|
來(lái)源:信息安全老駱駝 “大家好,之前一篇文章《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》發(fā)布后���,引起了大家極大的關(guān)注�,但由于之前事發(fā)突然���,文章寫(xiě)得倉(cāng)促�����,自己的分析也有草率不準(zhǔn)確的地方���,在公眾號(hào)后臺(tái)廣大網(wǎng)友也提出各種疑問(wèn)。為了避免給大家傳導(dǎo)錯(cuò)誤的信息�����,這里我將事件情況按我目前分析得到的結(jié)論重新整理一下�����,刪掉部分廢話和已證實(shí)當(dāng)初推論不正確的內(nèi)容����。同時(shí)也希望大家知道,我的這個(gè)事件確屬個(gè)案�����,事件涉及的機(jī)構(gòu)也已對(duì)關(guān)鍵環(huán)節(jié)做出了有效的調(diào)整和應(yīng)對(duì)���,在打擊金融犯罪方面��,相關(guān)監(jiān)管部門(mén)也是非常重視�����,我們也不必過(guò)度恐慌���。” 文章開(kāi)始前,先回答廣大網(wǎng)友比較關(guān)注的幾個(gè)問(wèn)題: 1.相比android手機(jī)�,如果使用的是蘋(píng)果手機(jī)遇到相同的情況,是不是更安全一些���? 答:犯罪分子目的是手機(jī)卡���,當(dāng)然抹除數(shù)據(jù)或者刷機(jī)后進(jìn)入原手機(jī)也是其避開(kāi)支付軟件風(fēng)險(xiǎn)控制策略的一個(gè)手段���。但蘋(píng)果手機(jī)如果在可越獄的版本下,也是可以通過(guò)隱藏ID的方式刷機(jī)后進(jìn)入再安裝APP進(jìn)行操作��。所以“哪種手機(jī)更安全”可以忽視�����,設(shè)置sim卡密碼才是關(guān)鍵�����。 2.事件的后續(xù)進(jìn)展���? 答:我個(gè)人的損失都已追回�。四川電信修改了電話掛失�、解掛的業(yè)務(wù)規(guī)則;文中身份信息泄露來(lái)源的APP也進(jìn)行了對(duì)應(yīng)安全升級(jí)�����;支付機(jī)構(gòu)也積極聯(lián)系了我�,探討如何加強(qiáng)這方面的安全防護(hù)��; 3.之前的文章為何刪除�? 答:原本只是為了分享給小區(qū)業(yè)主的警示文���,但習(xí)慣了“技術(shù)漏洞分析報(bào)告”的風(fēng)格,很多不必要寫(xiě)的東西寫(xiě)得太細(xì)�����,加上第一篇文章當(dāng)時(shí)很多推測(cè)是有誤的�����;由于網(wǎng)上現(xiàn)在一大堆對(duì)之前文章的轉(zhuǎn)載�����,還是希望把事情說(shuō)清楚更嚴(yán)謹(jǐn)一些��,不要給大家造成誤會(huì)和恐慌���,所以重新整理后上線了這篇文章。 01 — 手機(jī)被盜當(dāng)天(9月4日) 19:30 手機(jī)在小區(qū)門(mén)口的水果店被盜�����,家人撥打手機(jī)對(duì)方接通一次后立馬關(guān)機(jī)了�����。自己抱著一絲僥幸的心理�����,僅僅只是使用了“查找我的手機(jī)”里的鎖定設(shè)備功能�����,想著通過(guò)手機(jī)定位嘗試能否找回手機(jī)����,沒(méi)有第一時(shí)間掛失(如果當(dāng)時(shí)立即掛失手機(jī)卡,后面的事情根本也就不會(huì)發(fā)生了)。 20:51 對(duì)方把卡取出來(lái)放在其他手機(jī)���,利用短信驗(yàn)證碼從某個(gè)APP上獲取到身份證�����、銀行卡號(hào)信息����;同時(shí)用獲取的信息修改了電信服務(wù)密碼��、華為云密碼�����。(后期通過(guò)分析短信詳單得知) 21:24 家人發(fā)現(xiàn)被偷手機(jī)可以撥通���,隨后我的手機(jī)收到提示手機(jī)在成華區(qū)上線了,但很快手機(jī)關(guān)聯(lián)的華為賬號(hào)被解除����,這一步現(xiàn)在來(lái)看,對(duì)方應(yīng)該是使用了華為的數(shù)據(jù)抹除功能�,并重新用華為賬號(hào)登錄手機(jī)并解綁。意識(shí)到對(duì)方不是普通的偷手機(jī),我立刻致電10000號(hào)掛失手機(jī)卡��,但此時(shí)電信服務(wù)密碼已經(jīng)不正確了���,通過(guò)驗(yàn)證身份證號(hào)碼加提供上個(gè)月聯(lián)系過(guò)的三個(gè)電話號(hào)碼進(jìn)行了掛失�����。開(kāi)始采取緊急措施���,通過(guò)手機(jī)銀行轉(zhuǎn)移活期余額,聯(lián)系多家銀行凍結(jié)信用卡�,把支付寶、微信上的資金轉(zhuǎn)走�����,綁定的信用卡全刪掉����。 21:48 家人說(shuō)電話還可以打通,再次致電10000號(hào)����,詢問(wèn)為什么沒(méi)有掛失,回復(fù)說(shuō)卡是正常狀態(tài),于是要求繼續(xù)掛失�。 21:55 越想越不對(duì)勁,第一次掛失后自己是打電話確認(rèn)了無(wú)法接通的����。又致電10000號(hào),詢問(wèn)之前掛失失敗的原因是什么��。得到答復(fù)�����,第一次掛失是成功了的��,但后面又被解掛了�。這一點(diǎn)自己確實(shí)是沒(méi)想到的��,掛失后還可以憑服務(wù)密碼或者身份信息和通話記錄進(jìn)行解掛�����。(現(xiàn)在四川電信已經(jīng)對(duì)這個(gè)業(yè)務(wù)流程做出了調(diào)整) 根據(jù)銀聯(lián)云閃付上的綁卡信息�,繼續(xù)給銀行電話,挨個(gè)凍結(jié)儲(chǔ)蓄卡�,ETC信用卡因?yàn)槲唇壎ㄔ贏PP上,自信的認(rèn)為對(duì)方無(wú)信用卡CVV等信息肯定盜刷不了,且第二天要出行上高速�����,就沒(méi)去管了����。有兩張銀行卡因?yàn)檗k理時(shí)間較早,卡也丟失了����,就給漏下了。(后續(xù)的盜刷基本就都集中在這幾張卡上�,反面教材警示) 00:23 ,發(fā)現(xiàn)支付寶被擠下線���,登錄的設(shè)備和丟失的手機(jī)型號(hào)一致�。我這邊立即申請(qǐng)凍結(jié)支付寶���、微信���,接著登陸京東,蘇寧���、國(guó)美等常用的APP�,更換關(guān)聯(lián)手機(jī)號(hào)碼。沒(méi)過(guò)一會(huì)�����,我的手機(jī)就收到一條京東的短信驗(yàn)證碼�,感覺(jué)后面幾個(gè)APP應(yīng)該是保住了(蜜汁自信,最后還是被打臉)�。實(shí)際上后面查短信詳單后發(fā)現(xiàn),手機(jī)卡在22:00開(kāi)始就陸續(xù)收到支付寶�����、微信等支付APP和各家銀行的短信���,這里推測(cè)對(duì)方在哪個(gè)時(shí)間段在各個(gè)平臺(tái)注冊(cè)新賬號(hào)。 后面一晚上就是循環(huán)的我掛失���、對(duì)方解掛��,在10000號(hào)上來(lái)來(lái)回回幾十次(對(duì)方有手機(jī)卡�、有服務(wù)密碼�����。目前四川電信這一塊業(yè)務(wù)已進(jìn)行了調(diào)整,不再支持這樣的多次電話掛失�、解掛)。 5:00左右發(fā)現(xiàn)才注意到網(wǎng)廳有關(guān)閉短信的業(yè)務(wù)����,嘗試著把短信功能關(guān)閉了。(后面查短信詳單時(shí)發(fā)現(xiàn)��,正是關(guān)閉短信功能這個(gè)操作�,中斷了他們后續(xù)的犯罪行為,不然損失肯定更嚴(yán)重���,也慶幸對(duì)方?jīng)]注意到我的這個(gè)操作) 02 — 手機(jī)補(bǔ)卡�、清點(diǎn)損失�����、分析過(guò)程(9月5日) 9:00�����,蹲守電信營(yíng)業(yè)廳開(kāi)門(mén)�����,9點(diǎn)8分完成補(bǔ)卡,但發(fā)現(xiàn)補(bǔ)回的手機(jī)卡被辦理了呼叫轉(zhuǎn)移業(yè)務(wù)��,目前暫時(shí)還不知道對(duì)方這個(gè)操作的目的是什么�。通過(guò)10000號(hào)把呼叫轉(zhuǎn)移關(guān)閉了。 開(kāi)始清點(diǎn)損失���,找回各個(gè)支付平臺(tái)的賬號(hào)��,發(fā)現(xiàn)除了支付寶手機(jī)號(hào)被改了���,并沒(méi)有其他異常記錄。 22:00 還是不放心�����,當(dāng)天晚上再次核對(duì)時(shí)意外操作發(fā)現(xiàn)對(duì)方用偷到的手機(jī)號(hào)新建了一個(gè)支付寶�,還綁定了那張被我們遺忘的建行卡,以及一張ETC信用卡(這張卡開(kāi)通后未在其他地方使用過(guò))��,而且賬單里有充值消費(fèi)記錄�����,以及支付寶風(fēng)的充值退回記錄�。登陸建行網(wǎng)銀,發(fā)現(xiàn)9月5日凌晨4點(diǎn)多美團(tuán)轉(zhuǎn)進(jìn)一筆 5000元的記錄���,再看ETC信用卡有各種買(mǎi)卡���、充值的記錄,銀聯(lián)轉(zhuǎn)賬記錄���,一開(kāi)始擔(dān)心的被申請(qǐng)貸款�,雖然想到了但還是沒(méi)防好��。 下載了短信和通話詳單��,開(kāi)始仔細(xì)分析通話和短信記錄���?���;貞洀念^到尾的細(xì)節(jié)��,逐個(gè)分析對(duì)方的作案流程�,過(guò)程太繁瑣這里我直接給出分析結(jié)果: 獲取身份信息修改了運(yùn)營(yíng)商服務(wù)密碼 短信驗(yàn)證碼修改華為密碼 通過(guò)刷機(jī)或者抹掉數(shù)據(jù)的方式進(jìn)入手機(jī) 用掌握的身份信息注冊(cè)支付平臺(tái)新賬號(hào) 通過(guò)支付平臺(tái)使用受害者原賬號(hào)申請(qǐng)貸款 通過(guò)線上��、線下完成消費(fèi) 附加對(duì)這個(gè)過(guò)程的幾點(diǎn)說(shuō)明: 1.獲取身份信息的途徑在9月7日的再次分析后才確認(rèn)�����; 2.目前新版本的華為�,未找到有繞過(guò)鎖屏密碼的漏洞�,通過(guò)后期的分析推測(cè)對(duì)方更可能是通過(guò)抹掉數(shù)據(jù)后進(jìn)入手機(jī)重裝支付APP,因?yàn)檫@樣更快捷�。也只有進(jìn)入原手機(jī),才能繞過(guò)支付公司的風(fēng)控規(guī)則做一些其他的操作�����。 3.根據(jù)其他相同遭遇網(wǎng)友的留言�����,在第五步申請(qǐng)貸款部分���,有的是通過(guò)花唄�����,有的是通過(guò)白條��,只是因?yàn)槲野l(fā)現(xiàn)對(duì)方支付寶把我擠下線后第一時(shí)間凍結(jié)支付寶�����,京東賬號(hào)因?yàn)閷?shí)名信息用的我自己的�,因此這兩部分沒(méi)有遭受損失�����。 4.以支付寶為例���,子賬號(hào)要開(kāi)通花唄�����,可以通過(guò)向主賬號(hào)發(fā)送申請(qǐng)來(lái)開(kāi)通�,所以對(duì)方需要登陸我原來(lái)的支付寶賬號(hào)�����。 整理完所有的信息后�����,已經(jīng)凌晨?jī)扇c(diǎn)了,雖然很晚了但還是嘗試著挨家支付機(jī)構(gòu)打電話聯(lián)系告知被盜刷�。銀聯(lián)云閃付客服態(tài)度極好,給他們報(bào)了損失金額��,告知我們第二天會(huì)有專人聯(lián)系處理后續(xù)事情�����。準(zhǔn)備好一些材料����,包括通話、短信記錄�、銀行賬單�,以及其他零散資料,因?yàn)楫?dāng)天離開(kāi)了成都���,只能第二天趕回去報(bào)警��。 03 — 派出所報(bào)案���,再次分析過(guò)程(9月6日) 8:00 一早趕緊往成都趕���。路上云閃付主動(dòng)聯(lián)系我們告訴我們昨晚提交的損失報(bào)少了,并讓我們報(bào)警后提供報(bào)案回執(zhí)單等一些材料提交過(guò)去���,看樣子有可能要賠付,安心了不少���。派出所民警聽(tīng)說(shuō)了我們的遭遇都表示驚奇��,說(shuō)之前從沒(méi)遇到過(guò)這種偷手機(jī)的����,站在以往常規(guī)案例的經(jīng)驗(yàn)�,懷疑是否我們泄露了身份證照片之類(lèi)的導(dǎo)致的。我應(yīng)該是第一個(gè)來(lái)這個(gè)派出所報(bào)這種案件的����,對(duì)于派出所民警的反應(yīng)其實(shí)是可以理解的,包括自己的家人也有在警察隊(duì)伍的����,也表示沒(méi)聽(tīng)說(shuō)過(guò)類(lèi)似的案件。 晚上在電腦前繼續(xù)回想所有細(xì)節(jié)����,把整個(gè)過(guò)程串一遍�,必要時(shí)用自己的APP和賬號(hào)進(jìn)行實(shí)驗(yàn)��,驗(yàn)證自己的分析判斷��。雖然補(bǔ)了手機(jī)卡����,銀行卡都凍結(jié)了,帶支付功能的軟件都找回來(lái)各種修改密碼了�����,但總覺(jué)得哪里就是不對(duì)勁�。突然又收到了財(cái)付通的支付驗(yàn)證碼請(qǐng)求,再關(guān)聯(lián)起前面的幾個(gè)可疑點(diǎn)�,可以確定的是:還有其他支付賬號(hào)綁了我的銀行卡,既然前面對(duì)方用支付寶創(chuàng)建了小號(hào)�����,其他平臺(tái)上就大概率還有��。挨個(gè)APP檢查����, 發(fā)現(xiàn)用我們的手機(jī)號(hào)碼新建了支付寶����、蘇寧�����、京東且包含有消費(fèi)記錄�,這個(gè)操作隱蔽性強(qiáng)�,如果我們沒(méi)發(fā)現(xiàn)的話,解凍了銀行卡���,他們還可以用自己創(chuàng)建的支付賬號(hào)進(jìn)行一些小額消費(fèi)��。但也有用他們自己手機(jī)號(hào)碼+我的身份信息創(chuàng)建的賬號(hào)�, 比如微信�,我只能收到支付短信但無(wú)法登陸對(duì)方賬號(hào)進(jìn)行銀行卡解綁。后面是自己挨家登陸銀行的網(wǎng)銀��、手機(jī)銀行��,在快捷支付菜單里進(jìn)行查詢和關(guān)閉的�����。 再次分析時(shí)發(fā)現(xiàn)對(duì)方如果要順暢的執(zhí)行完這一連串的操作,需要拿到手機(jī)主人的身份證信息��,通過(guò)分析短信接收記錄成功定位到對(duì)方的獲取途徑�。(目前對(duì)應(yīng)問(wèn)題已修復(fù),這里不描述細(xì)節(jié)內(nèi)容)�。 04 — 整個(gè)事件分析總結(jié) 在這一系列過(guò)程中,犯罪團(tuán)伙的特點(diǎn): 1.全程用的都是正常的業(yè)務(wù)操作���,只是把各個(gè)機(jī)構(gòu)的“弱驗(yàn)證”的相關(guān)業(yè)務(wù)鏈接起來(lái)����,形成巨大的破壞���; 2.團(tuán)隊(duì)分工協(xié)作�����,有成熟的作案腳本(后臺(tái)網(wǎng)友留言也證實(shí)了這一點(diǎn)��,并且關(guān)鍵環(huán)節(jié)是有多個(gè)備用方案的)�。 分析完犯罪團(tuán)伙���,再來(lái)看下涉及的各個(gè)相關(guān)機(jī)構(gòu)的“弱點(diǎn)”環(huán)節(jié)����,實(shí)際上任何一家機(jī)構(gòu)在過(guò)程中所涉及的業(yè)務(wù),在不關(guān)聯(lián)在一起的角度上看�,都是小問(wèn)題甚至不算問(wèn)題: 1.四川電信:電話掛失和解掛的業(yè)務(wù)未考慮到手機(jī)被盜后身份信息泄露的情況,(四川電信目前也已經(jīng)對(duì)這一環(huán)節(jié)進(jìn)行了調(diào)整)�����; 2.各支付機(jī)構(gòu)��,每家支付機(jī)構(gòu)都有自己的風(fēng)險(xiǎn)控制策略�,部分風(fēng)控策略對(duì)我這種情況沒(méi)有識(shí)別并增強(qiáng)驗(yàn)證���;實(shí)際上如果犯罪分子是通過(guò)抹掉數(shù)據(jù)或者刷機(jī)進(jìn)入的手機(jī)�,無(wú)論是android還是蘋(píng)果手機(jī)���,相比正常使用的情況下�,手機(jī)是有一些特征可以定位并應(yīng)用到風(fēng)控策略的����,檢測(cè)到這種異常的情況下可以在登錄��、密碼重置等關(guān)鍵步驟就通過(guò)增強(qiáng)的身份驗(yàn)證�,例如關(guān)鍵步驟采用人臉識(shí)別技術(shù)�,可以起到阻斷的效果。 3.涉及身份信息泄露的移動(dòng)APP��,主要是密碼找回功能對(duì)短信驗(yàn)證碼過(guò)度依賴��,缺乏其他要素驗(yàn)證����,其次就是涉及金融的敏感信息的保護(hù)不足,目前這個(gè)問(wèn)題也已經(jīng)進(jìn)行了修復(fù)���。但這一塊也是我目前最擔(dān)心的�����,互聯(lián)網(wǎng)上以手機(jī)短信驗(yàn)證碼可進(jìn)行登錄并查看身份信息的網(wǎng)站和APP還是比較多��。 4.美團(tuán)貸款這塊�����,一開(kāi)始我以為美團(tuán)是缺失貸款的人臉驗(yàn)證�����,后面上網(wǎng)查其他網(wǎng)友的經(jīng)歷�,發(fā)現(xiàn)貸款申請(qǐng)是有需要人臉識(shí)別驗(yàn)證的情況。應(yīng)該是風(fēng)險(xiǎn)檢測(cè)這塊檢測(cè)到設(shè)備指紋是常用設(shè)備��,所以就沒(méi)要求人臉驗(yàn)證吧���。 5.華為手機(jī)����,密碼找回功能過(guò)度依賴短信驗(yàn)證碼���,缺乏其他關(guān)鍵驗(yàn)證信息 目前遺留未確定的問(wèn)題:建行銀行卡卡號(hào)對(duì)方從何處獲取的��? 所有支付公司都綁定了建設(shè)銀行的卡,其他支付公司可能是通過(guò)快捷綁卡完成的�����, 但云閃付的快捷綁卡列表上沒(méi)有建設(shè)銀行���,也通過(guò)云閃付了解到對(duì)方是直接輸入卡號(hào)完成綁卡的��。 一開(kāi)始未注意到“快捷綁卡”這個(gè)功能時(shí)��,一度以為是建設(shè)銀行泄露了我的卡號(hào)����,但自己測(cè)試了客服電話、網(wǎng)銀���、手機(jī)銀行��、微信公眾號(hào)�����,都沒(méi)有發(fā)現(xiàn)在盜取到手機(jī)和身份信息后可直接查看的地方����。后面甚至對(duì)建設(shè)銀行的快捷綁卡頁(yè)面做了技術(shù)檢測(cè)��,發(fā)現(xiàn)整個(gè)過(guò)程沒(méi)有使用明文卡號(hào)�����,后臺(tái)請(qǐng)求中代表卡號(hào)的參數(shù)都是加密的。只能說(shuō)銀行在個(gè)人信息保護(hù)��、風(fēng)險(xiǎn)控制這塊更加的嚴(yán)格�����,雖然動(dòng)不動(dòng)很多業(yè)務(wù)要去柜面辦理��,但直接保證了你的資金安全(我的損失鍋其實(shí)不在銀行����,走快捷支付時(shí)資金安全只能依賴對(duì)應(yīng)的支付公司了)。 說(shuō)完他們����,最后再來(lái)說(shuō)說(shuō)自己,心存僥幸未第一時(shí)間掛失手機(jī)卡�、掛失銀行卡時(shí)沒(méi)找齊所有卡,這些都給犯罪分子留下了機(jī)會(huì)�。但通過(guò)這幾天的經(jīng)歷,不管中間情節(jié)有多少起伏����,我作為一個(gè)有10多年信息安全從業(yè)經(jīng)驗(yàn)的老駱駝�,都要被折騰成這樣,我實(shí)在是不想讓大家有跟我相同的經(jīng)歷。提幾個(gè)我個(gè)人認(rèn)為比較簡(jiǎn)單有效的防護(hù)措施: 1.給自己的手機(jī)sim卡上個(gè)密碼����, 2.給手機(jī)設(shè)置屏幕鎖 3.確保手機(jī)鎖屏狀態(tài)下來(lái)短信無(wú)法看到短信驗(yàn)證碼內(nèi)容。 通過(guò)上面的措施就算手機(jī)丟了未能及時(shí)發(fā)現(xiàn)和掛失也不用擔(dān)心別人拔下卡插其他手機(jī)里繼續(xù)使用�。 以華為手機(jī)為例:設(shè)置-安全-更多安全設(shè)置-加密和憑據(jù)-設(shè)置卡鎖, 選定手機(jī)卡��,啟用密碼(此時(shí)使用的為默認(rèn)密碼1234或者0000)���,再選擇修改密碼���,輸入原密碼1234,再輸入兩次新密碼��,完成sim卡的密碼設(shè)置��。要注意的是設(shè)置了sim密碼后手機(jī)重啟或者把卡換到新手機(jī)上 都需要先輸入sim卡密碼后再輸入鎖屏密碼��,如果sim卡密碼輸入錯(cuò)誤3次����,就會(huì)要求輸入puk碼才能解鎖,這時(shí)別再亂輸���,請(qǐng)聯(lián)系運(yùn)營(yíng)商或者puk碼進(jìn)行解鎖�,否則10次錯(cuò)誤后手機(jī)卡會(huì)失效必須去營(yíng)業(yè)廳換卡。其他各型號(hào)手機(jī)的設(shè)置方法建議大家直接百度搜索�����。 案件發(fā)生后也有支付機(jī)構(gòu)主動(dòng)聯(lián)系了我���,對(duì)過(guò)程和細(xì)節(jié)問(wèn)題進(jìn)行了分析和討論��,借用風(fēng)控專家的話:“其實(shí)你這個(gè)事情是個(gè)好事�����,在這種新型犯罪大量爆發(fā)前用較低的代價(jià)讓大家都重視和關(guān)注起來(lái)�,各機(jī)構(gòu)采取有效的措施���,避免后面造成更大損失后才去‘救火’的局面”����。 第一篇文章發(fā)布后��,有可疑號(hào)碼打我電話進(jìn)行囂張的漫罵���,只能送你們一句:“法網(wǎng)恢恢�����,疏而不漏�!” 免責(zé)聲明:自媒體綜合提供的內(nèi)容均源自自媒體�,版權(quán)歸原作者所有。文章觀點(diǎn)僅代表作者本人��,不代表新浪立場(chǎng)�。若內(nèi)容涉及投資建議,僅供參考勿作為投資依據(jù)�。投資有風(fēng)險(xiǎn),入市需謹(jǐn)慎����。
|
