“手機失竊致資金被盜”當事人:損失都追回,APP已升級
近期,有名為“資訊保安老駱駝”(以下簡稱:老駱駝)的網友將手機失竊後的遭遇寫成了文章《一部手機失竊而揭露的竊取個人資訊實現資金盜取的黑色產業鏈》,引發了廣泛關注,並獲得了支付寶等機構的迴應。
10月12日,老駱駝釋出了該文章的修訂版,並表示,其個人的損失都已追回。
老駱駝介紹,四川電信修改了電話掛失、解掛的業務規則;文中身份資訊洩露來源的APP也進行了對應安全升級;支付機構也積極聯絡了我,探討如何加強這方面的安全防護。
老駱駝在文章中提出了幾條建議:1. 給自己的手機sim卡上個密碼,2. 給手機設定螢幕鎖,3. 確保手機鎖屏狀態下來簡訊無法看到簡訊驗證碼內容。
事件的起因是9月4日下午7時30分,老駱駝家人的華為手機被盜, 對方把卡取出來放在其他手機,利用簡訊驗證碼從某APP上獲取到身份證、銀行卡號資訊;同時用獲取的資訊修改了電信服務密碼、華為雲密碼。
在老駱駝撥打四川電信(致電10000號)掛失手機卡後,遭到了手機偷盜方的解掛,透過電信10000號掛失解掛的攻防來回數十次,暴露出四川電信在手機卡掛失流程上的問題。
根據老駱駝的自述,手機偷盜方利用獲得的個人資訊,在美團、蘇寧金融、雲閃付等平臺,申請貸款,購買虛擬卡充值,對其造成了經濟損失。手機偷盜方甚至用被盜的手機號碼註冊了新的支付寶。
老駱駝認為,手機偷盜方完成這一整套偷盜、申請貸款、轉移資金的動作,核心是需要拿到手機主人的身份證資訊。
在《一部手機失竊而揭露的竊取個人資訊實現資金盜取的黑色產業鏈》最初的原文中,老駱駝判斷這與某政務機構的產品有關。
在此次修訂版的文章中,老駱駝稱,文中身份資訊洩露來源的APP也進行了對應安全升級。“
但這一塊也是我目前最擔心的,網際網路上以手機簡訊驗證碼可進行登入並檢視身份資訊的網站和APP還是比較多
。”
老駱駝自述自己長期從事金融行業資訊系統的安全漏洞檢測。“但經歷了這次盜刷事件之後我才發現,相比駭客利用各種高深的技術漏洞攻擊金融資訊系統,更可怕的是這種把每一項看似沒問題的問題組合而成的犯罪,讓人防不勝防。也希望今後在工作之餘,能有時間把自己在金融資訊保安行業的專業知識,用大家都能看得懂的方式寫出來,提高大家的安全防範意識。”
以下為:微信公眾號資訊保安老駱駝10月12日釋出的文章《一部手機失竊而揭露的黑色產業鏈—完整修訂版》
“大家好,之前一篇文章《一部手機失竊而揭露的竊取個人資訊實現資金盜取的黑色產業鏈》釋出後,引起了大家極大的關注,但由於之前事發突然,文章寫得倉促,自己的分析也有草率不準確的地方,在公眾號後臺廣大網友也提出各種疑問。為了避免給大家傳導錯誤的資訊,這裡我將事件情況按我目前分析得到的結論重新整理一下,刪掉部分廢話和已證實當初推論不正確的內容。同時也希望大家知道,我的這個事件確屬個案,事件涉及的機構也已對關鍵環節做出了有效的調整和應對,在打擊金融犯罪方面,相關監管部門也是非常重視,我們也不必過度恐慌。”
文章開始前,先回答廣大網友比較關注的幾個問題:
1。相比android手機,如果使用的是蘋果手機遇到相同的情況,是不是更安全一些?
答:犯罪分子目的是手機卡,當然抹除資料或者刷機後進入原手機也是其避開支付軟體風險控制策略的一個手段。但蘋果手機如果在可越獄的版本下,也是可以透過隱藏ID的方式刷機後進入再安裝APP進行操作。所以“哪種手機更安全”可以忽視,設定sim卡密碼才是關鍵。
2。事件的後續進展?
答:我個人的損失都已追回。四川電信修改了電話掛失、解掛的業務規則;文中身份資訊洩露來源的APP也進行了對應安全升級;支付機構也積極聯絡了我,探討如何加強這方面的安全防護;
3。之前的文章為何刪除?
答:原本只是為了分享給小區業主的警示文,但習慣了“技術漏洞分析報告”的風格,很多不必要寫的東西寫得太細,加上第一篇文章當時很多推測是有誤的;由於網上現在一大堆對之前文章的轉載,還是希望把事情說清楚更嚴謹一些,不要給大家造成誤會和恐慌,所以重新整理後上線了這篇文章。
01
—
手機被盜當天(9月4日)
19:30 手機在小區門口的水果店被盜,家人撥打手機對方接通一次後立馬關機了。自己抱著一絲僥倖的心理,僅僅只是使用了“查詢我的手機”裡的鎖定裝置功能,想著透過手機定位嘗試能否找回手機,沒有第一時間掛失(如果當時立即掛失手機卡,後面的事情根本也就不會發生了)。
20:51 對方把卡取出來放在其他手機,利用簡訊驗證碼從某個APP上獲取到身份證、銀行卡號資訊;同時用獲取的資訊修改了電信服務密碼、華為雲密碼。(後期透過分析簡訊詳單得知)
21:24 家人發現被偷手機可以撥通,隨後我的手機收到提示手機在成華區上線了,但很快手機關聯的華為賬號被解除,這一步現在來看,對方應該是使用了華為的資料抹除功能,並重新用華為賬號登入手機並解綁。意識到對方不是普通的偷手機,我立刻致電10000號掛失手機卡,但此時電信服務密碼已經不正確了,透過驗證身份證號碼加提供上個月聯絡過的三個電話號碼進行了掛失。開始採取緊急措施,透過手機銀行轉移活期餘額,聯絡多家銀行凍結信用卡,把支付寶、微信上的資金轉走,繫結的信用卡全刪掉。
21:48 家人說電話還可以打通,再次致電10000號,詢問為什麼沒有掛失,回覆說卡是正常狀態,於是要求繼續掛失。
21:55 越想越不對勁,第一次掛失後自己是打電話確認了無法接通的。又致電10000號,詢問之前掛失失敗的原因是什麼。得到答覆,第一次掛失是成功了的,但後面又被解掛了。這一點自己確實是沒想到的,掛失後還可以憑服務密碼或者身份資訊和通話記錄進行解掛。(現在四川電信已經對這個業務流程做出了調整)
根據銀聯雲閃付上的綁卡資訊,繼續給銀行電話,挨個凍結儲蓄卡,ETC信用卡因為未繫結在APP上,自信的認為對方無信用卡CVV等資訊肯定盜刷不了,且第二天要出行上高速,就沒去管了。有兩張銀行卡因為辦理時間較早,卡也丟失了,就給漏下了。(後續的盜刷基本就都集中在這幾張卡上,反面教材警示)
00:23 ,發現支付寶被擠下線,登入的裝置和丟失的手機型號一致。我這邊立即申請凍結支付寶、微信,接著登陸京東,蘇寧、國美等常用的APP,更換關聯手機號碼。沒過一會,我的手機就收到一條京東的簡訊驗證碼,感覺後面幾個APP應該是保住了(蜜汁自信,最後還是被打臉)。實際上後面查簡訊詳單後發現,手機卡在22:00開始就陸續收到支付寶、微信等支付APP和各家銀行的簡訊,這裡推測對方在哪個時間段在各個平臺註冊新賬號。
後面一晚上就是迴圈的我掛失、對方解掛,在10000號上來來回回幾十次(對方有手機卡、有服務密碼。目前四川電信這一塊業務已進行了調整,不再支援這樣的多次電話掛失、解掛)。
5:00左右發現才注意到網廳有關閉簡訊的業務,嘗試著把簡訊功能關閉了。(後面查簡訊詳單時發現,正是關閉簡訊功能這個操作,中斷了他們後續的犯罪行為,不然損失肯定更嚴重,也慶幸對方沒注意到我的這個操作)
02
—
手機補卡、清點損失、分析過程(9月5日)
9:00,蹲守電信營業廳開門,9點8分完成補卡,但發現補回的手機卡被辦理了來電轉駁業務,目前暫時還不知道對方這個操作的目的是什麼。透過10000號把來電轉駁關閉了。
開始清點損失,找回各個支付平臺的賬號,發現除了支付寶手機號被改了,並沒有其他異常記錄。
22:00 還是不放心,當天晚上再次核對時意外操作發現對方用偷到的手機號新建了一個支付寶,還綁定了那張被我們遺忘的建行卡,以及一張ETC信用卡(這張卡開通後未在其他地方使用過),而且賬單裡有充值消費記錄,以及支付寶風的充值退回記錄。登陸建行網銀,發現9月5日凌晨4點多美團轉進一筆 5000元的記錄,再看ETC信用卡有各種買卡、充值的記錄,銀聯轉賬記錄,一開始擔心的被申請貸款,雖然想到了但還是沒防好。
下載了簡訊和通話詳單,開始仔細分析通話和簡訊記錄。回憶從頭到尾的細節,逐個分析對方的作案流程,過程太繁瑣這裡我直接給出分析結果:
獲取身份資訊修改了運營商服務密碼
簡訊驗證碼修改華為密碼
透過刷機或者抹掉資料的方式進入手機
用掌握的身份資訊註冊支付平臺新賬號
透過支付平臺使用受害者原賬號申請貸款
透過線上、線下完成消費
附加對這個過程的幾點說明:
1。 獲取身份資訊的途徑在9月7日的再次分析後才確認;
2。目前新版本的華為,未找到有繞過鎖屏密碼的漏洞,通過後期的分析推測對方更可能是透過抹掉資料後進入手機重灌支付APP,因為這樣更快捷。也只有進入原手機,才能繞過支付公司的風控規則做一些其他的操作。
3。根據其他相同遭遇網友的留言,在第五步申請貸款部分,有的是透過花唄,有的是透過白條,只是因為我發現對方支付寶把我擠下線後第一時間凍結支付寶,京東賬號因為實名資訊用的我自己的,因此這兩部分沒有遭受損失。
4。 以支付寶為例,子賬號要開通花唄,可以透過向主賬號傳送申請來開通,所以對方需要登陸我原來的支付寶賬號。
整理完所有的資訊後,已經凌晨兩三點了,雖然很晚了但還是嘗試著挨家支付機構打電話聯絡告知被盜刷。銀聯雲閃付客服態度極好,給他們報了損失金額,告知我們第二天會有專人聯絡處理後續事情。準備好一些材料,包括通話、簡訊記錄、銀行賬單,以及其他零散資料,因為當天離開了成都,只能第二天趕回去報警。
03
—
派出所報案,再次分析過程(9月6日)
8:00 一早趕緊往成都趕。路上雲閃付主動聯絡我們告訴我們昨晚提交的損失報少了,並讓我們報警後提供報案回執單等一些材料提交過去,看樣子有可能要賠付,安心了不少。派出所民警聽說了我們的遭遇都表示驚奇,說之前從沒遇到過這種偷手機的,站在以往常規案例的經驗,懷疑是否我們洩露了身份證照片之類的導致的。我應該是第一個來這個派出所報這種案件的,對於派出所民警的反應其實是可以理解的,包括自己的家人也有在警察隊伍的,也表示沒聽說過類似的案件。
晚上在電腦前繼續回想所有細節,把整個過程串一遍,必要時用自己的APP和賬號進行實驗,驗證自己的分析判斷。雖然補了手機卡,銀行卡都凍結了,帶支付功能的軟體都找回來各種修改密碼了,但總覺得哪裡就是不對勁。突然又收到了財付通的支付驗證碼請求,再關聯起前面的幾個可疑點,可以確定的是:還有其他支付賬號綁了我的銀行卡,既然前面對方用支付寶建立了小號,其他平臺上就大機率還有。挨個APP檢查, 發現用我們的手機號碼新建了支付寶、蘇寧、京東且包含有消費記錄,這個操作隱蔽性強,如果我們沒發現的話,解凍了銀行卡,他們還可以用自己建立的支付賬號進行一些小額消費。但也有用他們自己手機號碼+我的身份資訊建立的賬號, 比如微信,我只能收到支付簡訊但無法登陸對方賬號進行銀行卡解綁。後面是自己挨家登陸銀行的網銀、手機銀行,在快捷支付選單裡進行查詢和關閉的。
再次分析時發現對方如果要順暢的執行完這一連串的操作,需要拿到手機主人的身份證資訊,透過分析簡訊接收記錄成功定位到對方的獲取途徑。(目前對應問題已修復,這裡不描述細節內容)
。
04
—
整個事件分析總結
在這一系列過程中,犯罪團伙的特點:
1。 全程用的都是正常的業務操作,只是把各個機構的“弱驗證”的相關業務連結起來,形成巨大的破壞;
2。 團隊分工協作,有成熟的作案指令碼(後臺網友留言也證實了這一點,並且關鍵環節是有多個備用方案的)。
分析完犯罪團伙,再來看下涉及的各個相關機構的“弱點”環節,實際上任何一家機構在過程中所涉及的業務,在不關聯在一起的角度上看,都是小問題甚至不算問題:
1。 四川電信:電話掛失和解掛的業務未考慮到手機被盜後身份資訊洩露的情況,(四川電信目前也已經對這一環節進行了調整);
2。 各支付機構,每家支付機構都有自己的風險控制策略,風控策略對我這種情況很多關鍵業務是沒有提前識別並介入的,更多的是靠後期的異常交易發生後進行追回,例如支付寶上第一筆盜刷到第二天早上的追回,間隔了5個多小時,可以理解為支付寶的“主動賠付”;實際上如果犯罪分子是透過抹掉資料或者刷機進入的手機,無論是android還是蘋果手機,相比正常使用的情況下,手機是有一些特徵可以定位並應用到風控策略的,檢測到這種異常的情況下透過增強的身份驗證,例如關鍵步驟採用人臉識別技術,可以起到阻斷的效果。
3。 涉及身份資訊洩露的移動APP,主要是密碼找回功能對簡訊驗證碼過度依賴,缺乏其他要素驗證,其次就是涉及金融的敏感資訊的保護不足,目前這個問題也已經進行了修復。但這一塊也是我目前最擔心的,網際網路上以手機簡訊驗證碼可進行登入並檢視身份資訊的網站和APP還是比較多。
4。 美團貸款這塊,一開始我以為美團是缺失貸款的人臉驗證,後面上網查其他網友的經歷,發現貸款申請是有需要人臉識別驗證的情況。應該是風險檢測這塊檢測到裝置指紋是常用裝置,所以就沒要求人臉驗證吧。
5。華為手機,密碼找回功能過度依賴簡訊驗證碼,缺乏其他關鍵驗證資訊
目前遺留未確定的問題:建行銀行卡卡號對方從何處獲取的?
所有支付公司都綁定了建設銀行的卡,其他支付公司可能是透過快捷綁卡完成的, 但云閃付的快捷綁卡列表上沒有建設銀行,也透過雲閃付了解到對方是直接輸入卡號完成綁卡的。
一開始未注意到“快捷綁卡”這個功能時,一度以為是建設銀行洩露了我的卡號,但自己測試了客服電話、網銀、手機銀行、微信公眾號,都沒有發現在盜取到手機和身份資訊後可直接檢視的地方。後面甚至對建設銀行的快捷綁卡頁面做了技術檢測,發現整個過程沒有使用明文卡號,後臺請求中代表卡號的引數都是加密的。只能說銀行在個人資訊保護、風險控制這塊更加的嚴格,雖然動不動很多業務要去櫃面辦理,但直接保證了你的資金安全(我的損失鍋其實不在銀行,走快捷支付時資金安全只能依賴對應的支付公司了)。
說完他們,最後再來說說自己,心存僥倖未第一時間掛失手機卡、掛失銀行卡時沒找齊所有卡,這些都給犯罪分子留下了機會。但透過這幾天的經歷,不管中間情節有多少起伏,我作為一個有10多年資訊保安從業經驗的老駱駝,都要被折騰成這樣,我實在是不想讓大家有跟我相同的經歷。提幾個我個人認為比較簡單有效的防護措施:
1。 給自己的手機sim卡上個密碼,
2。 給手機設定螢幕鎖
3。 確保手機鎖屏狀態下來簡訊無法看到簡訊驗證碼內容。
透過上面的措施就算手機丟了未能及時發現和掛失也不用擔心別人拔下卡插其他手機裡繼續使用。
以華為手機為例:設定-安全-更多安全設定-加密和憑據-設定卡鎖, 選定手機卡,啟用密碼(此時使用的為預設密碼1234或者0000),再選擇修改密碼,輸入原密碼1234,再輸入兩次新密碼,完成sim卡的密碼設定。要注意的是設定了sim密碼後手機重啟或者把卡換到新手機上 都需要先輸入sim卡密碼後再輸入鎖屏密碼,如果sim卡密碼輸入錯誤3次,就會要求輸入puk碼才能解鎖,這時別再亂輸,請聯絡運營商或者puk碼進行解鎖,否則10次錯誤後手機卡會失效必須去營業廳換卡。其他各型號手機的設定方法建議大家直接百度搜索。
案件發生後也有支付機構主動聯絡了我,對過程和細節問題進行了分析和討論,借用風控專家的話:“其實你這個事情是個好事,在這種新型犯罪大量爆發前用較低的代價讓大家都重視和關注起來,各機構採取有效的措施,避免後面造成更大損失後才去‘救火’的局面”。
第一篇文章釋出後,有可疑號碼打我電話進行囂張的漫罵,只能送你們一句:“法網恢恢,疏而不漏!”