在这一系列过程中，对方有几点还是让我比较服的：

全程用的都是正常的业务操作，只是把各个机构的“弱验证”的相关业务链接起来，形成巨大的破坏；

应该是使用了技术手段通过的人脸验证，用图片处理技术来绕过活体人脸识别验证；

团队分工协作能力太强，在处理过程中我感觉自己已经用了最快的速度，但总还是晚一步。

注重隐蔽，留好后路，包括删掉我云闪付上的一些卡来防止我查明细，通过新建账号的方式，如果我没发现，贸然去解冻银行卡，后续还有第二波的攻击；包括赶在我补卡后改服务密码前，设置了呼叫转移

分析完犯罪分子，再来看下整个过程中参与的机构都有什么“罪”，实际上这个环节里的每一个点，放在对应的业务节点里都不是什么大问题，但手机丢失后，把所有这些点串起来，问题就大了：

：我认为整个过程责任最大的就是它了，这挂失、解挂的风骚业务规则简直让我无语，既然都挂失了，不应该考虑到手机已经不在失主身上了，解挂不应该有个时间限制或者要求营业厅办理么？就算前面的过错无视了，同一个手机号码在深夜来来回回挂失解挂几十次，包括机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪，要求停止解挂行为，话务员还是拿着业务话术来敷衍客户“对不起，我们的挂失解挂有固定的业务流程，只要对方能提供服务密码，正常就是可以解挂的”。我们全家人就这样抱着电话陪犯罪分子熬了一夜，到最后还是造成了经济损失。对于四川电信，后续该投诉投诉。

2、四川人社 ：它所起到的作用，大家也都看得懂。两条短信验证码，关键的资料全泄露出去了，但我不好说他有什么罪，毕竟他们本身也不是金融机构， 对个人信息的保护要做成什么样也没个标准。但这个事情没那么简单，把四川人社换成XX人社或者四川XX，也可能是一样的结果，这个黑产链设计的时候身份证号码的获取途径可以是多处的，至少我随便在网上下载几个地方社保APP，都能找到和四川人社一样登录和密码找回使用手机短信验证的。

3、华为 ：其实把华为换成小米，结果也是一样。我只能说密码找回这个业务的验证太简单了，还有就是网上说的用emui 5.0的手机，可以远程解锁屏幕锁屏密码，这个我没验证过， 但从我支付宝被挤下线时提示对方使用的手机型号来判断，大概率是可以的。

4、支付宝：先不说为啥同一个身份信息，可以注册两个账号，你的快捷绑卡，是加快了绑卡的便捷性， 但考虑过安全性么？当然，支付宝的风控是强，确实识别到了异常交易，也追回了资金。但实名认证的人脸识别被绕过，也是事实。

5、美团：你要发展业务，放宽贷款限制，这我不关心，但你能否做好该有的贷款审批风险控制，凌晨4点的贷款行为，这正常么？

6、苏宁金融：所有参与这个过程的支付机构中态度最恶劣的一家，出现案件，接到用户报案后第一时间想到的是推卸责任。“报案了么？如果警方有需要，我们会做好配合工作！哦你的经济损失啊，那只能你自己承担了”，中间来过两次电话，基本腔调就是这样。同样是支付公司， 支付宝的风控能识别异常盗刷，苏宁金融就一点察觉都没有，一个新注册的账号，凌晨三四点绑卡，然后购买各种虚拟卡、充值话费这些不容易被追查的商品，这不算高风险异常行为么？

9、京东：不想说了，反正就是“交易已经发生了，损失你自己承担”，但还好就一笔100元的游戏充值卡。

说完他们，最后再来说说咱们吧。

通过这几天的经历，不管中间情节有多少起伏，我作为一个有10多年信息安全从业经验的老骆驼，都要被折腾成这样，我实在是不想让大家有跟我相同的经历。

提个我认为我们个人能做的最简单最有效的防护措施：

给自己的手机卡上个密码，给手机设置个屏幕锁。

这样手机丢了也不用担心别人拔下卡插其他手机里继续使用。以华为手机为例：设置-安全-更多安全设置-加密和凭据-设置卡锁 ， 选定手机卡，启用密码（此时使用的为默认密码1234或者0000），再选择修改密码，输入原密码1234，再输入两次新密码，完成sim卡的密码设置。

同时，如果有遇到和我一样情况的，除了冻结所有银行卡后，还需要把银行卡的预留手机号码全换掉，同时可以通过登陆网银或者手机银行，用快捷支付管理功能，查看都绑了那些支付公司，然后可以尝试用自己的手机号码去登陆那些APP，，有可能还会有意外收获，万一支付公司不给理赔，还能自己追回一点。比如我就在对方注册的苏宁账号上找到还没来得及消费的购物卡。

然后这个事情是不是就这样结束了？

也不一定哈，9月5日我们补办完手机卡时我就和我老婆说了，后面这段时间内要小心陌生的电话和短信、微信。对方快吃进嘴的肉被硬扯下去一大块，手里又有你的一些信息，肯定不会甘心的，要小心后续的网络钓鱼、和电话诈骗。这两天她手机就开始收到有可疑的短信了，什么套路也懒得去猜了，反正不理会就是了。