这个故事和一个普通的上班族有关。小王是一家外贸公司的财务主管,公司的日常资金往来不少,他自己手上管理着好几张银行卡,有公司的对公账户卡,也有个人的信用卡和储蓄卡。为了记住这些卡的密码,他想了一个听起来挺聪明的办法——用手机自带的备忘录应用把所有的账号和密码记录下来,每次需要查的时候打开手机翻一下就行。但他忽略了一个关键的安全问题,那就是手机的备忘录没有加密保护,而且他的手机锁屏密码也不复杂,就是自己生日的前六位数字。
那天小王在咖啡馆里处理一笔个人转账,需要用到一张平时不太用的储蓄卡,密码他记不太清了。于是他掏出手机打开了备忘录应用,开始翻找记录卡号密码的那一页。就在他翻找的过程中,手指不小心在屏幕上划过了一个他平时不太用的图标——录音应用的快捷按钮。手机在没有任何提醒的情况下开始录音了,小王自己完全没有注意到这个变化。他的注意力全部集中在备忘录里的那串密码上,输入完成完成了转账操作以后就把手机锁屏放进了外套口袋里。
问题出在当天晚上。小王下班后坐地铁回家,一路上人挤人,外套口袋里的手机被挤掉了也没有立刻察觉。等他回到家准备掏手机的时候才发现口袋是空的。他赶紧用朋友的手机打自己的电话号码,响了十几声没有人接,然后再打就已经关机了。手机被人捡走了,而且对方显然没有归还的打算。
小王当时着急的是手机本身的价格和里面的联系人信息,但他没有想到的是,更严重的问题正在悄悄发生。那个捡到手机的人翻开了锁屏界面,尝试了几次锁屏密码就打开了。因为小王设置的密码确实太简单了,六位生日数字,对于熟悉手机解锁技术的人来说根本没有什么难度。打开手机之后,这个人首先翻了一遍相册和备忘录,发现了那份记录着好几张银行卡账号和密码的备忘录文件,而且还发现了手机的录音应用里躺着一段当天下午录制的、时长大约四十分钟的音频文件。
这个人打开了那段录音,发现里面记录了小王在咖啡馆里的各种声音,包括他和咖啡馆服务员说话的声音、周围环境的噪音、以及他在输入密码的时候自言自语嘟囔的那几个数字。没错,小王在转账的时候因为记不住密码,对着备忘录念了一遍密码的几个数字,被他无意中打开的录音功能完整地记录了下来。这段录音加上备忘录里直接写着的账号信息,等于把小王名下的银行卡全部变成了公开的提款机。
这个人拿到了账号和密码以后,没有马上去ATM机取款,而是通过查找小王手机通讯录里的名字和备注信息,大致判断出了他的职业和收入水平。然后在接下来的几天里,利用手机里存储的短信验证码、部分已经登录的金融应用、以及录音里提到的账户信息,逐步将小王名下几张银行卡里的资金转移到了自己控制的账户里。等到小王补办了手机卡、重新登录了自己的银行账户时,发现账户余额已经所剩无几,几张卡总计损失了好几万块钱。公司的那张对公卡虽然也记录在了备忘录里,幸好公司及时发现并冻结了账户,没有造成更大的损失。
从泄密链路来看,第一个环节是小王把银行卡密码直接明文存储在手机备忘录里,没有任何加密保护,手机一的物理安全就被攻破了,信息和资金的安全也不复存在。第二个环节是小王在操作过程中无意中打开了录音功能而没有察觉,而手机录音文件的保存位置和管理方式都不够隐蔽,被拾取者轻易找到并查看。第三个环节是手机锁屏密码设置过于简单,六位生日数字几乎没有防护能力,拾取者可以轻松绕过。第四个环节是账号密码和录音这两类信息在同一个设备上被结合使用,录音中提取的密码信息配合备忘录里的账号信息,形成了完整的资金窃取路径。这四个环节中只要有任何一环被阻断,损失都不至于这么大。
这个案例给所有人的警示是非常生活化但又非常实在的。手机现在已经变成了一个人的数字命脉,里面存储着大量的个人隐私和金融信息。不要在手机上以明文形式记录银行卡密码、支付密码、社保账号、身份证复印件照片这一类高度敏感的信息。如果确实需要记录,也一定要使用经过加密的密码管理工具或者设置额外的保护层。手机录音功能在带来便利的同时也在后台持续运行,但是很多人根本不记得自己什么时候打开了它,更不知道它录了什么、存在了哪里。手机遗失以后的第一时间要做的事不是去懊恼手机本身的价格损失,而是要立刻挂失所有和金融相关的账户并更换与手机绑定的各种密码。一段无意中开启的录音加上一条明文存储的密码记录,就可能让一个普通人的全部积蓄在几天之内消失得干干净净。
