业厅补卡,都被拒绝。
由于一晚上几十次的业务办理,甚至还被客服说“你们自己的私事,不要占用公共资源”,我都不知道对方是怎么忽悠客服的。询问还有没有其他途径自助办理挂失,回答无。只能继续坚持,最后不知道是不是客服自己都受不了我们了,10000发短信告诉我可以在网厅自助办理,登录电信网厅,尝试用软件自动挂失,无奈网厅的一些安全限制导致无法用软件实训自动化的挂失办理,继续手动操作。
一部手机失窃引发的惊心动魄的战争
5:00:发现才注意到网厅有关闭短信的业务,想着如果对方是高手,我关闭后也可能对方会立马发现,但也可能对方只是流水线的犯罪脚本操作工人,可以赌一赌,反正对我没损失,对他们还增加开通短信的步骤。
(后面查短信详单时发现,正是关闭短信功能这个操作,中断了他们后续的犯罪行为,不然损失肯定更严重)
熬到9月5日9点:开车送老婆蹲守营业厅开门,9点8分完成补卡,丈母娘来电话说老婆电话打通了,但接电话的是个男的,我回答说可能是营业厅的营业员接的。几分钟后老婆办卡归来,问到刚才丈母娘电话什么情况, 她说没接到电话啊,手机一直在自己手上。看了下确实没有通话记录,手机外拨也是正常的,短信发送接收也正常。继续打10000号,询问手机是否被开通了呼叫转移,得到确认的答复,验证身份证后关闭业务。关闭之前从话务员那边问到被转移的电话号码(准备后续万一要报警就提交过去)。
开始收复阵地,检查损失。找回支付宝、微信、云闪付,发现除了支付宝手机号被改了,但由于账户本身冻结状态,就没管了。从云闪付上管理的银行卡里交易记录基本没什么异常,只有一张工商银行卡多了280元(诡异吧),一看是从一个钱袋宝转过来的, 觉得蹊跷下了个APP想用手机号码登录钱袋宝看下:APP异常,登录不上,暂时就没管了。 
约了朋友一起峨眉山泡温泉,喝下一瓶乐虎、一瓶红牛、一瓶咖啡,出发去峨眉山,途中继续检查了了下各个支付账户,好像没什么异常。下午到了峨眉山,在温泉池子里休息,恢复体力。准备晚上从电信营业厅查下详单,看对方都干了什么。
晚上查详单前老婆登录支付宝结果习惯性输入手机号码,发现密码错误, 赶紧用手机找回,突然想起自己支付宝账号不是手机号,一看才发现是对方新建的支付宝账号,还绑定了那张被我们遗忘的建行卡,以及一张建行ETC信用卡(办好etc后就一直在抽屉里吃灰),而且账单里有充值消费记录,以及被支付宝风控阻断后的充值退回记录,这时候才发现这张原本绑在云闪付上的信用卡被对方从云闪付解绑了,所以我们才没发现异常。
登陆建行网银,发现9月5日4点多时美团转进 5000元的记录,跪了,再看etc信用卡有各种买卡、充值 的记录 几大千,银联转账记录几大千,最坏的情况还是发生了。
下载了短信和通话详单,开始分析通话和短信记录,挨个查询,基本上通话的都是各家银行、银联,短信记录能查的到源号码的也就是 社保局、华为、腾讯、银联、翼支付、微信、支付宝,其他106开头的服务号不知道是哪个机构的,分析没什么结果。
两人开始回忆从头到尾的细节,开始逐个分析,一个资深渗透测试工程师的优势这时候展示体现出来了。
  • 对方第一次上线时已经把卡拔出来插到其他手机,从短信发送记录上看是给一个手机发了条短信,获取到本机手机号码。
  • 然后联系电信改了服务密码,用手机号码配合短信验证码改了华为密码把原设备上的账号注销
  • 然后解锁了华为锁屏密码,进入了手机。
这中间有几个说不通的地方:
1. 修改电信服务密码需要身份证号码
2. 有华为密码从网站上也没有解锁锁屏密码的功能。
第一个我想的是可能从社工库查到了身份证号码,第二个根据百度结果说是华为老版本的emui 账号登录后可以远程锁机,设置一个新密码,然后用新密码解锁屏幕进入手机(这个操作未实际验证) 。
  • 然后对方还修改了支付宝登录和支付密码、微信密码
  • 中间还修改了支付宝手机号码(为什么这么操作到9月7日晚上的分析才知道),
  • 并且绑定了被我们遗漏的银行卡至支付平台账号上进行消费
这里又有说不通的地方:
1、支付绑卡需要银行完整的卡号,如何得到的?一开始以为打银行客服就可以问到,后面试了下是不行的;
一部手机失窃引发的惊心动魄的战争
但当我查看支付宝的银行卡管理功能时,发现有支付密码的话,可以用支付宝自带的查看卡号功能获取银行卡完整卡号,太长时间没用这个功能了。
但这样的话就还有个说不通的:
2、支付密码的重置需要的条件(人脸 、短信+安全问题 、短信+银行卡信息、银行卡+安全问题),没照片的情况下,人脸应该不行,我们设置的安全问题基本上不会被猜到,那只有短信加银行卡了
(实际上最后发现,对方既可以人脸验证,也可以短信加银行卡验证,甚至连支付宝都是自己新建了一个,支付密码也是自己设置的)。
一部手机失窃引发的惊心动魄的战争
一部手机失窃引发的惊心动魄的战争
然后剩下的步骤就比较清晰了,
  • 通过绑了卡的美团,申请贷款,放款到建行储蓄卡
  • 再通过支付APP之前的绑卡结果,通过购买虚拟卡和网络充值消费掉
剩下就是苏宁金融的信用卡消费了,还是抱着怀疑的态度,他们如何搞到我的信用卡cvv的,这一点我们是比较肯定的,etc信用卡从申请下来就没离开过抽屉。从银行客服那边能获取到的最多也就是信用卡有效期。
(后面才发现支付公司现在绑信用卡根本不验证有效日期和CVV,都是简单粗暴的身份信息+卡号+预留手机号码,甚至有些连预留手机号都不用)。
整理完所有的情况后,就准备联系各个支付公司,准备讨要说法了。一圈下来后,得出的结果是:
  1. 银联云闪付态度极好,说第二天会有专人联系 ;
  2. 财付通 联系不上 ;
  3. 美团借贷 态度模糊 ,问他为何只是简单验证了身份证就放款了,只说这种贷款产品很多其他公司也有的,嗯好像很有道理,大家都做的就是正确的。
  4. 苏宁金融未回应。
准备好一些材料,包括通话、短信记录、银行账单,以及其他零散资料,准备赶回去报警。毕竟事情发生在小区门口,而且团伙作案,极有可能还会再犯,把事情整理下发到业主群,让大家小心防范,提醒大家设置好sim卡密码。大家也都被震惊了,但一致对于怎么获取身份证号码、银行卡号表示疑惑。中间手机陆续还收到几条财付通的支付验证码,但登陆自己账号,没发现有绑卡,留着疑惑后面再处理,反正不给验证码也付不出去。 
思路理清楚了,已经凌晨4点多了。一早赶紧往成都赶。路上云闪付主动联系我们,让我们报警后提供报案回执单等一些材料提交过去,看样子有可能要赔付。美团也打电话过来了,想推卸责任,但还是让我们提供证据资料提交给他们。
派出所民警听说了我们的遭遇都表示惊奇,说之前从没遇到过这种偷手机的。我应该是第一个来报这种案件的 。老婆进去做笔录,耗时几个小时, 出来后说了里面的情况,警察大叔们都表示“这不可能”、“肯定是你手机里放银行卡信息泄露了”、“你是不是放身份证照片在手机里了”,做完笔录竟然又要我们去打印银行流水,跑了几家建行 都是关门的,只能等第二天再来取报案回执单了。 
晚上回去两口子在电脑前继续回想所有细节,把整个过程串一遍,必要时用我的各种APP和账号进行实验,验证自己的分析判断。虽然补了手机卡, 银行卡都冻结了,带支付功能的软件都找回来各种修改密码了,但总觉得哪里就是不对劲。
突然又收到了财付通的支付验证码请求,再关联起前面的几个可疑点,一下子想通了。他用其他支付账号绑了我们的银行卡, 包括之前用手机号登陆苏宁时发现登陆的是别人新创建的苏宁账号、包括支付宝也是新建的,至于他们新建的的账号怎么通过的人脸实名认证,这个留在后面讨论。
说明除了这些APP,肯定还在其他一大堆APP上用我的信息新建了账号,绑了银行卡、通过了实名认证,并自己设置了支付密码。
挨个APP检查, 发现用我们的手机号码新建了支付宝、苏宁、京东且包含有消费记录,这个操作隐蔽性强,如果我们没发现的话,解冻了银行卡,他们还可以用自己创建的支付账号进行消费。
问题又来了,他们用我的手机号新建的账号 我们可以挨个试出来, 但用其他手机号新建的账号我们猜不到,比如云闪付、财付通、苏宁金融 ,这几个从银行流水里查到有转账消费记录,但我们没找到对应的账号。
再回到上面有疑惑的几个问题上:
  1. 要在支付宝上查看我绑定的银行卡信息或者绑新的卡,需要支付密码而支付密码的重置,需要短信+一张银行卡信息的验证;
  2. 一开始整个环节的起点,都需要我的身份证号码,起初我判断是通过社工库,但这一番操作分析下来,整个黑产团队的手法,基本都是利用的各个银行、支付公司的正常业务流程来处理的,那么身份证的获取大概率也不会采用社工库去查询;
  3. 部分支付APP新建账号后的实名认证,需要活体人脸验证,这个如果可以从手机自拍照或者华为云里之前存过的照片,用技术处理手段处理照片绕过人脸识别(参考2020年的新闻《利用照片伪造动画头像“骗过”支付宝人脸识别,一犯罪团伙薅支付宝“羊毛”超4万元》) 
总结下来就是,需要有一个地方,通过手机号码和接收到的短信验证码, 能获取到姓名、身份证号码、以及一张银行卡的卡号。
感觉这几天自己都有点病态了,遇到这种盗刷的倒霉事,不愤怒、不沮丧、不慌乱,而是出奇的亢奋,几天下来没睡几个小时,不停的研究和分析,快把对方的运作模式研究出来了,把IT男追根刨底的特质发挥的淋漓尽致。
一部手机失窃引发的惊心动魄的战争
来,继续冷静分析,手头能跟犯罪分子行为步骤关联最紧密的就是电信营业厅获取的短信和电话记录了,
翻出短信记录,除了第一条犯罪分子发给自己手机号的记录,紧接着就是收到两条12333社保局的短信。最开始两天都没注意到,以为是老婆公司给缴纳的社保的通知短信,但再仔细分析就发现不对劲了。
一是短信发送时间可疑,非工作时间内发送社保缴纳通知是不正常的,连发两条也是不正常的,那突破点就是它了,社保系统里肯定是有身份证信息。
打开四川省人社厅的网站,看到一个四川人社的APP下载二维码,下载打开APP的瞬间就明白了, “快捷登录”、“短信验证码”、“电子社保卡”  这几个关键字明晃晃的扎我眼。
一部手机失窃引发的惊心动魄的战争
一部手机失窃引发的惊心动魄的战争
发送短信验证码,登录进去。点开 “电子社保卡”,发现需要社保密码,继续忘记社保密码,短信验证码重置社保密码,这一切刚好是两条12333的短信验证码,随后展示在眼前的内容,直接解释了上面三条疑惑。
身份证信息、证件照片、社保金融卡的银行卡信息,有了这些东西,干啥都一路畅通了。
一部手机失窃引发的惊心动魄的战争
再返回去之前的支付宝绑卡流程,“无需手动输入卡号,快速绑卡”,几年没用绑卡功能,现在都这么高端了。
选一家银行点进去后,该银行下我的所有银行卡列表直接出来了,选上信用卡,绑卡。CVV 、有效期 这些都是浮云,人家就一个简单的短信验证码验证,这样的话通过支付宝查看你所有银行卡的卡号就简单了。
最后我们再来总结分析一波,这条黑产链的全貌如下:
  1. 一线扒手特定时间选定目标:年轻人、移动支付频率高,在对方注意力分散的情况下出手,运营商营业厅下班后,失主没法当晚立即补卡,给团队预留了一晚上的作案时间;
  2. 拿到手机后迅速送到团队窝点,迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改,一下子让受害者陷入被动;
  3. 获取所有银行卡信息,使用技术手段绕过活体人脸识别验证,在各个平台上创建新账号,绑定受害者银行卡。
  4. 选好几家风控不严的支付公司,开始申请在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账,将钱转走。
  5. 保留新建的支付账号权限, 如果未被发现,后期还可以继续窃取资金。
在这一系列过程中,对方有几点还是让我比较服的:
  1. 全程用的都是正常的业务操作,只是把各个机构的“弱验证”的相关业务链接起来,形成巨大的破坏;
  2. 应该是使用了技术手段通过的人脸验证,用图片处理技术来绕过活体人脸识别验证;
  3. 团队分工协作能力太强,在处理过程中我感觉自己已经用了最快的速度,但总还是晚一步;
  4. 注重隐蔽,留好后路,包括删掉我云闪付上的一些卡来防止我查明细,通过新建账号的方式,如果我没发现,贸然去解冻银行卡,后续还有第二波的攻击;包括赶在我补卡后改服务密码前,设置了呼叫转移。
分析完犯罪分子,再来看下整个过程中参与的机构都有什么“问题”,实际上这个环节里的每一个点,放在对应的业务节点里都不是什么大问题,但手机丢失后,把所有这些点串起来,问题就大了: 
1、四川电信 :我认为整个过程责任最大的就是它了,这挂失、解挂的风骚业务规则简直让我无语,既然都挂失了,不应该考虑到手机已经不在失主身上了,解挂不应该有个时间限制或者要求营业厅办理么?就算前面的过错无视了,同一个手机号码在深夜来来回回挂失解挂几十次,包括机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪,要求停止解挂行为,话务员还是拿着业务话术来敷衍客户“对不起,我们的挂失解挂有固定的业务流程,只要对方能提供服务密码,正常就是可以解挂的”。我们全家人就这样抱着电话陪犯罪分子熬了一夜,到最后还是造成了经济损失。对于四川电信,后续该投诉投诉。
2、四川人社 :它所起到的作用,大家也都看得懂。两条短信验证码,关键的资料全泄露出去了,
但我不好说他有什么罪,毕竟他们本身也不是金融机构, 对个人信息的保护要做成什么样也没个标准。
但这个事情没那么简单,把四川人社换成XX人社或者四川XX,也可能是一样的结果,这个黑产链设计的时候身份证号码的获取途径可以是多处的,至少我随便在网上下载几个地方社保APP,都能找到和四川人社一样登录和密码找回使用手机短信验证的。  
一部手机失窃引发的惊心动魄的战争
一部手机失窃引发的惊心动魄的战争
3. 华为 :其实把华为换成小米,结果也是一样。我只能说密码找回这个业务的验证太简单了,
还有就是网上说的用emui 5.0的手机,可以远程解锁屏幕锁屏密码,这个我没验证过, 但从我支付宝被挤下线时提示对方使用的手机型号来判断,大概率是可以的。
4. 支付宝:先不说为啥同一个身份信息,可以注册两个账号,你的快捷绑卡,是加快了绑卡的便捷性, 但考虑过安全性么?当然,支付宝的风控是强,确实识别到了异常交易,也追回了资金。
但实名认证的人脸识别被绕过,也是事实。
5. 美团:你要发展业务,放宽贷款限制,这我不关心,但你能否做好该有的贷款审批风险控制,凌晨4点的贷款行为,这正常么?
6. 苏宁金融:所有参与这个过程的支付机构中态度最恶劣的一家,出现案件,接到用户报案后第一时间想到的是推卸责任。“报案了么?如果警方有需要,我们会做好配合工作!哦你的经济损失啊,那只能你自己承担了”,中间来过两次电话,基本腔调就是这样。同样是支付公司, 支付宝的风控能识别异常盗刷,苏宁金融就一点察觉都没有,一个新注册的账号,凌晨三四点绑卡,然后购买各种虚拟卡、充值话费这些不容易被追查的商品,这不算高风险异常行为么?
7. 银联云闪付: 和其他支付公司一样, 都存在绑卡验证不严的问题。但是,人家态度是好的啊,凌晨3、4点,客服人员都能用极好的态度和我们沟通,让我们放宽心。第二天有专员联系我们,告诉我们昨晚报的损失少报了,他们查出来我们还有其他损失,并给了详细的指引告诉我们怎么去申请理赔,第二天他们内部调查有新的进展也都第一时间联系并告知我们。
8. 财付通:人工客服太难找了,不过风控也还是有效的,这两天在没有通知我们的情况下,陆陆续续追回了几笔交易金额。
9. 京东:不想说了,反正就是“交易已经发生了,损失你自己承担”,但还好就一笔100元的游戏充值卡。
10. 百度:对方刚好操作到它的时候短信功能已经被我关了,对方也只是绑定了银行卡,还没来得及消费,就不用找它理论了。
多数支付机构基本都有一个现象:
  • 允许用不同的手机号码注册相同实名认证的支付账号,
  • 允许两个账号绑定相同的银行卡,
  • 实名认证有人脸活体识别技术的都被绕过了。
支付机构都在推“快捷绑卡”,是快捷了,点几下鼠标就绑卡了。除了短信验证码,支付宝的快捷绑卡还验证了下支付密码,但好像意义也不大,比如我这种情况,支付账号都是别人用我的信息新建的,支付密码也是他设置的。
说完他们,最后再来说说咱们吧。
通过这几天的经历,不管中间情节有多少起伏,我作为一个有10多年信息安全从业经验的老骆驼,都要被折腾成这样,我实在是不想让大家有跟我相同的经历。提个我认为我们个人能做的最简单最有效的防护措施:
给自己的手机卡上个密码,给手机设置个屏幕锁。这样手机丢了也不用担心别人拔下卡插其他手机里继续使用。
以华为手机为例:设置-安全-更多安全设置-加密和凭据-设置卡锁 , 选定手机卡,启用密码(此时使用的为默认密码1234或者0000),再选择修改密码,输入原密码1234,再输入两次新密码,完成sim卡的密码设置。
同时,如果有遇到和我一样情况的,除了冻结所有银行卡后,还需要把银行卡的预留手机号码全换掉,同时可以通过登陆网银或者手机银行,用快捷支付管理功能,查看都绑了那些支付公司,然后可以尝试用自己的手机号码去登陆那些APP,有可能还会有意外收获,万一支付公司不给理赔,还能自己追回一点。比如我就在对方注册的苏宁账号上找到还没来得及消费的购物卡。  
一部手机失窃引发的惊心动魄的战争
一部手机失窃引发的惊心动魄的战争
然后这个事情是不是就这样结束了?也不一定哈,9月5日我们补办完手机卡时我就和我老婆说了,后面这段时间内要小心陌生的电话和短信、微信。对方快吃进嘴的肉被硬扯下去一大块,手里又有你的一些信息,肯定不会甘心的,要小心后续的网络钓鱼、和电话诈骗。这两天她手机就开始收到有可疑的短信了,什么套路也懒得去猜了,反正不理会就是了。
一部手机失窃引发的惊心动魄的战争
我所经历的这个案件,其实和前两年新闻上报道过的钱包丢失,对方用偷到的身份证去营业厅补了卡,然后导致银行账户损失其实是差不多的,目标都是手机卡。移动互联网的发展给我们的生活带来了巨大的改变,手机的地位也越来越高,希望大家吸取我的这次经验教训,提前做好防范,出事别学我,第一时间挂失手机卡、所有银行卡。

后续进展

9月9日——
在经历了与一个专业黑产团伙的几天对抗之后,新建了这个微信公众号,根据自己搜集整理分析的结果发表了《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文,这篇文章发表后引起的轰动效果,完全超出了我的预期。不想原本只是写给小区业主群的案件记录分析结果一夜间成了网络热文,也答应过网友,事件有了新的进展就汇报给大家。
在今天下午,事件中涉及的几家支付公司都积极联系到我,美团的贷款记录消除了,苏宁金融把我们损失的几千都赔付了。由于美团贷款的记录消除,实际上还导致苏宁金融赔付金融比他造成的损失多了300元,已经联系苏宁金融进行退款。银联云闪付的赔付也已打电话通知取消。对于赔付金额,该还我们的一分都不能少,但多的我们也一分不多要。
发上一篇文章的时候,黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息推论判断出来的,文章的发表也引来了各方注意,提出了个别文章中推论出错的地方。
例如人脸识别的绕过,支付宝在进行业务设计时,对在原手机上创建并登陆的子账号,在实名认证时匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的,
这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此,人脸识别的绕过确实错怪他们了,这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录,推测是为了不触发支付宝的风控规则。
至于四川电信,今天也主动联系到我老婆,对那晚的事件进行道歉,也解释了说对方当时跟他们的客服说是男女朋友闹矛盾,只能说犯罪分子很狡猾,但对于四川电信的远程挂失和解挂的业务流程设计,站在安全的角度上考虑,我还是不能认可。中间有个小插曲,我为了调查案发时我的短信详单中一条未知的短信记录,再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司,客服拒绝了我。虽然未能查成,但说实话我反而是高兴的,至少说明对客户信息保密的业务原则还是有效的。
再说下盗取手机进而实现银行卡盗刷这个案件,自从文章发布后,也有几个网友在微信公众号上留言,说自己经历过一模一样的场景,只是受损金额都比较大,最严重的一位有68万的线上贷款,目前还在索赔中。
在网上找类似案例的时候,发现2019年9月有一篇新闻——《凭SIM卡登陆各软件!上海警方披露最新型盗刷手法》,大家有兴趣可以搜一下,看新闻介绍的犯罪手法,基本上和我遇到的这个案件是一致的,只是获取身份信息的途径不一样。
前面也提到,犯罪分子精心设计的这么一套犯罪脚本,在身份信息获取这种比较容易的环节上,一定是会有备用方案的,目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP(如华住、锦江)、商旅订票类(如去哪儿),这些包含身份证信息的APP和网站,对于身份证号码信息的泄露风险并不是说不知道,只是在业务的“用户体验”面前,安全已经不算个问题了,毕竟我这种案件的数量还是不多。以去哪儿为例,在常用旅客列表中,对身份证信息进行了屏蔽显示,但点击进入信息编辑界面时就明文展示了:
一部手机失窃引发的惊心动魄的战争
一部手机失窃引发的惊心动魄的战争
对敏感数据加个保护的实现技术有难度么?再看看携程的处理方式:
一部手机失窃引发的惊心动魄的战争
我不知道在编辑界面明文展示身份证号码能提升多少百分比的用户使用体验友好度,但安全性的差别就是0%和100%。
今天在朋友圈看到一篇文章《央行科技司司长李伟:金融科技发展应重视个人信息保护》,我的案子刚好与文章里提到的部分内容应景。李司长在9月8日的发布会上提了三块内容:
  • 一是重视个人信息保护,善用数据要素价值。
  • 二是重视数字鸿沟问题,践行数字普惠金融。
  • 三是重视监管科技应用,增强数字化监管能力。
其中第三部分提到:部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时,一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质,这给金融监管提出新挑战。
回看现在各大支付APP热推的”快捷绑卡”业务,相比之前的银行卡绑定流程,是简单快捷了一些,但金融业务,是越简单快捷越好么?昨天我的文章火了后,很多邻居说忘记了自己在哪家银行开过银行卡,想找出来注销掉,问有什么办法。
一部手机失窃引发的惊心动魄的战争
最后再谈下我上篇文章中提到的让大家设置手机SIM卡密码,主要有几点考虑: 
  • 手机锁屏状态下对方无法使用短信功能;
  • 如果更换手机卡至新手机则需要输入SIM卡密码;
  • 要解锁SIM,需要从运营商获取PUK码;
  • 要获取PUK码,需要提供身份信息进行验证;
  • 未解锁手机的情况下加上SIM卡加锁,对方无法知道你的手机号码,这样断了获取身份信息的路。
当然,这样一个安全闭环里也还是有些风险,例如利用GSM中间人攻击获取到号码,但这类一般人遇不到,对普通民众来说可以不用考虑。第一时间挂失手机卡,这一点还是必要的行动,也希望运营商在我这个案件之后,会作出相应的改变。
俗话说“靠人人跑,靠树树倒”,还是靠自己靠谱些,按现在移动金融业务的发展趋势,将来会面临更加严峻的安全挑战;而且金融业务用到的部分关键要素信息,如手机号码、身份证号码在常规移动互联网业务中的交叉使用,数据泄露的风险将越来越大。虽然部分金融机构都给出了被盗刷后的赔付承诺,案件发生在自己身上后你能否符合赔付的标准条件不好说,耗费大量时间精力在这件事上面,也是很心累的。
此外,上篇文章中我按我自己手机的操作流程步骤作为SIM卡设置密码的例子,后来发现很多网友可能由于手机品牌型号差异导致操作失误而锁住SIM卡,对此给大家造成的不便给大家道个歉,考虑不周啊。大家还是在网上搜索自己的手机对应品牌的SIM卡密码设置然后按照详细教程一步一步操作,如遇到SIM卡密码验证失败后出现PUK码输入要求,可联系运营商获取PUK码。请一定小心谨慎,必要时可到运营商营业厅设置。
自己长期从事金融行业信息系统的安全漏洞检测,也曾多次被自己发现的可直接影响账户资金安全的漏洞而震惊,但经历了这次盗刷事件之后我才发现,相比黑客利用各种高深的技术漏洞攻击金融信息系统,更可怕的是这种把每一项看似没问题的问题组合而成的犯罪,让人防不胜防。也希望今后在工作之余,能有时间把自己在金融信息安全行业的专业知识,用大家都能看得懂的方式写出来,提高大家的安全防范意识。

转自:https://mp.weixin.qq.com/s/HQulaLb2OCzWiEu6plVj1Q