滚动新闻:
您的位置:首页 > 聚焦手机 > 内容

惊心动魄!一部手机丢失后有多可怕?支付宝紧急回应

2020-10-10 来源:聚焦手机

来源:21财闻汇

近日,一篇标题为《一部手机失窃而揭露的盗取个人信息实现资金盗取的黑色产业链》的文章引起关注和热议,文章由一位信息安全专家根据亲身经历辨别。

文章作者杨家骆驼表示,由于家人一部手机被盗,自己经历一场与一伙专业老练、利用盗取个人信息窃取他人银行账户资金的犯罪团伙斗智斗勇的事件。文章提及了众多企业,包括电信、华为、支付宝、美团、苏宁金融等,引发大家对财产安全的警觉和辩论。

支付宝回应

对此,支付宝相关部门人员在朋友圈对此称之为支付宝“非攻”安全实验室的同学第一时间和老骆驼联系上了,并理解了相关情况。对此指出,文章所透露的黑产在支付宝里没套到钱和信息;且支付宝允诺资金被盗全额支付,包括手机丢失造成的。

截至新闻报道,这条对此仍悬挂在热搜。

此外,支付宝涉及部门人员在回应中提到,热文中的输掉显然是高阶黑产,但黑产在修改缴纳密码时被支付宝风控拦住了,坎没法银行卡号,也不了缴付款,才注册了一个新号,但新号也不能用于原号里的钱。

“不过他有2点推测与实际情况相符,在这个case中:

1、黑产并没有突破人脸识别:能登记新号是通过其他渠道已掌握的身份信息和短信验证码,在常用设备上构建的。

2、黑产不是通过快速被绑卡获得银行卡号的,而是通过输出用户的银行卡卡号+腾出手机的短信验证码被绑卡的,卡号是黑产通过其他渠道获得的。”

对此同时表示,这篇文章既给用户托了醒,也让支付宝的风控能做进一步的优化。并建议大家单独为SIM卡设置密码, 能在一定程度上防止黑产接管验证码。

原文作者回应事件先前

据老骆驼回应,事发后,事件中涉及的几家支付公司都大力联系到其本人,美团的贷款记录避免了,苏宁金融把损失的几千都赔付了,银联云闪付赔付也已取消。

在今天下午,事件中牵涉到的几家缴纳公司都大力联系到我,美团的贷款记录消除了,苏宁金融把我们损失的几千都支付了。由于美团贷款的记录避免,实际上还导致苏宁金融支付金融比他造成的损失多了300元,已经联系苏宁金融展开付款。银联云闪付的支付也已打电话通报取消。对于支付金额,该还我们的一分都无法少,但多的我们也一分不多要。(来源:信息安全老骆驼)

后续,作者在提到支付宝人脸识别的跨过时回应,“支付宝在进行业务设计时,对在原手机上创立并登陆的子账号,在实名证书时给定身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的,这一点我们办公室的多位工程师今天下午在对我的被盗刷事件展开技术复盘时也检验确实是如此,人脸识别的跨过显然错怪他们了,这也解释得通为何犯罪分子需要关卡偷到的手机展开支付宝的登录,推测是为了不启动时支付宝的风控规则。”

【所附】一部手机被盗引发的惊心动魄的战争

来源:信息安全老骆驼

9月4日 ——

7:30:正带着大娃在理发店理发,老婆过来告诉我,她在小区门口推着二娃蹲下卖水果时婴儿车袋子里的手机被偷了。这时看到P40 pro上市,一年一度的换机季又到来了。说是遗失后就用其他手机电话,但对方接通后关机。当时不知道我怎么想的,觉得有可能还有机会能寻回,没未立即挂失手机卡,设置了华为找回手机的上线通知(这个不果断的决定,导致了后续悲剧的发生)。

8:51:对方把卡放入来挂在其他手机开机,后面通过查找通话和短信详单才知道,才一个小时多点的时间,对方从高新区直奔成华区,以周五成都高峰期的交通状况,却是比较无限大了。

9:24:家人找到被偷手机可以拨通,但我这边“查询我的手机”显示还未上线,但没有两分钟我的手机收到提示手机在成华区上线了,瞬间再看寻回手机界面,设备被解绑了,忽然有种不好的感觉,一般的小偷会这么快这么娴熟的干这些。

立刻约见10000号挂失手机卡,但此时电信服务密码已经不准确了,通过检验身份证号码特提供上个月联系过的三个电话号码展开了挂失。开始采取紧急措施,指定手机银行把可立即归还的理财全部赎回,活期余额全部转我账上,联系多家银行冻结信用卡,把支付宝、微信上的资金转回头,绑定的信用卡仅有删去,考虑到部分储蓄卡余额为0,且对方不知道我的卡号,就没去挂失。

9:48:家人说道电话还可以切断,立马约见10000号,询问为什么还可以拨通,恢复说道卡是正常状态,之后挂失。

9:55:越想越不对劲,又约见10000号,问之前挂失告终的原因是什么。得到答复,第一次挂失是顺利了的,但后面又被解挂了。

还有这种操作,打电话解除挂失,我是第一次告诉,常识性指出我挂失了就应该是拿着身份证去营业厅中止挂失,还包括后面去报案,民警听说挂失后还可以电话解挂,也是很吃惊。

但显著对方是有备而来,后期分析时我认为连偷手机的时间都是事先定好的,对方把电信的业务流程已经掌握得很清楚了,这也导致我后期的补救措施变得很被动。

根据云闪付上的绑卡信息,之后给银行电话,挨个失效储蓄卡,星展银行etc信用卡因为已经解绑了,且第二天要出行上高速,就没去管了。

这期间还漏掉一个老婆10多年前办的一张建行卡,一张工商银行卡,又埋雷了。

00:23时:找到支付宝、微信接连被挤迫下线,重要的是指定的设备和遗失的手机设备型号一致!完了,碰上高手了,华为的锁屏密码被找出了。

立马申请冻结(后面发现,已经晚了,对方的操作者很很快,此时支付宝已经被替换了手机号码,猜测是多人在所发操作者的。)、同时申请人冻结微信,马上登陆京东,苏宁、国美等常用的APP,更换关联手机号码。没过一会,我的手机就接到一条京东的短信验证码,感觉后面几个APP应该是保住了(蜜汁热情,最后还是被打脸),痛一口气睡觉下。

分析对方意图,觉得所有银行卡和支付余额里偷将近钱的话可能会用老婆的信息申请人贷款,但同时想到借贷不能是放在本人银行卡,要想转出去得有银行卡密码(长期以来自己缴纳密码和银行卡密码一致,连自己都忘了这两个密码不是一个东西,后面追查时才找到,对方用了一个神招,什么银行卡密码、支付密码根本影响将近对方),应该问题不大,再加期间紧绷于电信手机卡“挂失”、“解挂”阵地抢占,又有张成都银行社保金融卡漏下了。

后面的一晚上就是循环的我挂失、对方解挂,在10000号上来来回回几十次。至于为什么要坚决,因为觉得虽然自己已经把重要的APP和银行账户都挽回了但还是看不透对方想干什么,不过既然对方这么执著的解挂我的手机卡,认同是有其急迫的原因。抱着凡是敌人想要的,就极力不能给的信念,一晚上通宵坚持下来了。

这期间我们是很被动的,因为不知道他什么时候解挂,不能躺在床上不停打被偷的电话,一拨通立马再打10000号挂失。

中间多次催促10000号客服,告知手机被偷,犯罪分子正在解挂手机卡用于实施犯罪,请求他们通报领导获得审核后冻结手机卡等明早去营业厅补卡,都被拒绝接受。

由于一晚上几十次的业务办理,甚至还被客服说“你们自己的私事,不要占用公共资源”,我都不告诉对方是怎么忽悠客服的。询问还有没其他途径自助办理挂失,问无。不能之后坚决,最后不知道是不是客服自己都受不了我们了,10000发短信告诉他我可以在网厅自助办理,指定电信网厅,尝试用软件自动挂失,无奈网厅的一些安全限制造成无法用软件实训自动化的挂失办理,之后手动操作。

5:00:发现才注意到网厅有重开短信的业务,想着如果对方是高手,我关闭后也有可能对方不会立马发现,但也有可能对方只是流水线的犯罪脚本操作工人,可以赌一赌博,反正对我没损失,对他们还增加开通短信的步骤。

(后面查短信详单时发现,正是重开短信功能这个操作,中断了他们先前的犯罪行为,不然损失肯定更严重)

熬到9月5日9点:开车送老婆蹲守营业厅开门,9点8分完成补卡,丈母娘来电话说道老婆电话切断了,但接电话的是个男的,我问说有可能是营业厅的营业员接的。几分钟后老婆办卡回来,问到刚才丈母娘电话什么情况, 她说没有收到电话啊,手机一直在自己手上。看了下确实没通话记录,手机外拨给也是正常的,短信发送接管也正常。继续打10000号,告知手机是否被通车了呼叫转移,得到确认的回应,验证身份证后重开业务。关闭之前从话务员那边问到被转移的电话号码(打算后续万一要报警就提交过去)。

开始收复阵地,检查损失。找回支付宝、微信、云闪付,发现除了支付宝手机号被改了,但由于账户本身冻结状态,就没管了。从云闪付上管理的银行卡里交易记录基本没什么异常,只有一张工商银行卡多了280元(怪异吧),一看是从一个钱袋宝转过来的, 觉得蹊跷下了个APP想要手机号码登录钱袋宝看下:APP异常,登录不上,暂时就没管了。

约了朋友一起峨眉山泡温泉,喝下一瓶乐虎、一瓶红牛、一瓶咖啡,抵达去峨眉山,途中之后检查早先下各个缴纳账户,样子没什么异常。下午到了峨眉山,在温泉池子里休息,完全恢复体力。打算晚上从电信营业厅查下详单,看对方都干了什么。

晚上查详单前老婆指定支付宝结果习惯性输出手机号码,找到密码错误, 赶紧用手机寻回,突然想起自己支付宝账号不是手机号,一看才找到是对方新建的支付宝账号,还绑定了那张被我们遗忘的星展银行卡,以及一张建行ETC信用卡(办成etc后就一直在抽屉里吃灰),而且账单里有充值消费记录,以及被支付宝风触阻断后的充值撤回记录,这时候才找到这张原本绑在云闪付上的信用卡被对方从云闪付解绑了,所以我们才没发现异常。

登岸建行网银,发现9月5日4点多时美团转进 5000元的记录,叩头了,再看etc信用卡有各种买卡、充值 的记录 几大千,银联转账记录几大千,最坏的情况还是发生了。

下载了短信和通话详单,开始分析通话和短信记录,挨个查找,基本上通话的都是各家银行、银联,短信记录能查的到源号码的也就是 社保局、华为、腾讯、银联、翼缴纳、微信、支付宝,其他106结尾的服务号不知道是哪个机构的,分析没什么结果。

两人开始回想从头到尾的细节,开始逐个分析,一个资深渗透测试工程师的优势这时候展出反映出来了。

  对方第一次上线时已经把卡拔出来挂到其他手机,从短信发送到记录上看是给一个手机发了条短信,获取到本机手机号码。  然后联系电信改为了服务密码,用手机号码因应短信验证码改了华为密码,把原设备上的账号吊销了。  然后关卡了华为锁屏密码,转入了手机。  这中间有几个说必经的地方:

1. 改动电信服务密码必须身份证号码

2. 有华为密码从网站上也没有解锁锁屏密码的功能。

第一个我想的是有可能从社工库查到了身份证号码,第二个根据百度结果说是华为老版本的emui 账号指定后可以远程锁机,设置一个新密码,然后用新密码关卡屏幕进入手机(这个操作者未实际验证) 。

  然后对方还改动了支付宝登录和缴纳密码、微信密码,  中间还修改了支付宝手机号码(为什么这么操作者到9月7日晚上的分析才知道),  并且初始化了被我们遗漏的银行卡至缴纳平台账号上展开消费。  这里又有说必经的地方:

1、缴纳绑卡需要银行原始的卡号,如何获得的?一开始以为打银行客服就可以问到,后试镜了下是敢的;

但当我查阅支付宝的银行卡管理功能时,找到有缴纳密码的话,可以用支付宝自带的查阅卡号功能提供银行卡完整卡号,太长时间不行这个功能了。

但这样的话就还有个说不通的:

2、支付密码的重置必须的条件(人脸 、短信+安全问题 、短信+银行卡信息、银行卡+安全问题),没有照片的情况下,人脸应当不行,我们设置的安全问题基本上会被猜到,那只有短信特银行卡了

(实际上最后发现,对方既可以人脸检验,也可以短信特银行卡检验,甚至连支付宝都是自己新建了一个,支付密码也是自己设置的)。

然后只剩的步骤就比较明晰了,

  通过绑了卡的美团,申请贷款,借贷到星展银行储蓄卡  再通过缴纳APP之前的绑卡结果,通过购买虚拟卡和网络充值消费掉。  只剩就是苏宁金融的信用卡消费了,还是抱着猜测的态度,他们如何搞到我的信用卡cvv的,这一点我们是比较认同的,etc信用卡从申请人下来就没有离开了过抽屉。从银行客服那边能获取到的最多也就是信用卡有效期。

(后面才找到支付公司现在绑信用卡显然不检验有效地日期和CVV,都是非常简单粗暴的身份信息+卡号+腾出手机号码,甚至有些连预留手机号都不必)。

整理完了所有的情况后,就准备联系各个缴纳公司,打算讨要众说纷纭了。一圈下来后,得出结论的结果是:

  银联云闪付态度极好,说第二天不会有专人联系;  财付通 联系不上;  美团借贷 态度模糊不清 ,问他为何只是非常简单验证了身份证就放款了,只说道这种贷款产品很多其他公司也有的,嗯好像很有道理,大家都做到的就是准确的。  苏宁金融未对此。  准备好一些材料,还包括通话、短信记录、银行账单,以及其他零散资料,打算赶回去报警。毕竟事情发生在小区门口,而且团伙作案,极有可能还会犯,把事情整理下发到业主群,让大家小心防范,警告大家设置好sim卡密码。大家也都被愤慨了,但一致对于怎么获取身份证号码、银行卡号表示疑惑。中间手机陆续还接到几条财付通的缴纳验证码,但登岸自己账号,没发现有被绑卡,留着疑惑后面再处置,反正不给验证码也缴不过来。

思路理确切了,已经凌晨4点多了。一早赶紧往成都赶。路上云闪付主动联系我们,让我们报警后提供报案回执单等一些材料提交过去,看样子有可能要赔付。美团也打电话过来了,想要推卸责任,但还是让我们获取证据资料递交给他们。

派出所民警听闻了我们的遭遇都表示惊讶,说道之前从没遇到过这种偷走手机的。我应当是第一个来报这种案件的 。老婆进来做笔录,耗时几个小时, 出来后说了里面的情况,警员大叔们都表示“这不可能”、“认同是你手机里放银行卡信息泄露了”、“你是不是敲身份证照片在手机里了”,做完笔录竟然又要我们去打印机银行流水,跑完了几家星展银行都是关门的,不能等第二天再来取报案回执单了。

晚上回去两口子在电脑前之后回忆起所有细节,把整个过程串一遍,必要时用我的各种APP和账号进行实验,检验自己的分析判断。虽然调补了手机卡, 银行卡都失效了,带支付功能的软件都找回来各种修改密码了,但总觉得哪里就是不对劲。

忽然又接到了财付通的缴纳验证码催促,再关联起前面的几个可疑点,一下子想通了。他用其他缴纳账号被绑了我们的银行卡,还包括之前用手机号登陆苏宁时发现登岸的是别人新创建的苏宁账号、包括支付宝也是新建的,至于他们新建的的账号怎么通过的人脸实名证书,这个回到后面讨论。

解释除了这些APP,认同还在其他一大堆APP上用我的信息新建了账号,绑了银行卡、通过了发帖认证,并自己设置了缴纳密码。

挨个APP检查,发现用我们的手机号码新建了支付宝、苏宁、京东且包括有消费记录,这个操作者隐蔽性强,如果我们没有发现的话,冻结了银行卡,他们还可以用自己创立的支付账号展开消费。

问题又来了,他们用我的手机号新建的账号 我们可以挨个试出来, 但用其他手机号新建的账号我们猜中不到,比如云闪付、财付通、苏宁金融 ,这几个从银行流水里查出有账户消费记录,但我们没寻找对应的账号。

再回到上面有疑惑的几个问题上:

  要在支付宝上查阅我绑定的银行卡信息或者绑新的卡,需要支付密码而支付密码的重置,必须短信+一张银行卡信息的验证;  一开始整个环节的起点,都必须我的身份证号码,起初我辨别是通过社工库,但这一番操作分析下来,整个黑产团队的手法,基本都是利用的各个银行、缴纳公司的正常业务流程来处置的,那么身份证的提供大概率也会使用社工库去查询;  部分缴纳APP新建账号后的实名认证,必须活体人脸检验,这个如果可以从手机自拍照或者华为云里之前存过的照片,用技术处置手段处理照片跨过人脸识别(参考2020年的新闻《利用照片假造动画头像“看穿”支付宝人脸识别,一犯罪团伙薅支付宝“羊毛”超4万元》)  总结下来就是,必须有一个地方,通过手机号码和接收到的短信验证码, 能提供到姓名、身份证号码、以及一张银行卡的卡号。

感觉这几天自己都有点病态了,遇上这种盗刷的倒霉事,不气愤、不失望、不慌乱,而是出奇的烦躁,几天下来没睡几个小时,不停的研究和分析,快把对方的运作模式研究出来了,把IT男追根刨底的特质充分发挥的淋漓尽致。

来,之后耐心分析,手头能跟犯罪分子不道德步骤关联最密切的就是电信营业厅提供的短信和电话记录了。刷出短信记录,除了第一条犯罪分子发给自己手机号的记录,紧接着就是接到两条12333社保局的短信。最开始两天都没注意到,以为是老婆公司给交纳的社保的通知短信,但再仔细分析就找到不对劲了。

一是短信发送时间怀疑,非工作时间内发送社保交纳通知是不正常的,单发两条也是不正常的,那突破点就是它了,社保系统里肯定是有身份证信息。

关上四川省人社厅的网站,看见一个四川人社的APPiTunes二维码,iTunes关上APP的瞬间就明白了, “快捷登录”、“短信验证码”、“电子社保卡” 这几个关键字明晃晃的扎我眼。

发送短信验证码,登录进去。点开 “电子社保卡”,找到需要社保密码,之后忘记社保密码,短信验证码重置社保密码,这一切刚好是两条12333的短信验证码,随后展出在眼前的内容,直接解释了上面三条困惑。

身份证信息、证件照片、社保金融卡的银行卡信息,有了这些东西,干啥都一路畅通了。

再返回去之前的支付宝被绑卡流程,“无需手动输入卡号,快速绑卡”,几年不行被绑卡功能,现在都这么高端了。

选一家银行点进来后,该银行下我的所有银行卡列表必要出来了,选上信用卡,绑卡。CVV 、有效期 这些都是浮云,人家就一个非常简单的短信验证码检验,这样的话通过支付宝查阅你所有银行卡的卡号就简单了。

最后我们再来总结分析一波,这条黑产链的全貌如下:

1、一线打劫特定时间选定目标:年轻人、移动支付频率高,在对方注意力集中的情况下使出,运营商营业厅下班后,失主不了当晚立即补卡,给团队腾出了一晚上的作案时间;

2、获得手机后迅速送往团队窝点,很快完成身份证信息提供、电信服务密码、手机厂商服务登录密码改动,一下子让受害者陷于被动;

3、提供所有银行卡信息,用于技术手段绕过活体人脸识别检验,在各个平台上创立新的账号,绑定受害者银行卡。

4、选好几家风控严加的缴纳公司,开始申请人在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联账户,将钱转走。

5、保留新建的支付账号权限, 如果未被发现,后期还可以之后窃取资金。

在这一系列过程中,对方有几点还是让我比较衣的:

1、全程用的都是正常的业务操作者,只是把各个机构的“很弱检验”的相关业务链接一起,构成极大的毁坏;

2、应当是使用了技术手段通过的人脸验证,用图片处理技术来绕过活体人脸识别检验;

3、团队分工协作能力太强劲,在处理过程中我感觉自己已经用了最快的速度,但总还是晚一步;

4、注重隐蔽,拔好后路,还包括删去我云闪付上的一些卡来防止我查明细,通过新建账号的方式,如果我没找到,贸然去解冻银行卡,后续还有第二波的反击;包括赶在我补卡后改为服务密码前,设置了呼叫转移。

分析完犯罪分子,再来看下整个过程中参予的机构都有什么“问题”,实际上这个环节里的每一个点,放在对应的业务节点里都不是什么大问题,但手机遗失后,把所有这些点串起来,问题就大了:

1、四川电信 :我指出整个过程责任最大的就是它了,这挂失、解挂的风骚业务规则简直让我无语,既然都挂失了,不应当考虑到手机已经不出失主身上了,解挂不应当有个时间容许或者要求营业厅办理么?就算前面的罪过无视了,同一个手机号码在深夜来来回回挂失解挂几十次,还包括机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪,拒绝停止解挂不道德,话务员还是拿着业务话术来为难客户“对不起,我们的挂失解挂有固定的业务流程,只要对方能提供服务密码,正常就是可以解挂的”。我们全家人就这样抱着电话陪伴犯罪分子熬了一夜,到最后还是造成了经济损失。对于四川电信,先前该滋扰投诉。

2、四川人社 :它所起着的作用,大家也都看得懂。两条短信验证码,关键的资料仅有泄露出去了,但我不好说道他有什么罪,毕竟他们本身也不是金融机构, 对个人信息的维护要制成什么样也没个标准。

但这个事情没那么非常简单,把四川人社替换成XX人社或者四川XX,也有可能是一样的结果,这个黑产链设计的时候身份证号码的提供途径可以是多处的,至少我随便在网上iTunes几个地方社保APP,都能找到和四川人社一样指定和密码找回用于手机短信检验的。

3. 华为 :其实把华为换成小米,结果也是一样。我不能说道密码找回这个业务的检验太非常简单了。

还有就是网上说道的用emui 5.0的手机,可以远程关卡屏幕锁住屏密码,这个我没检验过, 但从我支付宝被挤迫下线时提示对方使用的手机型号来辨别,大概率是可以的。

4. 支付宝:先不说为啥同一个身份信息,可以注册两个账号,你的快捷被绑卡,是减缓了绑卡的便捷性, 但考虑过安全性么?当然,支付宝的风控是强,显然识别到了异常交易,也只得了资金。

但实名认证的人脸识别被绕过,也是事实。

5. 美团:你要发展业务,限制贷款限制,这我不关心,但你能否做好该有的贷款审核风险掌控,凌晨4点的贷款不道德,这正常么?

6. 苏宁金融:所有参予这个过程的缴纳机构中态度最恶劣的一家,出现案件,收到用户报案后第一时间想起的是推卸责任。“报案了么?如果警方有需要,我们会作好因应工作!哦你的经济损失啊,那不能你自己分担了”,中间来过两次电话,基本腔调就是这样。同样是缴纳公司, 支付宝的风控能辨识异常盗刷,苏宁金融就一点察觉到都没有,一个新注册的账号,凌晨三四点被绑卡,然后出售各种虚拟卡、充值话费这些不更容易被追查的商品,这不算高风险异常不道德么?

7. 银联云闪付:和其他缴纳公司一样, 都存在被绑卡验证严加的问题。但是,人家态度是好的啊,凌晨3、4点,客服人员都能用极好的态度和我们交流,让我们放宽心。第二天有专员联系我们,告诉他我们昨晚报的损失少报了,他们查出来我们还有其他损失,并给了详尽的提示告诉他我们怎么去申请人理赔,第二天他们内部调查有新的进展也都第一时间联系并告知我们。

8. 财付通:人工客服太难找了,不过风控也还是有效地的,这两天在没有通报我们的情况下,陆陆续续只得了几笔交易金额。

9. 京东:不想说道了,反正就是“交易已经发生了,损失你自己分担”,但就让就一笔100元的游戏充值卡。

10. 百度:对方刚好操作者到它的时候短信功能已经被我关了,对方也只是初始化了银行卡,还没来得及消费,就不用去找它理论了。

多数缴纳机构基本都有一个现象:

  容许用不同的手机号码注册相同发帖证书的支付账号,  容许两个账号绑定相同的银行卡,  实名认证有人脸活体识别技术的都被绕过了。  支付机构都在引“快捷被绑卡”,是快捷了,点几下鼠标就绑卡了。除了短信验证码,支付宝的快捷被绑卡还验证了下支付密码,但样子意义也并不大,比如我这种情况,缴纳账号都是别人用我的信息新建的,支付密码也是他设置的。

说完他们,最后再来说说道咱们吧。

通过这几天的经历,不管中间情节有多少起伏,我作为一个有10多年信息安全从业经验的老骆驼,都要被着急成这样,我觉得是不想让大家有跟我相同的经历。提个我认为我们个人能做到的最简单最有效的防水措施:

给自己的手机卡上个密码,给手机设置个屏幕锁住。这样手机扔了也不用担忧别人忽下卡插其他手机里继续用于。

以华为手机为事例:设置-安全-更多安全设置-加密和凭据-设置卡锁 , 选定手机卡,启用密码(此时使用的为默认密码1234或者0000),再自由选择改动密码,输出原密码1234,再输入两次新密码,完成sim卡的密码设置。

同时,如果有遇到和我一样情况的,除了冻结所有银行卡后,还必须把银行卡的预留手机号码仅有换成;

同时可以通过登岸网银或者手机银行,用快捷缴纳管理功能,查阅都被绑了那些缴纳公司,然后可以尝试用自己的手机号码去登岸那些APP,有可能还不会有意外收获,万一支付公司不给理赔,还能自己追回一点。

比如我就在对方注册的苏宁账号上找到还没有来得及消费的购物卡。

然后这个事情是不是就这样结束了?也不一定哈,9月5日我们补办完了手机卡时我就和我老婆说道了,后面这段时间内要小心陌生的电话和短信、微信。对方快吃进嘴的肉被硬扯下去一大块,手里又有你的一些信息,肯定不会甘心的,要小心后续的网络钓鱼、和电话诈骗。这两天她手机就开始收到有可疑的短信了,什么套路也懒得去猜中了,反正不理会就是了。

我所经历的这个案件,其实和前两年新闻上报道过的钱包丢失,对方用偷到的身份证去营业厅调补了卡,然后导致银行账户损失其实是差不多的,目标都是手机卡。移动互联网的发展给我们的生活带来了巨大的转变,手机的地位也越来越高,期望大家汲取我的这次经验教训,提前做好防范,事发别学我,第一时间挂失手机卡、所有银行卡。

后续进展

9月9日——

在经历了与一个专业黑产团伙的几天对付之后,新建了这个微信公众号,根据自己搜集整理分析的结果公开发表了《一部手机失窃而揭发的盗取个人信息构建资金窃取的黑色产业链》一文,这篇文章发表后引发的轰动效果,几乎超出了我的预期。不想原本只是写给小区业主群的案件记录分析结果一夜间出了网络热文,也答应过网友,事件有了新的进展就汇报给大家。

在今天(9月11日)下午,事件中涉及的几家支付公司都积极联系到我,美团的贷款记录避免了,苏宁金融把我们损失的几千都支付了。由于美团贷款的记录消除,实际上还造成苏宁金融赔付金融比他造成的损失多了300元,已经联系苏宁金融进行付款。银联云闪付的支付也已打电话通报中止。对于支付金额,该还我们的一分都无法少,但多的我们也一分不多要。

放上一篇文章的时候,黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息假设判断出来的,文章的公开发表也引来了各方注意,提出了个别文章中假设错误的地方。

例如人脸识别的绕过,支付宝在进行业务设计时,对在原手机上创立并登岸的子账号,在实名证书时,匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸检验的,这一点我们办公室的多位工程师今天下午在对我的被盗刷事件展开技术复盘时也检验确实是如此,人脸识别的绕过确实错怪他们了,这也解释得通为何犯罪分子需要关卡偷到的手机进行支付宝的登录,推断是为了不启动时支付宝的风控规则。

至于四川电信,今天也主动联系到我老婆,对那晚的事件展开致歉,也说明了说对方当时跟他们的客服说道是男女朋友闹矛盾,只能说犯罪分子很狡猾,但对于四川电信的远程挂失和解悬挂的业务流程设计,车站在安全的角度上考虑,我还是无法接纳。中间有个小插曲,我为了调查案发时我的短信详单中一条不得而知的短信记录,再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属于公司,客服拒绝接受了我。虽然没能查成,但说实话我反而是高兴的,至少说明对客户信息保密的业务原则还是有效的。

再说下窃取手机进而构建银行卡盗刷这个案件,自从文章发布后,也有几个网友在微信公众号上留言,说道自己经历过一模一样的场景,只是受损金额都比较大,最相当严重的一位有68万的线上贷款,目前还在赔偿中。

在网上找类似案例的时候,发现2019年9月有一篇新闻——《凭SIM卡登岸各软件!上海警方透露最新型盗刷手法》,大家有兴趣可以搜一下,看新闻讲解的犯罪手法,基本上和我遇到的这个案件是一致的,只是提供身份信息的途径不一样。

前面也提到,犯罪分子精心设计的这么一套犯罪脚本,在身份信息获取这种比较更容易的环节上,一定是不会有可用方案的,目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP(如华住、锦江)、商旅订票类(如去哪儿),这些包括身份证信息的APP和网站,对于身份证号码信息的泄漏风险并不是说不知道,只是在业务的“用户体验”面前,安全已经不算个问题了,毕竟我这种案件的数量还是不多。以去哪儿为事例,在常用旅客列表中,对身份证信息进行了屏蔽显示,但点击转入信息编辑界面时就明文展出了:

对敏感数据加个维护的实现技术有难度么?再看看携程的处理方式:

我不知道在编辑界面明文展出身份证号码能提高多少百分比的用户使用体验友好度,但安全性的差别就是0%和100%。

今天在朋友圈看到一篇文章《央行科技司司长李伟:金融科技发展应重视个人信息维护》,我的案子刚好与文章里提到的部分内容应景。李司长在9月8日的发布会上提了三块内容:

  一是重视个人信息保护,善用数据要素价值。  二是推崇数字鸿沟问题,贯彻数字普惠金融。  三是重视监管科技应用于,强化数字化监管能力。  其中第三部分提及:部分机构在利用技术创新业务模式、提高服务效率、改善用户体验的同时,一定程度上修改了业务流程、巩固了风控强度、掩盖了业务本质,这给金融监管明确提出新的挑战。

回看现在各大缴纳APP热推的”快捷绑卡”业务,相比之前的银行卡初始化流程,是简单快捷了一些,但金融业务,是越简单快捷越好么?昨天我的文章火了后,很多一家人说道记得了自己在哪家银行进过银行卡,想要找出来注销掉,问有什么办法。

最后再谈下我上篇文章中提到的让大家设置手机SIM卡密码,主要有几点考虑:

  手机锁屏状态下对方无法使用短信功能;  如果更换手机卡至新手机则必须输出SIM卡密码;  要解锁SIM,必须从运营商获取PUK码;  要获取PUK码,需要获取身份信息进行检验;  未关卡手机的情况下加上SIM卡加锁,对方无法知道你的手机号码,这样折断了提供身份信息的路。  当然,这样一个安全闭环里也还是有些风险,例如利用GSM中间人攻击获取到号码,但这类一般人遇不到,对普通民众来说可以不必考虑到。第一时间挂失手机卡,这一点还是必要的行动,也期望运营商在我这个案件之后,会做出适当的改变。

俗话说“靠人人跑完,靠树树倒”,还是靠自己靠谱些,按现在移动金融业务的发展趋势,将来不会面对更加不利的安全挑战;而且金融业务用到的部分关键要素信息,如手机号码、身份证号码在常规移动互联网业务中的交叉用于,数据泄露的风险将越来越大。虽然部分金融机构都得出了被盗翻后的支付允诺,案件发生在自己身上后你能否符合赔付的标准条件不好说,花费大量时间精力在这件事上面,也是很心累的。

此外,上篇文章中我按我自己手机的操作者流程步骤作为SIM卡设置密码的例子,后来找到很多网友可能由于手机品牌型号差异导致操作失误而锁SIM卡,对此给大家导致的不便给大家道个歉,考虑不周啊。大家还是在网上搜索自己的手机对应品牌的SIM卡密码设置然后按照详尽教程一步一步操作,如遇上SIM卡密码验证失败后出现PUK码输入拒绝,可联系运营商提供PUK码。请一定小心谨慎,必要时再往运营商营业厅设置。

自己长期从事金融行业信息系统的安全漏洞检测,也曾多次被自己发现的可直接影响账户资金安全的漏洞而震惊,但经历了这次盗刷事件之后我才发现,比起黑客利用各种高深的技术漏洞攻击金融信息系统,更可怕的是这种把每一项看似没问题的问题组合而成的犯罪,让人防不胜防。也期望今后在工作之余,能有时间把自己在金融信息安全行业的专业知识,用大家都能看得懂的方式写出来,提高大家的安全防止意识。