一部手機(jī)失竊而揭露的黑色產(chǎn)業(yè)鏈(完整修訂版)

一部手機(jī)失竊而揭露的黑色產(chǎn)業(yè)鏈(完整修訂版)
2020年10月13日 09:12 新浪財(cái)經(jīng)-自媒體綜合

  原標(biāo)題:一部手機(jī)失竊而揭露的黑色產(chǎn)業(yè)鏈—完整修訂版

  來(lái)源:信息安全老駱駝

  大家好,之前一篇文章《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》發(fā)布后,引起了大家極大的關(guān)注,但由于之前事發(fā)突然,文章寫得倉(cāng)促,自己的分析也有草率不準(zhǔn)確的地方,在公眾號(hào)后臺(tái)廣大網(wǎng)友也提出各種疑問。為了避免給大家傳導(dǎo)錯(cuò)誤的信息,這里我將事件情況按我目前分析得到的結(jié)論重新整理一下,刪掉部分廢話和已證實(shí)當(dāng)初推論不正確的內(nèi)容。同時(shí)也希望大家知道,我的這個(gè)事件確屬個(gè)案,事件涉及的機(jī)構(gòu)也已對(duì)關(guān)鍵環(huán)節(jié)做出了有效的調(diào)整和應(yīng)對(duì),在打擊金融犯罪方面,相關(guān)監(jiān)管部門也是非常重視,我們也不必過(guò)度恐慌。

  文章開始前,先回答廣大網(wǎng)友比較關(guān)注的幾個(gè)問題:

  1.相比android手機(jī),如果使用的是蘋果手機(jī)遇到相同的情況,是不是更安全一些?

  答:犯罪分子目的是手機(jī)卡,當(dāng)然抹除數(shù)據(jù)或者刷機(jī)后進(jìn)入原手機(jī)也是其避開支付軟件風(fēng)險(xiǎn)控制策略的一個(gè)手段。但蘋果手機(jī)如果在可越獄的版本下,也是可以通過(guò)隱藏ID的方式刷機(jī)后進(jìn)入再安裝APP進(jìn)行操作。所以“哪種手機(jī)更安全”可以忽視,設(shè)置sim卡密碼才是關(guān)鍵。

  2.事件的后續(xù)進(jìn)展?

  答:我個(gè)人的損失都已追回。四川電信修改了電話掛失、解掛的業(yè)務(wù)規(guī)則;文中身份信息泄露來(lái)源的APP也進(jìn)行了對(duì)應(yīng)安全升級(jí);支付機(jī)構(gòu)也積極聯(lián)系了我,探討如何加強(qiáng)這方面的安全防護(hù);

  3.之前的文章為何刪除?

  答:原本只是為了分享給小區(qū)業(yè)主的警示文,但習(xí)慣了“技術(shù)漏洞分析報(bào)告”的風(fēng)格,很多不必要寫的東西寫得太細(xì),加上第一篇文章當(dāng)時(shí)很多推測(cè)是有誤的;由于網(wǎng)上現(xiàn)在一大堆對(duì)之前文章的轉(zhuǎn)載,還是希望把事情說(shuō)清楚更嚴(yán)謹(jǐn)一些,不要給大家造成誤會(huì)和恐慌,所以重新整理后上線了這篇文章。

  01

  

  手機(jī)被盜當(dāng)天(9月4日)

  19:30 手機(jī)在小區(qū)門口的水果店被盜,家人撥打手機(jī)對(duì)方接通一次后立馬關(guān)機(jī)了。自己抱著一絲僥幸的心理,僅僅只是使用了“查找我的手機(jī)”里的鎖定設(shè)備功能,想著通過(guò)手機(jī)定位嘗試能否找回手機(jī),沒有第一時(shí)間掛失(如果當(dāng)時(shí)立即掛失手機(jī)卡,后面的事情根本也就不會(huì)發(fā)生了)。

  20:51 對(duì)方把卡取出來(lái)放在其他手機(jī),利用短信驗(yàn)證碼從某個(gè)APP上獲取到身份證、銀行卡號(hào)信息;同時(shí)用獲取的信息修改了電信服務(wù)密碼、華為云密碼。(后期通過(guò)分析短信詳單得知)

  21:24 家人發(fā)現(xiàn)被偷手機(jī)可以撥通,隨后我的手機(jī)收到提示手機(jī)在成華區(qū)上線了,但很快手機(jī)關(guān)聯(lián)的華為賬號(hào)被解除,這一步現(xiàn)在來(lái)看,對(duì)方應(yīng)該是使用了華為的數(shù)據(jù)抹除功能,并重新用華為賬號(hào)登錄手機(jī)并解綁。意識(shí)到對(duì)方不是普通的偷手機(jī),我立刻致電10000號(hào)掛失手機(jī)卡,但此時(shí)電信服務(wù)密碼已經(jīng)不正確了,通過(guò)驗(yàn)證身份證號(hào)碼加提供上個(gè)月聯(lián)系過(guò)的三個(gè)電話號(hào)碼進(jìn)行了掛失。開始采取緊急措施,通過(guò)手機(jī)銀行轉(zhuǎn)移活期余額,聯(lián)系多家銀行凍結(jié)信用卡,把支付寶、微信上的資金轉(zhuǎn)走,綁定的信用卡全刪掉。

  21:48 家人說(shuō)電話還可以打通,再次致電10000號(hào),詢問為什么沒有掛失,回復(fù)說(shuō)卡是正常狀態(tài),于是要求繼續(xù)掛失。

  21:55 越想越不對(duì)勁,第一次掛失后自己是打電話確認(rèn)了無(wú)法接通的。又致電10000號(hào),詢問之前掛失失敗的原因是什么。得到答復(fù),第一次掛失是成功了的,但后面又被解掛了。這一點(diǎn)自己確實(shí)是沒想到的,掛失后還可以憑服務(wù)密碼或者身份信息和通話記錄進(jìn)行解掛。(現(xiàn)在四川電信已經(jīng)對(duì)這個(gè)業(yè)務(wù)流程做出了調(diào)整)

  根據(jù)銀聯(lián)云閃付上的綁卡信息,繼續(xù)給銀行電話,挨個(gè)凍結(jié)儲(chǔ)蓄卡,ETC信用卡因?yàn)槲唇壎ㄔ贏PP上,自信的認(rèn)為對(duì)方無(wú)信用卡CVV等信息肯定盜刷不了,且第二天要出行上高速,就沒去管了。有兩張銀行卡因?yàn)檗k理時(shí)間較早,卡也丟失了,就給漏下了。(后續(xù)的盜刷基本就都集中在這幾張卡上,反面教材警示)

  00:23 ,發(fā)現(xiàn)支付寶被擠下線,登錄的設(shè)備和丟失的手機(jī)型號(hào)一致。我這邊立即申請(qǐng)凍結(jié)支付寶、微信,接著登陸京東,蘇寧、國(guó)美等常用的APP,更換關(guān)聯(lián)手機(jī)號(hào)碼。沒過(guò)一會(huì),我的手機(jī)就收到一條京東的短信驗(yàn)證碼,感覺后面幾個(gè)APP應(yīng)該是保住了(蜜汁自信,最后還是被打臉)。實(shí)際上后面查短信詳單后發(fā)現(xiàn),手機(jī)卡在22:00開始就陸續(xù)收到支付寶、微信等支付APP和各家銀行的短信,這里推測(cè)對(duì)方在哪個(gè)時(shí)間段在各個(gè)平臺(tái)注冊(cè)新賬號(hào)。

  后面一晚上就是循環(huán)的我掛失、對(duì)方解掛,在10000號(hào)上來(lái)來(lái)回回幾十次(對(duì)方有手機(jī)卡、有服務(wù)密碼。目前四川電信這一塊業(yè)務(wù)已進(jìn)行了調(diào)整,不再支持這樣的多次電話掛失、解掛)。

  5:00左右發(fā)現(xiàn)才注意到網(wǎng)廳有關(guān)閉短信的業(yè)務(wù),嘗試著把短信功能關(guān)閉了。(后面查短信詳單時(shí)發(fā)現(xiàn),正是關(guān)閉短信功能這個(gè)操作,中斷了他們后續(xù)的犯罪行為,不然損失肯定更嚴(yán)重,也慶幸對(duì)方?jīng)]注意到我的這個(gè)操作)

  02

  

  手機(jī)補(bǔ)卡、清點(diǎn)損失、分析過(guò)程(9月5日)

  9:00,蹲守電信營(yíng)業(yè)廳開門,9點(diǎn)8分完成補(bǔ)卡,但發(fā)現(xiàn)補(bǔ)回的手機(jī)卡被辦理了呼叫轉(zhuǎn)移業(yè)務(wù),目前暫時(shí)還不知道對(duì)方這個(gè)操作的目的是什么。通過(guò)10000號(hào)把呼叫轉(zhuǎn)移關(guān)閉了。

  開始清點(diǎn)損失,找回各個(gè)支付平臺(tái)的賬號(hào),發(fā)現(xiàn)除了支付寶手機(jī)號(hào)被改了,并沒有其他異常記錄。

  22:00 還是不放心,當(dāng)天晚上再次核對(duì)時(shí)意外操作發(fā)現(xiàn)對(duì)方用偷到的手機(jī)號(hào)新建了一個(gè)支付寶,還綁定了那張被我們遺忘的建行卡,以及一張ETC信用卡(這張卡開通后未在其他地方使用過(guò)),而且賬單里有充值消費(fèi)記錄,以及支付寶風(fēng)的充值退回記錄。登陸建行網(wǎng)銀,發(fā)現(xiàn)9月5日凌晨4點(diǎn)多美團(tuán)轉(zhuǎn)進(jìn)一筆 5000元的記錄,再看ETC信用卡有各種買卡、充值的記錄,銀聯(lián)轉(zhuǎn)賬記錄,一開始擔(dān)心的被申請(qǐng)貸款,雖然想到了但還是沒防好。

  下載了短信和通話詳單,開始仔細(xì)分析通話和短信記錄。回憶從頭到尾的細(xì)節(jié),逐個(gè)分析對(duì)方的作案流程,過(guò)程太繁瑣這里我直接給出分析結(jié)果:

  獲取身份信息修改了運(yùn)營(yíng)商服務(wù)密碼

  短信驗(yàn)證碼修改華為密碼

  通過(guò)刷機(jī)或者抹掉數(shù)據(jù)的方式進(jìn)入手機(jī)

  用掌握的身份信息注冊(cè)支付平臺(tái)新賬號(hào)

  通過(guò)支付平臺(tái)使用受害者原賬號(hào)申請(qǐng)貸款

  通過(guò)線上、線下完成消費(fèi)

  附加對(duì)這個(gè)過(guò)程的幾點(diǎn)說(shuō)明:

  1.獲取身份信息的途徑在9月7日的再次分析后才確認(rèn);

  2.目前新版本的華為,未找到有繞過(guò)鎖屏密碼的漏洞,通過(guò)后期的分析推測(cè)對(duì)方更可能是通過(guò)抹掉數(shù)據(jù)后進(jìn)入手機(jī)重裝支付APP,因?yàn)檫@樣更快捷。也只有進(jìn)入原手機(jī),才能繞過(guò)支付公司的風(fēng)控規(guī)則做一些其他的操作。

  3.根據(jù)其他相同遭遇網(wǎng)友的留言,在第五步申請(qǐng)貸款部分,有的是通過(guò)花唄,有的是通過(guò)白條,只是因?yàn)槲野l(fā)現(xiàn)對(duì)方支付寶把我擠下線后第一時(shí)間凍結(jié)支付寶,京東賬號(hào)因?yàn)閷?shí)名信息用的我自己的,因此這兩部分沒有遭受損失。

  4.以支付寶為例,子賬號(hào)要開通花唄,可以通過(guò)向主賬號(hào)發(fā)送申請(qǐng)來(lái)開通,所以對(duì)方需要登陸我原來(lái)的支付寶賬號(hào)。

  整理完所有的信息后,已經(jīng)凌晨?jī)扇c(diǎn)了,雖然很晚了但還是嘗試著挨家支付機(jī)構(gòu)打電話聯(lián)系告知被盜刷。銀聯(lián)云閃付客服態(tài)度極好,給他們報(bào)了損失金額,告知我們第二天會(huì)有專人聯(lián)系處理后續(xù)事情。準(zhǔn)備好一些材料,包括通話、短信記錄、銀行賬單,以及其他零散資料,因?yàn)楫?dāng)天離開了成都,只能第二天趕回去報(bào)警。

  03

  

  派出所報(bào)案,再次分析過(guò)程(9月6日)

  8:00 一早趕緊往成都趕。路上云閃付主動(dòng)聯(lián)系我們告訴我們昨晚提交的損失報(bào)少了,并讓我們報(bào)警后提供報(bào)案回執(zhí)單等一些材料提交過(guò)去,看樣子有可能要賠付,安心了不少。派出所民警聽說(shuō)了我們的遭遇都表示驚奇,說(shuō)之前從沒遇到過(guò)這種偷手機(jī)的,站在以往常規(guī)案例的經(jīng)驗(yàn),懷疑是否我們泄露了身份證照片之類的導(dǎo)致的。我應(yīng)該是第一個(gè)來(lái)這個(gè)派出所報(bào)這種案件的,對(duì)于派出所民警的反應(yīng)其實(shí)是可以理解的,包括自己的家人也有在警察隊(duì)伍的,也表示沒聽說(shuō)過(guò)類似的案件。

  晚上在電腦前繼續(xù)回想所有細(xì)節(jié),把整個(gè)過(guò)程串一遍,必要時(shí)用自己的APP和賬號(hào)進(jìn)行實(shí)驗(yàn),驗(yàn)證自己的分析判斷。雖然補(bǔ)了手機(jī)卡,銀行卡都凍結(jié)了,帶支付功能的軟件都找回來(lái)各種修改密碼了,但總覺得哪里就是不對(duì)勁。突然又收到了財(cái)付通的支付驗(yàn)證碼請(qǐng)求,再關(guān)聯(lián)起前面的幾個(gè)可疑點(diǎn),可以確定的是:還有其他支付賬號(hào)綁了我的銀行卡,既然前面對(duì)方用支付寶創(chuàng)建了小號(hào),其他平臺(tái)上就大概率還有。挨個(gè)APP檢查, 發(fā)現(xiàn)用我們的手機(jī)號(hào)碼新建了支付寶、蘇寧、京東且包含有消費(fèi)記錄,這個(gè)操作隱蔽性強(qiáng),如果我們沒發(fā)現(xiàn)的話,解凍了銀行卡,他們還可以用自己創(chuàng)建的支付賬號(hào)進(jìn)行一些小額消費(fèi)。但也有用他們自己手機(jī)號(hào)碼+我的身份信息創(chuàng)建的賬號(hào), 比如微信,我只能收到支付短信但無(wú)法登陸對(duì)方賬號(hào)進(jìn)行銀行卡解綁。后面是自己挨家登陸銀行的網(wǎng)銀、手機(jī)銀行,在快捷支付菜單里進(jìn)行查詢和關(guān)閉的。

  再次分析時(shí)發(fā)現(xiàn)對(duì)方如果要順暢的執(zhí)行完這一連串的操作,需要拿到手機(jī)主人的身份證信息,通過(guò)分析短信接收記錄成功定位到對(duì)方的獲取途徑。(目前對(duì)應(yīng)問題已修復(fù),這里不描述細(xì)節(jié)內(nèi)容)。

  04

  

  整個(gè)事件分析總結(jié)

  在這一系列過(guò)程中,犯罪團(tuán)伙的特點(diǎn):

  1.全程用的都是正常的業(yè)務(wù)操作,只是把各個(gè)機(jī)構(gòu)的“弱驗(yàn)證”的相關(guān)業(yè)務(wù)鏈接起來(lái),形成巨大的破壞;

  2.團(tuán)隊(duì)分工協(xié)作,有成熟的作案腳本(后臺(tái)網(wǎng)友留言也證實(shí)了這一點(diǎn),并且關(guān)鍵環(huán)節(jié)是有多個(gè)備用方案的)。

  分析完犯罪團(tuán)伙,再來(lái)看下涉及的各個(gè)相關(guān)機(jī)構(gòu)的“弱點(diǎn)”環(huán)節(jié),實(shí)際上任何一家機(jī)構(gòu)在過(guò)程中所涉及的業(yè)務(wù),在不關(guān)聯(lián)在一起的角度上看,都是小問題甚至不算問題:

  1.四川電信:電話掛失和解掛的業(yè)務(wù)未考慮到手機(jī)被盜后身份信息泄露的情況,(四川電信目前也已經(jīng)對(duì)這一環(huán)節(jié)進(jìn)行了調(diào)整);

  2.各支付機(jī)構(gòu),每家支付機(jī)構(gòu)都有自己的風(fēng)險(xiǎn)控制策略,部分風(fēng)控策略對(duì)我這種情況沒有識(shí)別并增強(qiáng)驗(yàn)證;實(shí)際上如果犯罪分子是通過(guò)抹掉數(shù)據(jù)或者刷機(jī)進(jìn)入的手機(jī),無(wú)論是android還是蘋果手機(jī),相比正常使用的情況下,手機(jī)是有一些特征可以定位并應(yīng)用到風(fēng)控策略的,檢測(cè)到這種異常的情況下可以在登錄、密碼重置等關(guān)鍵步驟就通過(guò)增強(qiáng)的身份驗(yàn)證,例如關(guān)鍵步驟采用人臉識(shí)別技術(shù),可以起到阻斷的效果。

  3.涉及身份信息泄露的移動(dòng)APP,主要是密碼找回功能對(duì)短信驗(yàn)證碼過(guò)度依賴,缺乏其他要素驗(yàn)證,其次就是涉及金融的敏感信息的保護(hù)不足,目前這個(gè)問題也已經(jīng)進(jìn)行了修復(fù)。但這一塊也是我目前最擔(dān)心的,互聯(lián)網(wǎng)上以手機(jī)短信驗(yàn)證碼可進(jìn)行登錄并查看身份信息的網(wǎng)站和APP還是比較多。

  4.美團(tuán)貸款這塊,一開始我以為美團(tuán)是缺失貸款的人臉驗(yàn)證,后面上網(wǎng)查其他網(wǎng)友的經(jīng)歷,發(fā)現(xiàn)貸款申請(qǐng)是有需要人臉識(shí)別驗(yàn)證的情況。應(yīng)該是風(fēng)險(xiǎn)檢測(cè)這塊檢測(cè)到設(shè)備指紋是常用設(shè)備,所以就沒要求人臉驗(yàn)證吧。

  5.華為手機(jī),密碼找回功能過(guò)度依賴短信驗(yàn)證碼,缺乏其他關(guān)鍵驗(yàn)證信息

  目前遺留未確定的問題:建行銀行卡卡號(hào)對(duì)方從何處獲取的?

  所有支付公司都綁定了建設(shè)銀行的卡,其他支付公司可能是通過(guò)快捷綁卡完成的, 但云閃付的快捷綁卡列表上沒有建設(shè)銀行,也通過(guò)云閃付了解到對(duì)方是直接輸入卡號(hào)完成綁卡的。

  一開始未注意到“快捷綁卡”這個(gè)功能時(shí),一度以為是建設(shè)銀行泄露了我的卡號(hào),但自己測(cè)試了客服電話、網(wǎng)銀、手機(jī)銀行、微信公眾號(hào),都沒有發(fā)現(xiàn)在盜取到手機(jī)和身份信息后可直接查看的地方。后面甚至對(duì)建設(shè)銀行的快捷綁卡頁(yè)面做了技術(shù)檢測(cè),發(fā)現(xiàn)整個(gè)過(guò)程沒有使用明文卡號(hào),后臺(tái)請(qǐng)求中代表卡號(hào)的參數(shù)都是加密的。只能說(shuō)銀行在個(gè)人信息保護(hù)、風(fēng)險(xiǎn)控制這塊更加的嚴(yán)格,雖然動(dòng)不動(dòng)很多業(yè)務(wù)要去柜面辦理,但直接保證了你的資金安全(我的損失鍋其實(shí)不在銀行,走快捷支付時(shí)資金安全只能依賴對(duì)應(yīng)的支付公司了)。

  說(shuō)完他們,最后再來(lái)說(shuō)說(shuō)自己,心存僥幸未第一時(shí)間掛失手機(jī)卡、掛失銀行卡時(shí)沒找齊所有卡,這些都給犯罪分子留下了機(jī)會(huì)。但通過(guò)這幾天的經(jīng)歷,不管中間情節(jié)有多少起伏,我作為一個(gè)有10多年信息安全從業(yè)經(jīng)驗(yàn)的老駱駝,都要被折騰成這樣,我實(shí)在是不想讓大家有跟我相同的經(jīng)歷。提幾個(gè)我個(gè)人認(rèn)為比較簡(jiǎn)單有效的防護(hù)措施:

  1.給自己的手機(jī)sim卡上個(gè)密碼

  2.給手機(jī)設(shè)置屏幕鎖

  3.確保手機(jī)鎖屏狀態(tài)下來(lái)短信無(wú)法看到短信驗(yàn)證碼內(nèi)容。

  通過(guò)上面的措施就算手機(jī)丟了未能及時(shí)發(fā)現(xiàn)和掛失也不用擔(dān)心別人拔下卡插其他手機(jī)里繼續(xù)使用。

  以華為手機(jī)為例:設(shè)置-安全-更多安全設(shè)置-加密和憑據(jù)-設(shè)置卡鎖, 選定手機(jī)卡,啟用密碼(此時(shí)使用的為默認(rèn)密碼1234或者0000),再選擇修改密碼,輸入原密碼1234,再輸入兩次新密碼,完成sim卡的密碼設(shè)置。要注意的是設(shè)置了sim密碼后手機(jī)重啟或者把卡換到新手機(jī)上 都需要先輸入sim卡密碼后再輸入鎖屏密碼,如果sim卡密碼輸入錯(cuò)誤3次,就會(huì)要求輸入puk碼才能解鎖,這時(shí)別再亂輸,請(qǐng)聯(lián)系運(yùn)營(yíng)商或者puk碼進(jìn)行解鎖,否則10次錯(cuò)誤后手機(jī)卡會(huì)失效必須去營(yíng)業(yè)廳換卡。其他各型號(hào)手機(jī)的設(shè)置方法建議大家直接百度搜索。

  案件發(fā)生后也有支付機(jī)構(gòu)主動(dòng)聯(lián)系了我,對(duì)過(guò)程和細(xì)節(jié)問題進(jìn)行了分析和討論,借用風(fēng)控專家的話:“其實(shí)你這個(gè)事情是個(gè)好事,在這種新型犯罪大量爆發(fā)前用較低的代價(jià)讓大家都重視和關(guān)注起來(lái),各機(jī)構(gòu)采取有效的措施,避免后面造成更大損失后才去‘救火’的局面”。

  第一篇文章發(fā)布后,有可疑號(hào)碼打我電話進(jìn)行囂張的漫罵,只能送你們一句:“法網(wǎng)恢恢,疏而不漏!”

免責(zé)聲明:自媒體綜合提供的內(nèi)容均源自自媒體,版權(quán)歸原作者所有,轉(zhuǎn)載請(qǐng)聯(lián)系原作者并獲許可。文章觀點(diǎn)僅代表作者本人,不代表新浪立場(chǎng)。若內(nèi)容涉及投資建議,僅供參考勿作為投資依據(jù)。投資有風(fēng)險(xiǎn),入市需謹(jǐn)慎。

海量資訊、精準(zhǔn)解讀,盡在新浪財(cái)經(jīng)APP

責(zé)任編輯:張緣成

APP專享直播

1/10

熱門推薦

收起
新浪財(cái)經(jīng)公眾號(hào)
新浪財(cái)經(jīng)公眾號(hào)

24小時(shí)滾動(dòng)播報(bào)最新的財(cái)經(jīng)資訊和視頻,更多粉絲福利掃描二維碼關(guān)注(sinafinance)

7X24小時(shí)

  • 10-15 欣賀股份 003016 --
  • 10-14 大洋生物 003017 28.85
  • 10-14 阿拉丁 688179 19.43
  • 10-13 東來(lái)技術(shù) 688129 15.22
  • 10-13 廈門銀行 601187 6.71
  • 股市直播

    • 圖文直播間
    • 視頻直播間