|
7:30:正帶著大娃在理發(fā)店理發(fā)�����,老婆過來告訴我�����,她在小區(qū)門口推著二娃蹲下買水果時(shí)嬰兒車袋子里的手機(jī)被偷了�����。這時(shí)看到P40 pro上市�����,一年一度的換機(jī)季又到來了�����。說是丟失后就用其他手機(jī)撥打,但對(duì)方接通后關(guān)機(jī)�����。當(dāng)時(shí)不知道我怎么想的�����,覺得可能還有機(jī)會(huì)能找回�����,沒有未立即掛失手機(jī)卡�����,設(shè)置了華為找回手機(jī)的上線通知(這個(gè)不果斷的決定�����,導(dǎo)致了后續(xù)悲劇的發(fā)生)�����。8:51:對(duì)方把卡取出來插在其他手機(jī)開機(jī)�����,后面通過查詢通話和短信詳單才知道�����,才一個(gè)小時(shí)多點(diǎn)的時(shí)間�����,對(duì)方從高新區(qū)直奔成華區(qū)�����,以周五成都高峰期的交通狀況�����,算是比較極限了�����。9:24:家人發(fā)現(xiàn)被偷手機(jī)可以撥通�����,但我這邊“查找我的手機(jī)”顯示還未上線�����,但沒兩分鐘我的手機(jī)收到提示手機(jī)在成華區(qū)上線了�����,瞬間再看找回手機(jī)界面�����,設(shè)備被解綁了�����,突然有種不好的感覺�����,一般的小偷不會(huì)這么快這么熟練的干這些。立刻致電10000號(hào)掛失手機(jī)卡�����,但此時(shí)電信服務(wù)密碼已經(jīng)不正確了�����,通過驗(yàn)證身份證號(hào)碼加提供上個(gè)月聯(lián)系過的三個(gè)電話號(hào)碼進(jìn)行了掛失�����。開始采取緊急措施�����,登錄手機(jī)銀行把可立即贖回的理財(cái)全部贖回�����,活期余額全部轉(zhuǎn)我賬上�����,聯(lián)系多家銀行凍結(jié)信用卡�����,把支付寶�����、微信上的資金轉(zhuǎn)走�����,綁定的信用卡全刪掉�����,考慮到部分儲(chǔ)蓄卡余額為0�����,且對(duì)方不知道我的卡號(hào)�����,就沒去掛失�����。9:48:家人說電話還可以打通�����,立馬致電10000號(hào),詢問為什么還可以撥通�����,回復(fù)說卡是正常狀態(tài)�����,繼續(xù)掛失�����。9:55:越想越不對(duì)勁�����,又致電10000號(hào),問之前掛失失敗的原因是什么。得到答復(fù),第一次掛失是成功了的�����,但后面又被解掛了�����。還有這種操作�����,打電話解除掛失�����,我是第一次知道�����,常識(shí)性認(rèn)為我掛失了就應(yīng)該是帶上身份證去營業(yè)廳解除掛失�����,包括后面去報(bào)案�����,民警聽說掛失后還可以電話解掛�����,也是很驚訝。但明顯對(duì)方是有備而來�����,后期分析時(shí)我認(rèn)為連偷手機(jī)的時(shí)間都是事先定好的�����,對(duì)方把電信的業(yè)務(wù)流程已經(jīng)掌握得很清楚了,這也導(dǎo)致我后期的補(bǔ)救措施變得很被動(dòng)。根據(jù)云閃付上的綁卡信息,繼續(xù)給銀行電話,挨個(gè)凍結(jié)儲(chǔ)蓄卡,建行etc信用卡因?yàn)橐呀?jīng)解綁了,且第二天要出行上高速,就沒去管了。這期間還漏掉一個(gè)老婆10多年前辦的一張建行卡,一張工商銀行卡�����,又埋雷了�����。00:23時(shí):發(fā)現(xiàn)支付寶、微信接連被擠下線�����,重要的是登錄的設(shè)備和丟失的手機(jī)設(shè)備型號(hào)一致�����!完了�����,遇上高手了�����,華為的鎖屏密碼被解開了�����。立馬申請(qǐng)凍結(jié)(后面發(fā)現(xiàn)�����,已經(jīng)晚了,對(duì)方的操作很迅速�����,此時(shí)支付寶已經(jīng)被更換了手機(jī)號(hào)碼�����,懷疑是多人在并發(fā)操作的�����。)�����、同時(shí)申請(qǐng)凍結(jié)微信�����,馬上登陸京東�����,蘇寧�����、國美等常用的APP�����,更換關(guān)聯(lián)手機(jī)號(hào)碼�����。沒過一會(huì)�����,我的手機(jī)就收到一條京東的短信驗(yàn)證碼�����,感覺后面幾個(gè)APP應(yīng)該是保住了(蜜汁自信�����,最后還是被打臉)�����,喘一口氣休息下。分析對(duì)方意圖�����,覺得所有銀行卡和支付余額里偷不到錢的話可能會(huì)用老婆的信息申請(qǐng)貸款�����,但同時(shí)想到放款只能是放到本人銀行卡�����,要想轉(zhuǎn)出去得有銀行卡密碼(長期以來自己支付密碼和銀行卡密碼一致�����,連自己都忘了這兩個(gè)密碼不是一個(gè)東西�����,后面追查時(shí)才發(fā)現(xiàn)�����,對(duì)方用了一個(gè)神招,什么銀行卡密碼�����、支付密碼根本影響不到對(duì)方)�����,應(yīng)該問題不大�����,加上期間緊張于電信手機(jī)卡“掛失”�����、“解掛”陣地?fù)屨?����,又有張成都銀行社保金融卡漏下了�����。后面的一晚上就是循環(huán)的我掛失�����、對(duì)方解掛�����,在10000號(hào)上來來回回幾十次�����。至于為什么要堅(jiān)持�����,因?yàn)橛X得雖然自己已經(jīng)把重要的APP和銀行賬戶都保住了但還是看不透對(duì)方想干什么�����,不過既然對(duì)方這么執(zhí)著的解掛我的手機(jī)卡�����,肯定是有其迫切的原因�����。抱著凡是敵人想要的,就堅(jiān)決不能給的信念�����,一晚上通宵堅(jiān)持下來了�����。這期間我們是很被動(dòng)的�����,因?yàn)椴恢浪裁磿r(shí)候解掛�����,只能躺床上不停打被偷的電話�����,一撥通立馬再打10000號(hào)掛失�����。中間多次請(qǐng)求10000號(hào)客服�����,告知手機(jī)被偷�����,犯罪分子正在解掛手機(jī)卡用于實(shí)施犯罪�����,請(qǐng)求他們通知領(lǐng)導(dǎo)獲得審批后凍結(jié)手機(jī)卡等明早去營業(yè)廳補(bǔ)卡�����,都被拒絕�����。由于一晚上幾十次的業(yè)務(wù)辦理�����,甚至還被客服說“你們自己的私事�����,不要占用公共資源”,我都不知道對(duì)方是怎么忽悠客服的�����。詢問還有沒有其他途徑自助辦理掛失�����,回答無�����。只能繼續(xù)堅(jiān)持�����,最后不知道是不是客服自己都受不了我們了�����,10000發(fā)短信告訴我可以在網(wǎng)廳自助辦理�����,登錄電信網(wǎng)廳�����,嘗試用軟件自動(dòng)掛失�����,無奈網(wǎng)廳的一些安全限制導(dǎo)致無法用軟件實(shí)訓(xùn)自動(dòng)化的掛失辦理�����,繼續(xù)手動(dòng)操作�����。5:00:發(fā)現(xiàn)才注意到網(wǎng)廳有關(guān)閉短信的業(yè)務(wù)�����,想著如果對(duì)方是高手�����,我關(guān)閉后也可能對(duì)方會(huì)立馬發(fā)現(xiàn)�����,但也可能對(duì)方只是流水線的犯罪腳本操作工人,可以賭一賭�����,反正對(duì)我沒損失�����,對(duì)他們還增加開通短信的步驟�����。(后面查短信詳單時(shí)發(fā)現(xiàn)�����,正是關(guān)閉短信功能這個(gè)操作�����,中斷了他們后續(xù)的犯罪行為�����,不然損失肯定更嚴(yán)重) 熬到9月5日9點(diǎn):開車送老婆蹲守營業(yè)廳開門�����,9點(diǎn)8分完成補(bǔ)卡�����,丈母娘來電話說老婆電話打通了�����,但接電話的是個(gè)男的�����,我回答說可能是營業(yè)廳的營業(yè)員接的�����。幾分鐘后老婆辦卡歸來�����,問到剛才丈母娘電話什么情況�����, 她說沒接到電話啊,手機(jī)一直在自己手上�����?����?戳讼麓_實(shí)沒有通話記錄�����,手機(jī)外撥也是正常的,短信發(fā)送接收也正常�����。繼續(xù)打10000號(hào),詢問手機(jī)是否被開通了呼叫轉(zhuǎn)移�����,得到確認(rèn)的答復(fù)�����,驗(yàn)證身份證后關(guān)閉業(yè)務(wù)。關(guān)閉之前從話務(wù)員那邊問到被轉(zhuǎn)移的電話號(hào)碼(準(zhǔn)備后續(xù)萬一要報(bào)警就提交過去)�����。 開始收復(fù)陣地,檢查損失�����。找回支付寶�����、微信、云閃付�����,發(fā)現(xiàn)除了支付寶手機(jī)號(hào)被改了�����,但由于賬戶本身凍結(jié)狀態(tài),就沒管了�����。從云閃付上管理的銀行卡里交易記錄基本沒什么異常,只有一張工商銀行卡多了280元(詭異吧)�����,一看是從一個(gè)錢袋寶轉(zhuǎn)過來的, 覺得蹊蹺下了個(gè)APP想用手機(jī)號(hào)碼登錄錢袋寶看下:APP異常�����,登錄不上�����,暫時(shí)就沒管了�����。 約了朋友一起峨眉山泡溫泉�����,喝下一瓶樂虎�����、一瓶紅牛�����、一瓶咖啡�����,出發(fā)去峨眉山,途中繼續(xù)檢查了了下各個(gè)支付賬戶,好像沒什么異常�����。下午到了峨眉山,在溫泉池子里休息�����,恢復(fù)體力。準(zhǔn)備晚上從電信營業(yè)廳查下詳單�����,看對(duì)方都干了什么�����。晚上查詳單前老婆登錄支付寶結(jié)果習(xí)慣性輸入手機(jī)號(hào)碼,發(fā)現(xiàn)密碼錯(cuò)誤�����, 趕緊用手機(jī)找回�����,突然想起自己支付寶賬號(hào)不是手機(jī)號(hào)�����,一看才發(fā)現(xiàn)是對(duì)方新建的支付寶賬號(hào)�����,還綁定了那張被我們遺忘的建行卡�����,以及一張建行ETC信用卡(辦好etc后就一直在抽屜里吃灰),而且賬單里有充值消費(fèi)記錄�����,以及被支付寶風(fēng)控阻斷后的充值退回記錄�����,這時(shí)候才發(fā)現(xiàn)這張原本綁在云閃付上的信用卡被對(duì)方從云閃付解綁了,所以我們才沒發(fā)現(xiàn)異常�����。登陸建行網(wǎng)銀,發(fā)現(xiàn)9月5日4點(diǎn)多時(shí)美團(tuán)轉(zhuǎn)進(jìn) 5000元的記錄�����,跪了,再看etc信用卡有各種買卡�����、充值 的記錄 幾大千,銀聯(lián)轉(zhuǎn)賬記錄幾大千�����,最壞的情況還是發(fā)生了�����。下載了短信和通話詳單�����,開始分析通話和短信記錄�����,挨個(gè)查詢�����,基本上通話的都是各家銀行�����、銀聯(lián)�����,短信記錄能查的到源號(hào)碼的也就是 社保局、華為、騰訊、銀聯(lián)�����、翼支付、微信、支付寶�����,其他106開頭的服務(wù)號(hào)不知道是哪個(gè)機(jī)構(gòu)的�����,分析沒什么結(jié)果。兩人開始回憶從頭到尾的細(xì)節(jié)�����,開始逐個(gè)分析,一個(gè)資深滲透測(cè)試工程師的優(yōu)勢(shì)這時(shí)候展示體現(xiàn)出來了�����。對(duì)方第一次上線時(shí)已經(jīng)把卡拔出來插到其他手機(jī),從短信發(fā)送記錄上看是給一個(gè)手機(jī)發(fā)了條短信�����,獲取到本機(jī)手機(jī)號(hào)碼�����。 然后聯(lián)系電信改了服務(wù)密碼,用手機(jī)號(hào)碼配合短信驗(yàn)證碼改了華為密碼�����,把原設(shè)備上的賬號(hào)注銷了�����。 然后解鎖了華為鎖屏密碼,進(jìn)入了手機(jī)。
1. 修改電信服務(wù)密碼需要身份證號(hào)碼 2. 有華為密碼從網(wǎng)站上也沒有解鎖鎖屏密碼的功能。 第一個(gè)我想的是可能從社工庫查到了身份證號(hào)碼�����,第二個(gè)根據(jù)百度結(jié)果說是華為老版本的emui 賬號(hào)登錄后可以遠(yuǎn)程鎖機(jī)�����,設(shè)置一個(gè)新密碼,然后用新密碼解鎖屏幕進(jìn)入手機(jī)(這個(gè)操作未實(shí)際驗(yàn)證) �����。然后對(duì)方還修改了支付寶登錄和支付密碼、微信密碼�����, 中間還修改了支付寶手機(jī)號(hào)碼(為什么這么操作到9月7日晚上的分析才知道)�����, 并且綁定了被我們遺漏的銀行卡至支付平臺(tái)賬號(hào)上進(jìn)行消費(fèi)�����。
1、支付綁卡需要銀行完整的卡號(hào)�����,如何得到的?一開始以為打銀行客服就可以問到�����,后面試了下是不行的�����;但當(dāng)我查看支付寶的銀行卡管理功能時(shí)�����,發(fā)現(xiàn)有支付密碼的話,可以用支付寶自帶的查看卡號(hào)功能獲取銀行卡完整卡號(hào),太長時(shí)間沒用這個(gè)功能了。但這樣的話就還有個(gè)說不通的: 2�����、支付密碼的重置需要的條件(人臉 �����、短信 安全問題 、短信 銀行卡信息�����、銀行卡 安全問題),沒照片的情況下�����,人臉應(yīng)該不行�����,我們?cè)O(shè)置的安全問題基本上不會(huì)被猜到�����,那只有短信加銀行卡了(實(shí)際上最后發(fā)現(xiàn),對(duì)方既可以人臉驗(yàn)證�����,也可以短信加銀行卡驗(yàn)證,甚至連支付寶都是自己新建了一個(gè),支付密碼也是自己設(shè)置的)�����。剩下就是蘇寧金融的信用卡消費(fèi)了�����,還是抱著懷疑的態(tài)度,他們?nèi)绾胃愕轿业男庞每╟vv的�����,這一點(diǎn)我們是比較肯定的,etc信用卡從申請(qǐng)下來就沒離開過抽屜�����。從銀行客服那邊能獲取到的最多也就是信用卡有效期。(后面才發(fā)現(xiàn)支付公司現(xiàn)在綁信用卡根本不驗(yàn)證有效日期和CVV�����,都是簡單粗暴的身份信息 卡號(hào) 預(yù)留手機(jī)號(hào)碼,甚至有些連預(yù)留手機(jī)號(hào)都不用)�����。整理完所有的情況后�����,就準(zhǔn)備聯(lián)系各個(gè)支付公司,準(zhǔn)備討要說法了�����。一圈下來后,得出的結(jié)果是: 銀聯(lián)云閃付態(tài)度極好�����,說第二天會(huì)有專人聯(lián)系 �����; 財(cái)付通 聯(lián)系不上 �����; 美團(tuán)借貸 態(tài)度模糊 ,問他為何只是簡單驗(yàn)證了身份證就放款了�����,只說這種貸款產(chǎn)品很多其他公司也有的�����,嗯好像很有道理�����,大家都做的就是正確的�����。 蘇寧金融未回應(yīng)�����。
準(zhǔn)備好一些材料�����,包括通話、短信記錄�����、銀行賬單,以及其他零散資料�����,準(zhǔn)備趕回去報(bào)警。畢竟事情發(fā)生在小區(qū)門口�����,而且團(tuán)伙作案�����,極有可能還會(huì)再犯,把事情整理下發(fā)到業(yè)主群�����,讓大家小心防范�����,提醒大家設(shè)置好sim卡密碼�����。大家也都被震驚了,但一致對(duì)于怎么獲取身份證號(hào)碼�����、銀行卡號(hào)表示疑惑。中間手機(jī)陸續(xù)還收到幾條財(cái)付通的支付驗(yàn)證碼�����,但登陸自己賬號(hào)�����,沒發(fā)現(xiàn)有綁卡�����,留著疑惑后面再處理�����,反正不給驗(yàn)證碼也付不出去。 思路理清楚了,已經(jīng)凌晨4點(diǎn)多了�����。一早趕緊往成都趕�����。路上云閃付主動(dòng)聯(lián)系我們�����,讓我們報(bào)警后提供報(bào)案回執(zhí)單等一些材料提交過去�����,看樣子有可能要賠付。美團(tuán)也打電話過來了,想推卸責(zé)任�����,但還是讓我們提供證據(jù)資料提交給他們�����。派出所民警聽說了我們的遭遇都表示驚奇,說之前從沒遇到過這種偷手機(jī)的�����。我應(yīng)該是第一個(gè)來報(bào)這種案件的 �����。老婆進(jìn)去做筆錄,耗時(shí)幾個(gè)小時(shí), 出來后說了里面的情況,警察大叔們都表示“這不可能”�����、“肯定是你手機(jī)里放銀行卡信息泄露了”�����、“你是不是放身份證照片在手機(jī)里了”�����,做完筆錄竟然又要我們?nèi)ゴ蛴°y行流水,跑了幾家建行 都是關(guān)門的,只能等第二天再來取報(bào)案回執(zhí)單了�����。 晚上回去兩口子在電腦前繼續(xù)回想所有細(xì)節(jié)�����,把整個(gè)過程串一遍,必要時(shí)用我的各種APP和賬號(hào)進(jìn)行實(shí)驗(yàn)�����,驗(yàn)證自己的分析判斷。雖然補(bǔ)了手機(jī)卡�����, 銀行卡都凍結(jié)了�����,帶支付功能的軟件都找回來各種修改密碼了�����,但總覺得哪里就是不對(duì)勁。突然又收到了財(cái)付通的支付驗(yàn)證碼請(qǐng)求�����,再關(guān)聯(lián)起前面的幾個(gè)可疑點(diǎn),一下子想通了。他用其他支付賬號(hào)綁了我們的銀行卡�����, 包括之前用手機(jī)號(hào)登陸蘇寧時(shí)發(fā)現(xiàn)登陸的是別人新創(chuàng)建的蘇寧賬號(hào)�����、包括支付寶也是新建的,至于他們新建的的賬號(hào)怎么通過的人臉實(shí)名認(rèn)證�����,這個(gè)留在后面討論�����。說明除了這些APP�����,肯定還在其他一大堆APP上用我的信息新建了賬號(hào),綁了銀行卡�����、通過了實(shí)名認(rèn)證�����,并自己設(shè)置了支付密碼�����。挨個(gè)APP檢查, 發(fā)現(xiàn)用我們的手機(jī)號(hào)碼新建了支付寶�����、蘇寧�����、京東且包含有消費(fèi)記錄,這個(gè)操作隱蔽性強(qiáng)�����,如果我們沒發(fā)現(xiàn)的話�����,解凍了銀行卡�����,他們還可以用自己創(chuàng)建的支付賬號(hào)進(jìn)行消費(fèi)�����。問題又來了�����,他們用我的手機(jī)號(hào)新建的賬號(hào) 我們可以挨個(gè)試出來�����, 但用其他手機(jī)號(hào)新建的賬號(hào)我們猜不到�����,比如云閃付�����、財(cái)付通、蘇寧金融 �����,這幾個(gè)從銀行流水里查到有轉(zhuǎn)賬消費(fèi)記錄,但我們沒找到對(duì)應(yīng)的賬號(hào)�����。再回到上面有疑惑的幾個(gè)問題上: - 要在支付寶上查看我綁定的銀行卡信息或者綁新的卡�����,需要支付密碼而支付密碼的重置,需要短信 一張銀行卡信息的驗(yàn)證�����;
- 一開始整個(gè)環(huán)節(jié)的起點(diǎn)�����,都需要我的身份證號(hào)碼,起初我判斷是通過社工庫�����,但這一番操作分析下來�����,整個(gè)黑產(chǎn)團(tuán)隊(duì)的手法�����,基本都是利用的各個(gè)銀行、支付公司的正常業(yè)務(wù)流程來處理的�����,那么身份證的獲取大概率也不會(huì)采用社工庫去查詢�����;
- 部分支付APP新建賬號(hào)后的實(shí)名認(rèn)證�����,需要活體人臉驗(yàn)證�����,這個(gè)如果可以從手機(jī)自拍照或者華為云里之前存過的照片�����,用技術(shù)處理手段處理照片繞過人臉識(shí)別(參考2020年的新聞《利用照片偽造動(dòng)畫頭像“騙過”支付寶人臉識(shí)別�����,一犯罪團(tuán)伙薅支付寶“羊毛”超4萬元》)
總結(jié)下來就是�����,需要有一個(gè)地方�����,通過手機(jī)號(hào)碼和接收到的短信驗(yàn)證碼�����, 能獲取到姓名、身份證號(hào)碼�����、以及一張銀行卡的卡號(hào)�����。感覺這幾天自己都有點(diǎn)病態(tài)了�����,遇到這種盜刷的倒霉事,不憤怒�����、不沮喪、不慌亂�����,而是出奇的亢奮�����,幾天下來沒睡幾個(gè)小時(shí),不停的研究和分析�����,快把對(duì)方的運(yùn)作模式研究出來了�����,把IT男追根刨底的特質(zhì)發(fā)揮的淋漓盡致。來�����,繼續(xù)冷靜分析�����,手頭能跟犯罪分子行為步驟關(guān)聯(lián)最緊密的就是電信營業(yè)廳獲取的短信和電話記錄了�����,翻出短信記錄,除了第一條犯罪分子發(fā)給自己手機(jī)號(hào)的記錄�����,緊接著就是收到兩條12333社保局的短信。最開始兩天都沒注意到�����,以為是老婆公司給繳納的社保的通知短信�����,但再仔細(xì)分析就發(fā)現(xiàn)不對(duì)勁了。一是短信發(fā)送時(shí)間可疑�����,非工作時(shí)間內(nèi)發(fā)送社保繳納通知是不正常的,連發(fā)兩條也是不正常的�����,那突破點(diǎn)就是它了�����,社保系統(tǒng)里肯定是有身份證信息。打開四川省人社廳的網(wǎng)站�����,看到一個(gè)四川人社的APP下載二維碼�����,下載打開APP的瞬間就明白了, “快捷登錄”�����、“短信驗(yàn)證碼”�����、“電子社?����?ā? 這幾個(gè)關(guān)鍵字明晃晃的扎我眼�����。發(fā)送短信驗(yàn)證碼,登錄進(jìn)去�����。點(diǎn)開 “電子社?����?ā?����,發(fā)現(xiàn)需要社保密碼,繼續(xù)忘記社保密碼�����,短信驗(yàn)證碼重置社保密碼�����,這一切剛好是兩條12333的短信驗(yàn)證碼�����,隨后展示在眼前的內(nèi)容�����,直接解釋了上面三條疑惑�����。身份證信息、證件照片�����、社保金融卡的銀行卡信息�����,有了這些東西�����,干啥都一路暢通了。再返回去之前的支付寶綁卡流程�����,“無需手動(dòng)輸入卡號(hào),快速綁卡”�����,幾年沒用綁卡功能�����,現(xiàn)在都這么高端了�����。選一家銀行點(diǎn)進(jìn)去后�����,該銀行下我的所有銀行卡列表直接出來了�����,選上信用卡����,綁卡����。CVV ����、有效期 這些都是浮云,人家就一個(gè)簡單的短信驗(yàn)證碼驗(yàn)證����,這樣的話通過支付寶查看你所有銀行卡的卡號(hào)就簡單了。最后我們?cè)賮砜偨Y(jié)分析一波����,這條黑產(chǎn)鏈的全貌如下: - 一線扒手特定時(shí)間選定目標(biāo):年輕人、移動(dòng)支付頻率高,在對(duì)方注意力分散的情況下出手,運(yùn)營商營業(yè)廳下班后����,失主沒法當(dāng)晚立即補(bǔ)卡����,給團(tuán)隊(duì)預(yù)留了一晚上的作案時(shí)間����;
- 拿到手機(jī)后迅速送到團(tuán)隊(duì)窩點(diǎn)����,迅速完成身份證信息獲取����、電信服務(wù)密碼、手機(jī)廠商服務(wù)登錄密碼修改����,一下子讓受害者陷入被動(dòng);
- 獲取所有銀行卡信息����,使用技術(shù)手段繞過活體人臉識(shí)別驗(yàn)證����,在各個(gè)平臺(tái)上創(chuàng)建新賬號(hào)����,綁定受害者銀行卡����。
- 選好幾家風(fēng)控不嚴(yán)的支付公司,開始申請(qǐng)?jiān)诰€貸款,貸款到賬后通過虛擬卡充值����、購買虛擬卡以及銀聯(lián)轉(zhuǎn)賬,將錢轉(zhuǎn)走����。
- 保留新建的支付賬號(hào)權(quán)限����, 如果未被發(fā)現(xiàn)����,后期還可以繼續(xù)竊取資金����。
在這一系列過程中����,對(duì)方有幾點(diǎn)還是讓我比較服的:- 全程用的都是正常的業(yè)務(wù)操作����,只是把各個(gè)機(jī)構(gòu)的“弱驗(yàn)證”的相關(guān)業(yè)務(wù)鏈接起來,形成巨大的破壞����;
- 應(yīng)該是使用了技術(shù)手段通過的人臉驗(yàn)證,用圖片處理技術(shù)來繞過活體人臉識(shí)別驗(yàn)證����;
- 團(tuán)隊(duì)分工協(xié)作能力太強(qiáng),在處理過程中我感覺自己已經(jīng)用了最快的速度����,但總還是晚一步;
- 注重隱蔽����,留好后路,包括刪掉我云閃付上的一些卡來防止我查明細(xì)����,通過新建賬號(hào)的方式����,如果我沒發(fā)現(xiàn)����,貿(mào)然去解凍銀行卡,后續(xù)還有第二波的攻擊����;包括趕在我補(bǔ)卡后改服務(wù)密碼前,設(shè)置了呼叫轉(zhuǎn)移����。
分析完犯罪分子,再來看下整個(gè)過程中參與的機(jī)構(gòu)都有什么“問題”����,實(shí)際上這個(gè)環(huán)節(jié)里的每一個(gè)點(diǎn)����,放在對(duì)應(yīng)的業(yè)務(wù)節(jié)點(diǎn)里都不是什么大問題����,但手機(jī)丟失后����,把所有這些點(diǎn)串起來,問題就大了: 1����、四川電信 :我認(rèn)為整個(gè)過程責(zé)任最大的就是它了,這掛失����、解掛的風(fēng)騷業(yè)務(wù)規(guī)則簡直讓我無語,既然都掛失了����,不應(yīng)該考慮到手機(jī)已經(jīng)不在失主身上了,解掛不應(yīng)該有個(gè)時(shí)間限制或者要求營業(yè)廳辦理么����?就算前面的過錯(cuò)無視了,同一個(gè)手機(jī)號(hào)碼在深夜來來回回掛失解掛幾十次����,包括機(jī)主幾次在電話中告知話務(wù)員自己正在遭受銀行卡盜刷犯罪,要求停止解掛行為����,話務(wù)員還是拿著業(yè)務(wù)話術(shù)來敷衍客戶“對(duì)不起����,我們的掛失解掛有固定的業(yè)務(wù)流程����,只要對(duì)方能提供服務(wù)密碼����,正常就是可以解掛的”����。我們?nèi)胰司瓦@樣抱著電話陪犯罪分子熬了一夜,到最后還是造成了經(jīng)濟(jì)損失����。對(duì)于四川電信����,后續(xù)該投訴投訴����。
2����、四川人社 :它所起到的作用����,大家也都看得懂。兩條短信驗(yàn)證碼����,關(guān)鍵的資料全泄露出去了����,但我不好說他有什么罪����,畢竟他們本身也不是金融機(jī)構(gòu)����, 對(duì)個(gè)人信息的保護(hù)要做成什么樣也沒個(gè)標(biāo)準(zhǔn)。但這個(gè)事情沒那么簡單����,把四川人社換成XX人社或者四川XX����,也可能是一樣的結(jié)果,這個(gè)黑產(chǎn)鏈設(shè)計(jì)的時(shí)候身份證號(hào)碼的獲取途徑可以是多處的����,至少我隨便在網(wǎng)上下載幾個(gè)地方社保APP����,都能找到和四川人社一樣登錄和密碼找回使用手機(jī)短信驗(yàn)證的����。 3. 華為 :其實(shí)把華為換成小米����,結(jié)果也是一樣����。我只能說密碼找回這個(gè)業(yè)務(wù)的驗(yàn)證太簡單了����,還有就是網(wǎng)上說的用emui 5.0的手機(jī)����,可以遠(yuǎn)程解鎖屏幕鎖屏密碼����,這個(gè)我沒驗(yàn)證過����, 但從我支付寶被擠下線時(shí)提示對(duì)方使用的手機(jī)型號(hào)來判斷,大概率是可以的����。4. 支付寶:先不說為啥同一個(gè)身份信息����,可以注冊(cè)兩個(gè)賬號(hào)����,你的快捷綁卡����,是加快了綁卡的便捷性����, 但考慮過安全性么����?當(dāng)然����,支付寶的風(fēng)控是強(qiáng)����,確實(shí)識(shí)別到了異常交易����,也追回了資金����。但實(shí)名認(rèn)證的人臉識(shí)別被繞過����,也是事實(shí)。5. 美團(tuán):你要發(fā)展業(yè)務(wù),放寬貸款限制����,這我不關(guān)心����,但你能否做好該有的貸款審批風(fēng)險(xiǎn)控制����,凌晨4點(diǎn)的貸款行為����,這正常么����?6. 蘇寧金融:所有參與這個(gè)過程的支付機(jī)構(gòu)中態(tài)度最惡劣的一家,出現(xiàn)案件����,接到用戶報(bào)案后第一時(shí)間想到的是推卸責(zé)任����?���!皥?bào)案了么?如果警方有需要,我們會(huì)做好配合工作����!哦你的經(jīng)濟(jì)損失啊,那只能你自己承擔(dān)了”����,中間來過兩次電話,基本腔調(diào)就是這樣����。同樣是支付公司, 支付寶的風(fēng)控能識(shí)別異常盜刷����,蘇寧金融就一點(diǎn)察覺都沒有����,一個(gè)新注冊(cè)的賬號(hào)����,凌晨三四點(diǎn)綁卡����,然后購買各種虛擬卡����、充值話費(fèi)這些不容易被追查的商品,這不算高風(fēng)險(xiǎn)異常行為么����?7. 銀聯(lián)云閃付: 和其他支付公司一樣, 都存在綁卡驗(yàn)證不嚴(yán)的問題����。但是����,人家態(tài)度是好的啊,凌晨3、4點(diǎn)����,客服人員都能用極好的態(tài)度和我們溝通,讓我們放寬心����。第二天有專員聯(lián)系我們����,告訴我們昨晚報(bào)的損失少報(bào)了����,他們查出來我們還有其他損失����,并給了詳細(xì)的指引告訴我們?cè)趺慈ド暾?qǐng)理賠����,第二天他們內(nèi)部調(diào)查有新的進(jìn)展也都第一時(shí)間聯(lián)系并告知我們����。8. 財(cái)付通:人工客服太難找了����,不過風(fēng)控也還是有效的����,這兩天在沒有通知我們的情況下����,陸陸續(xù)續(xù)追回了幾筆交易金額。9. 京東:不想說了,反正就是“交易已經(jīng)發(fā)生了����,損失你自己承擔(dān)”����,但還好就一筆100元的游戲充值卡����。10. 百度:對(duì)方剛好操作到它的時(shí)候短信功能已經(jīng)被我關(guān)了����,對(duì)方也只是綁定了銀行卡����,還沒來得及消費(fèi)����,就不用找它理論了����。多數(shù)支付機(jī)構(gòu)基本都有一個(gè)現(xiàn)象:支付機(jī)構(gòu)都在推“快捷綁卡”����,是快捷了����,點(diǎn)幾下鼠標(biāo)就綁卡了����。除了短信驗(yàn)證碼,支付寶的快捷綁卡還驗(yàn)證了下支付密碼,但好像意義也不大����,比如我這種情況,支付賬號(hào)都是別人用我的信息新建的����,支付密碼也是他設(shè)置的����。通過這幾天的經(jīng)歷����,不管中間情節(jié)有多少起伏����,我作為一個(gè)有10多年信息安全從業(yè)經(jīng)驗(yàn)的老駱駝,都要被折騰成這樣,我實(shí)在是不想讓大家有跟我相同的經(jīng)歷����。提個(gè)我認(rèn)為我們個(gè)人能做的最簡單最有效的防護(hù)措施:給自己的手機(jī)卡上個(gè)密碼����,給手機(jī)設(shè)置個(gè)屏幕鎖����。這樣手機(jī)丟了也不用擔(dān)心別人拔下卡插其他手機(jī)里繼續(xù)使用����。以華為手機(jī)為例:設(shè)置-安全-更多安全設(shè)置-加密和憑據(jù)-設(shè)置卡鎖 ����, 選定手機(jī)卡,啟用密碼(此時(shí)使用的為默認(rèn)密碼1234或者0000),再選擇修改密碼,輸入原密碼1234,再輸入兩次新密碼����,完成sim卡的密碼設(shè)置����。同時(shí)����,如果有遇到和我一樣情況的,除了凍結(jié)所有銀行卡后����,還需要把銀行卡的預(yù)留手機(jī)號(hào)碼全換掉,同時(shí)可以通過登陸網(wǎng)銀或者手機(jī)銀行����,用快捷支付管理功能����,查看都綁了那些支付公司����,然后可以嘗試用自己的手機(jī)號(hào)碼去登陸那些APP,有可能還會(huì)有意外收獲����,萬一支付公司不給理賠����,還能自己追回一點(diǎn)。比如我就在對(duì)方注冊(cè)的蘇寧賬號(hào)上找到還沒來得及消費(fèi)的購物卡。 然后這個(gè)事情是不是就這樣結(jié)束了?也不一定哈����,9月5日我們補(bǔ)辦完手機(jī)卡時(shí)我就和我老婆說了����,后面這段時(shí)間內(nèi)要小心陌生的電話和短信、微信����。對(duì)方快吃進(jìn)嘴的肉被硬扯下去一大塊����,手里又有你的一些信息����,肯定不會(huì)甘心的����,要小心后續(xù)的網(wǎng)絡(luò)釣魚����、和電話詐騙。這兩天她手機(jī)就開始收到有可疑的短信了����,什么套路也懶得去猜了,反正不理會(huì)就是了����。我所經(jīng)歷的這個(gè)案件����,其實(shí)和前兩年新聞上報(bào)道過的錢包丟失����,對(duì)方用偷到的身份證去營業(yè)廳補(bǔ)了卡����,然后導(dǎo)致銀行賬戶損失其實(shí)是差不多的����,目標(biāo)都是手機(jī)卡。移動(dòng)互聯(lián)網(wǎng)的發(fā)展給我們的生活帶來了巨大的改變����,手機(jī)的地位也越來越高����,希望大家吸取我的這次經(jīng)驗(yàn)教訓(xùn)����,提前做好防范����,出事別學(xué)我����,第一時(shí)間掛失手機(jī)卡����、所有銀行卡。
在經(jīng)歷了與一個(gè)專業(yè)黑產(chǎn)團(tuán)伙的幾天對(duì)抗之后����,新建了這個(gè)微信公眾號(hào)����,根據(jù)自己搜集整理分析的結(jié)果發(fā)表了《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》一文����,這篇文章發(fā)表后引起的轟動(dòng)效果,完全超出了我的預(yù)期����。不想原本只是寫給小區(qū)業(yè)主群的案件記錄分析結(jié)果一夜間成了網(wǎng)絡(luò)熱文����,也答應(yīng)過網(wǎng)友,事件有了新的進(jìn)展就匯報(bào)給大家����。在今天下午,事件中涉及的幾家支付公司都積極聯(lián)系到我����,美團(tuán)的貸款記錄消除了����,蘇寧金融把我們損失的幾千都賠付了。由于美團(tuán)貸款的記錄消除����,實(shí)際上還導(dǎo)致蘇寧金融賠付金融比他造成的損失多了300元����,已經(jīng)聯(lián)系蘇寧金融進(jìn)行退款����。銀聯(lián)云閃付的賠付也已打電話通知取消。對(duì)于賠付金額����,該還我們的一分都不能少����,但多的我們也一分不多要����。發(fā)上一篇文章的時(shí)候����,黑產(chǎn)團(tuán)伙的很多操作步驟流程都是我根據(jù)自己所能搜集到的信息推論判斷出來的����,文章的發(fā)表也引來了各方注意����,提出了個(gè)別文章中推論出錯(cuò)的地方����。例如人臉識(shí)別的繞過,支付寶在進(jìn)行業(yè)務(wù)設(shè)計(jì)時(shí)����,對(duì)在原手機(jī)上創(chuàng)建并登陸的子賬號(hào)����,在實(shí)名認(rèn)證時(shí)匹配身份信息的各項(xiàng)要素通過風(fēng)控規(guī)則校驗(yàn)與主賬號(hào)一致的情況下是不需要人臉驗(yàn)證的����,這一點(diǎn)我們辦公室的多位工程師今天下午在對(duì)我的被盜刷事件進(jìn)行技術(shù)復(fù)盤時(shí)也驗(yàn)證確實(shí)是如此����,人臉識(shí)別的繞過確實(shí)錯(cuò)怪他們了����,這也解釋得通為何犯罪分子需要解鎖偷到的手機(jī)進(jìn)行支付寶的登錄,推測(cè)是為了不觸發(fā)支付寶的風(fēng)控規(guī)則����。至于四川電信,今天也主動(dòng)聯(lián)系到我老婆����,對(duì)那晚的事件進(jìn)行道歉,也解釋了說對(duì)方當(dāng)時(shí)跟他們的客服說是男女朋友鬧矛盾����,只能說犯罪分子很狡猾,但對(duì)于四川電信的遠(yuǎn)程掛失和解掛的業(yè)務(wù)流程設(shè)計(jì)����,站在安全的角度上考慮����,我還是不能認(rèn)可����。中間有個(gè)小插曲����,我為了調(diào)查案發(fā)時(shí)我的短信詳單中一條未知的短信記錄,再次撥打10000號(hào)說明了我的情況并根據(jù)短信源號(hào)碼要求查詢號(hào)碼的歸屬公司����,客服拒絕了我。雖然未能查成����,但說實(shí)話我反而是高興的,至少說明對(duì)客戶信息保密的業(yè)務(wù)原則還是有效的����。
再說下盜取手機(jī)進(jìn)而實(shí)現(xiàn)銀行卡盜刷這個(gè)案件����,自從文章發(fā)布后����,也有幾個(gè)網(wǎng)友在微信公眾號(hào)上留言����,說自己經(jīng)歷過一模一樣的場(chǎng)景����,只是受損金額都比較大,最嚴(yán)重的一位有68萬的線上貸款����,目前還在索賠中����。在網(wǎng)上找類似案例的時(shí)候����,發(fā)現(xiàn)2019年9月有一篇新聞——《憑SIM卡登陸各軟件����!上海警方披露最新型盜刷手法》,大家有興趣可以搜一下����,看新聞介紹的犯罪手法����,基本上和我遇到的這個(gè)案件是一致的����,只是獲取身份信息的途徑不一樣。前面也提到����,犯罪分子精心設(shè)計(jì)的這么一套犯罪腳本����,在身份信息獲取這種比較容易的環(huán)節(jié)上����,一定是會(huì)有備用方案的����,目前據(jù)我所知的在獲得短信權(quán)限的情況下比較容易獲取的如各類連鎖酒店APP(如華住����、錦江)、商旅訂票類(如去哪兒)����,這些包含身份證信息的APP和網(wǎng)站����,對(duì)于身份證號(hào)碼信息的泄露風(fēng)險(xiǎn)并不是說不知道,只是在業(yè)務(wù)的“用戶體驗(yàn)”面前����,安全已經(jīng)不算個(gè)問題了����,畢竟我這種案件的數(shù)量還是不多。以去哪兒為例����,在常用旅客列表中����,對(duì)身份證信息進(jìn)行了屏蔽顯示����,但點(diǎn)擊進(jìn)入信息編輯界面時(shí)就明文展示了:對(duì)敏感數(shù)據(jù)加個(gè)保護(hù)的實(shí)現(xiàn)技術(shù)有難度么����?再看看攜程的處理方式:我不知道在編輯界面明文展示身份證號(hào)碼能提升多少百分比的用戶使用體驗(yàn)友好度,但安全性的差別就是0%和100%����。今天在朋友圈看到一篇文章《央行科技司司長李偉:金融科技發(fā)展應(yīng)重視個(gè)人信息保護(hù)》����,我的案子剛好與文章里提到的部分內(nèi)容應(yīng)景。李司長在9月8日的發(fā)布會(huì)上提了三塊內(nèi)容:- 一是重視個(gè)人信息保護(hù)����,善用數(shù)據(jù)要素價(jià)值����。
- 二是重視數(shù)字鴻溝問題����,踐行數(shù)字普惠金融����。
- 三是重視監(jiān)管科技應(yīng)用����,增強(qiáng)數(shù)字化監(jiān)管能力����。
其中第三部分提到:部分機(jī)構(gòu)在利用技術(shù)創(chuàng)新業(yè)務(wù)模式����、提升服務(wù)效率����、改善用戶體驗(yàn)的同時(shí)����,一定程度上簡化了業(yè)務(wù)流程����、削弱了風(fēng)控強(qiáng)度����、掩蓋了業(yè)務(wù)本質(zhì)����,這給金融監(jiān)管提出新挑戰(zhàn)����。回看現(xiàn)在各大支付APP熱推的”快捷綁卡”業(yè)務(wù),相比之前的銀行卡綁定流程����,是簡單快捷了一些����,但金融業(yè)務(wù)����,是越簡單快捷越好么����?昨天我的文章火了后����,很多鄰居說忘記了自己在哪家銀行開過銀行卡����,想找出來注銷掉,問有什么辦法����。最后再談下我上篇文章中提到的讓大家設(shè)置手機(jī)SIM卡密碼,主要有幾點(diǎn)考慮: - 手機(jī)鎖屏狀態(tài)下對(duì)方無法使用短信功能����;
- 如果更換手機(jī)卡至新手機(jī)則需要輸入SIM卡密碼����;
- 要解鎖SIM����,需要從運(yùn)營商獲取PUK碼����;
- 要獲取PUK碼����,需要提供身份信息進(jìn)行驗(yàn)證;
- 未解鎖手機(jī)的情況下加上SIM卡加鎖����,對(duì)方無法知道你的手機(jī)號(hào)碼����,這樣斷了獲取身份信息的路����。
當(dāng)然����,這樣一個(gè)安全閉環(huán)里也還是有些風(fēng)險(xiǎn)����,例如利用GSM中間人攻擊獲取到號(hào)碼����,但這類一般人遇不到����,對(duì)普通民眾來說可以不用考慮����。第一時(shí)間掛失手機(jī)卡����,這一點(diǎn)還是必要的行動(dòng)����,也希望運(yùn)營商在我這個(gè)案件之后����,會(huì)作出相應(yīng)的改變����。俗話說“靠人人跑����,靠樹樹倒”����,還是靠自己靠譜些����,按現(xiàn)在移動(dòng)金融業(yè)務(wù)的發(fā)展趨勢(shì)����,將來會(huì)面臨更加嚴(yán)峻的安全挑戰(zhàn);而且金融業(yè)務(wù)用到的部分關(guān)鍵要素信息����,如手機(jī)號(hào)碼、身份證號(hào)碼在常規(guī)移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)中的交叉使用����,數(shù)據(jù)泄露的風(fēng)險(xiǎn)將越來越大。雖然部分金融機(jī)構(gòu)都給出了被盜刷后的賠付承諾����,案件發(fā)生在自己身上后你能否符合賠付的標(biāo)準(zhǔn)條件不好說����,耗費(fèi)大量時(shí)間精力在這件事上面����,也是很心累的����。此外,上篇文章中我按我自己手機(jī)的操作流程步驟作為SIM卡設(shè)置密碼的例子����,后來發(fā)現(xiàn)很多網(wǎng)友可能由于手機(jī)品牌型號(hào)差異導(dǎo)致操作失誤而鎖住SIM卡����,對(duì)此給大家造成的不便給大家道個(gè)歉����,考慮不周啊����。大家還是在網(wǎng)上搜索自己的手機(jī)對(duì)應(yīng)品牌的SIM卡密碼設(shè)置然后按照詳細(xì)教程一步一步操作����,如遇到SIM卡密碼驗(yàn)證失敗后出現(xiàn)PUK碼輸入要求����,可聯(lián)系運(yùn)營商獲取PUK碼����。請(qǐng)一定小心謹(jǐn)慎����,必要時(shí)可到運(yùn)營商營業(yè)廳設(shè)置����。自己長期從事金融行業(yè)信息系統(tǒng)的安全漏洞檢測(cè)����,也曾多次被自己發(fā)現(xiàn)的可直接影響賬戶資金安全的漏洞而震驚����,但經(jīng)歷了這次盜刷事件之后我才發(fā)現(xiàn),相比黑客利用各種高深的技術(shù)漏洞攻擊金融信息系統(tǒng)����,更可怕的是這種把每一項(xiàng)看似沒問題的問題組合而成的犯罪����,讓人防不勝防。也希望今后在工作之余����,能有時(shí)間把自己在金融信息安全行業(yè)的專業(yè)知識(shí)����,用大家都能看得懂的方式寫出來,提高大家的安全防范意識(shí)。
|
