首页 电商 正文

手机失窃致资金被盗!当事人:损失都追回

2024-03-21 21:35
admin

(原标题:“手机失窃致资金被盗”当事人:损失都追回,APP已升级)

近期,有名为“信息安全老骆驼”(以下简称:老骆驼)的网友将手机失窃后的遭遇写成了文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》,引发了广泛关注,并获得了支付宝等机构的回应。

10月12日,老骆驼发布了该文章的修订版,并表示,其个人的损失都已追回。

老骆驼介绍,四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的APP也进行了对应安全升级;支付机构也积极联系了我,探讨如何公众号信息安全老骆驼10月12日发布的文章《一部手机失窃而揭露的黑色产业链—完整修订版》

“大家好,之前一篇文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》发布后,引起了大家极大的关注,但由于之前事发突然,文章写得仓促,自己的分析也有草率不准确的地方,在公众号后台广大网友也提出各种疑问。为了避免给大家传导错误的信息,这里我将事件情况按我目前分析得到的结论重新整理一下,删掉部分废话和已证实当初推论不正确的内容。同时也希望大家知道,我的这个事件确属个案,事件涉及的机构也已对关键环节做出了有效的调整和应对,在打击金融犯罪方面,相关监管部门也是非常重视,我们也不必过度恐慌。”

文章开始前,先回答广大网友比较关注的几个问题:

1.相比android手机,如果使用的是苹果手机遇到相同的情况,是不是更安全一些?

答:犯罪分子目的是手机卡,当然抹除数据或者刷机后进入原手机也是其避开支付软件风险控制策略的一个手段。但苹果手机如果在可越狱的版本下,也是可以通过隐藏ID的方式刷机后进入再安装APP进行操作。所以“哪种手机更安全”可以忽视,设置sim卡密码才是关键。

2.事件的后续进展?

答:我个人的损失都已追回。四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的APP也进行了对应安全升级;支付机构也积极联系了我,探讨如何上的资金转走,绑定的信用卡全删掉。

21:48家人说电话还可以打通,再次致电10000号,询问为什么没有挂失,回复说卡是正常状态,于是要求继续挂失。

21:55越想越不对劲,第一次挂失后自己是打电话确认了无法接通的。又致电10000号,询问之前挂失失败的原因是什么。得到答复,第一次挂失是成功了的,但后面又被解挂了。这一点自己确实是没想到的,挂失后还可以凭服务密码或者身份信息和通话记录进行解挂。(现在四川电信已经对这个业务流程做出了调整)

根据银联云闪付上的绑卡信息,继续给银行电话,挨个冻结储蓄卡,ETC信用卡因为未绑定在APP上,自信的认为对方无信用卡CVV等信息肯定盗刷不了,且第二天要出行上高速,就没去管了。有两张银行卡因为办理时间较早,卡也丢失了,就给漏下了。(后续的盗刷基本就都集中在这几张卡上,反面教材警示)

00:23,发现支付宝被挤下线,登录的设备和丢失的手机型号一致。我这边立即申请冻结支付宝、微信,接着登陆京东,苏宁、国美等常用的APP,更换关联手机号码。没过一会,我的手机就收到一条京东的短信验证码,感觉后面几个APP应该是保住了(蜜汁自信,最后还是被打脸)。实际上后面查短信详单后发现,手机卡在22:00开始就陆续收到支付宝、微信等支付APP和各家银行的短信,这里推测对方在哪个时间段在各个平台注册新账号。

后面一晚上就是循环的我挂失、对方解挂,在10000号上来来回回几十次(对方有手机卡、有服务密码。目前四川电信这一块业务已进行了调整,不再支持这样的多次电话挂失、解挂)。

5:00左右发现才注意到网厅有关闭短信的业务,尝试着把短信功能关闭了。(后面查短信详单时发现,正是关闭短信功能这个操作,中断了他们后续的犯罪行为,不然损失肯定更严重,也庆幸对方没注意到我的这个操作)

02

手机补卡、清点损失、分析过程(9月5日)

9:00,蹲守电信营业厅开门,9点8分完成补卡,但发现补回的手机卡被办理了呼叫转移业务,目前暂时还不知道对方这个操作的目的是什么。通过10000号把呼叫转移关闭了。

开始清点损失,找回各个支付平台的账号,发现除了支付宝手机号被改了,并没有其他异常记录。

22:00还是不放心,当天晚上再次核对时意外操作发现对方用偷到的手机号新建了一个支付宝,还绑定了那张被我们遗忘的建行卡,以及一张ETC信用卡(这张卡开通后未在其他地方使用过),而且账单里有充值消费记录,以及支付宝风的充值退回记录。登陆建行网银,发现9月5日凌晨4点多美团转进一笔5000元的记录,再看ETC信用卡有各种买卡、充值的记录,银联转账记录,一开始担心的被申请贷款,虽然想到了但还是没防好。

下载了短信和通话详单,开始仔细分析通话和短信记录。回忆从头到尾的细节,逐个分析对方的作案流程,过程太繁琐这里我直接给出分析结果:

获取身份信息修改了运营商服务密码

短信验证码修改华为密码

通过刷机或者抹掉数据的方式进入手机

用掌握的身份信息注册支付平台新账号

通过支付平台使用受害者原账号申请贷款

通过线上、线下完成消费

附我只能收到支付短信但无法登陆对方账号进行银行卡解绑。后面是自己挨家登陆银行的网银、手机银行,在快捷支付菜单里进行查询和关闭的。

再次分析时发现对方如果要顺畅的执行完这一连串的操作,需要拿到手机主人的身份证信息,通过分析短信接收记录成功定位到对方的获取途径。(目前对应问题已修复,这里不描述细节内容)

04

整个事件分析总结

在这一系列过程中,犯罪团伙的特点:

1.全程用的都是正常的业务操作,只是把各个机构的“弱验证”的相关业务链接起来,形成巨大的破坏;

2.团队分工协作,有成熟的作案脚本(后台网友留言也证实了这一点,并且关键环节是有多个备用方案的)。

分析完犯罪团伙,再来看下涉及的各个相关机构的“弱点”环节,实际上任何一家机构在过程中所涉及的业务,在不关联在一起的角度上看,都是小问题甚至不算问题:

1.四川电信:电话挂失和解挂的业务未考虑到手机被盗后身份信息泄露的情况,(四川电信目前也已经对这一环节进行了调整);

2.各支付机构,每家支付机构都有自己的风险控制策略,风控策略对我这种情况很多关键业务是没有提前识别并介入的,更多的是靠后期的异常交易发生后进行追回,例如支付宝上第一笔盗刷到第二天早上的追回,间隔了5个多小时,可以理解为支付宝的“主动赔付”;实际上如果犯罪分子是通过抹掉数据或者刷机进入的手机,无论是android还是苹果手机,相比正常使用的情况下,手机是有一些特征可以定位并应用到风控策略的,检测到这种异常的情况下通过增强的身份验证,例如关键步骤采用人脸识别技术,可以起到阻断的效果。

3.涉及身份信息泄露的移动APP,主要是密码找回功能对短信验证码过度依赖,缺乏其他要素验证,其次就是涉及金融的敏感信息的保护不足,目前这个问题也已经进行了修复。但这一块也是我目前最担心的,互联网上以手机短信验证码可进行登录并查看身份信息的网站和APP还是比较多。

4.美团贷款这块,一开始我以为美团是缺失贷款的人脸验证,后面上网查其他网友的经历,发现贷款申请是有需要人脸识别验证的情况。应该是风险检测这块检测到设备指纹是常用设备,所以就没要求人脸验证吧。

5.华为手机,密码找回功能过度依赖短信验证码,缺乏其他关键验证信息

目前遗留未确定的问题:建行银行卡卡号对方从何处获取的?

所有支付公司都绑定了建设银行的卡,其他支付公司可能是通过快捷绑卡完成的,但云闪付的快捷绑卡列表上没有建设银行,也通过云闪付了解到对方是直接输入卡号完成绑卡的。

一开始未注意到“快捷绑卡”这个功能时,一度以为是建设银行泄露了我的卡号,但自己测试了客服电话、网银、手机银行、微信公众号,都没有发现在盗取到手机和身份信息后可直接查看的地方。后面甚至对建设银行的快捷绑卡页面做了技术检测,发现整个过程没有使用明文卡号,后台请求中代表卡号的参数都是加密的。只能说银行在个人信息保护、风险控制这块更加的严格,虽然动不动很多业务要去柜面办理,但直接保证了你的资金安全(我的损失锅其实不在银行,走快捷支付时资金安全只能依赖对应的支付公司了)。

说完他们,最后再来说说自己,心存侥幸未第一时间挂失手机卡、挂失银行卡时没找齐所有卡,这些都给犯罪分子留下了机会。但通过这几天的经历,不管中间情节有多少起伏,我作为一个有10多年信息安全从业经验的老骆驼,都要被折腾成这样,我实在是不想让大家有跟我相同的经历。提几个我个人认为比较简单有效的防护措施:

1.给自己的手机sim卡上个密码,

2.给手机设置屏幕锁

3.确保手机锁屏状态下来短信无法看到短信验证码内容。

通过上面的措施就算手机丢了未能及时发现和挂失也不用担心别人拔下卡插其他手机里继续使用。

以华为手机为例:设置-安全-更多安全设置-加密和凭据-设置卡锁,选定手机卡,启用密码(此时使用的为默认密码1234或者0000),再选择修改密码,输入原密码1234,再输入两次新密码,完成sim卡的密码设置。要注意的是设置了sim密码后手机重启或者把卡换到新手机上都需要先输入sim卡密码后再输入锁屏密码,如果sim卡密码输入错误3次,就会要求输入puk码才能解锁,这时别再乱输,请联系运营商或者puk码进行解锁,否则10次错误后手机卡会失效必须去营业厅换卡。其他各型号手机的设置方法建议大家直接百度搜索。

案件发生后也有支付机构主动联系了我,对过程和细节问题进行了分析和讨论,借用风控专家的话:“其实你这个事情是个好事,在这种新型犯罪大量爆发前用较低的代价让大家都重视和关注起来,各机构采取有效的措施,避免后面造成更大损失后才去‘救火’的局面”。

第一篇文章发布后,有可疑号码打我电话进行嚣张的漫骂,只能送你们一句:“法网恢恢,疏而不漏!”

相关文章

  • 京东碎屏保在哪里看(京东自营碎屏保怎么用)

    京东碎屏保在哪里看(京东自营碎屏保怎么用) 京东屏碎保有用吗?很多手滑族最担心的就是发生手机碎屏的情况,为此京东特地推出了京东屏碎保服务,是不是产生了京东屏碎保有用吗?京东屏碎保怎么用?的疑问呢,接下来跟随小编去文章中寻找答案吧! 京东碎屏保在哪里看1、如果在手机实体店购买的手机,需要打电话询问卖家,是否赠送了或包含了碎屏险。2、如果在网络渠道购买的手机,需要在官网或者是京东直接查看订单,如果订单显示碎屏险就表示已经买了。很多手机消费者会有

    2024-03-18 09:44

  • 2022年618手机折扣?买什么手机好?

    2022年618手机折扣?买什么手机好? 2、手机会场可以抢150元券在“我的淘宝”下进入618主会场,然后找到手机会场,关注“苹果满减券”的开抢时间,会有机会抢到满3000元可用的150元券,限苹果手机11系列使用,而且还可以和618满减活动叠加!3、分期免息4月份刚发布的最新苹果手机iPhoneSE,6.1-6.20除了可领取200元专享优惠券还能享受花呗12期免息,可帮你免247.4元,每期需花274.9,每日仅需9.2元!买什么手

    2024-03-18 09:25

  • 京东618手机能便宜多少?力度大吗?

    京东618手机能便宜多少?力度大吗? 618是京东一年中促销力度最大的活动了,所以很多人购买电子数码产品都是在这个时候去买,有些人打算在这个时候换手机,但是不知道京东618的手机到底能便宜多少,下面就给大家分析下。,不过,买手机不建议大家追新款,因为新款才上,一来没有特别多的折扣,价格也比较昂贵,二来,手机的性能各方面大家也不熟悉,可能会有很多的问题也说不清楚,建议,购买大众评论指数高的手机,这样相对来说更稳妥,质量也更有保障。,等这

    2024-03-13 19:11

  • 京东上的合约机划算吗?优缺点介绍!

    京东上的合约机划算吗?优缺点介绍! 像蓝呆合约机商城上面的三星note 2合约价只要4399元,就可以获得3720话费+正品手机一台,不过要承诺两年每月最低消费388元。,除非做业务、生意的,不然一般人哪能消费到388元呢?2、在合约期内(一般两年),您用来办理合约机的手机卡不能销户、停机,就算您不用,也会每月扣取最低消费。,当然现在手机功能很强大,都是双核四核的,合约机定制的软件一般也不大,所以对于手机速度影响不会太大。

    2024-03-13 19:09

  • 京东手机端首页尺寸是多少?装修技巧介绍

    京东手机端首页尺寸是多少?装修技巧介绍 在这种趋势下,商家一定要特别注意移动端页面的装修设计。,4、京东详情图一般定位在3到6屏,手机端如果页面弄太长的话,会影响用户体验。,手机端用户下单无非就是看你几张细节图,合适呢我就下单不合适就在去逛逛。

    2024-03-13 19:09

  • 京东流量卡怎么用?靠谱吗?

    京东流量卡怎么用?靠谱吗? 它有一个独立的号码段,没有月租,而且交通费用也很便宜。,因此,由于这个原因,许多人将在几个月内无法使用这些手机卡。,因此,购买手机流量卡等物联网卡的风险非常大,因为这种手机卡不仅收费和查询非常麻烦,而且随时都有被拦截的风险,所以仍然不推荐购买这种手机卡。

    2024-03-13 19:02

  • 京东双11手机一般降价多少?有何优惠?

    京东双11手机一般降价多少?有何优惠? 5、11.11日,小米爆款限量秒杀低至11.11元;除了以上的福利,还会根据购买用户身份的不同给出不同的福利,主要分为粉丝价、会员价、学生价等,虽说,我们暂时无法知晓今年手机大概会降多少,但是可以肯定是不会让大家失望的,如果按照平均值参考估计会在200-500之间,当然这只是参考。,在活动开售时,可以通过对比知晓降价的幅度。,最为明显的就是促销中,部分商品存在先提价后降价或虚构原价再打折现象,大家

    2024-03-13 18:55

  • 京东双11能便宜多少?优惠力度如何?

    京东双11能便宜多少?优惠力度如何? 有很多的京东用户都在等待此次京东双11活动的来临,因为在双11活动期间我们可以买到自己想要的产品,而且商品的价格都非常的实惠,那么京东双11活动的优惠力度到底有多大呢?京东双十一3C会场从11月1日截止到11月9日,按照每天分为:图书(满200减100)、电脑(满1000减100)、数码(平板0元购)、手机(爆款手机1折秒杀)、生旅(整点抢200减199)、手机(低价20天价保)、数码(整点抢20

    2024-03-13 18:51

  • 京东大王卡怎么注销?京东大王卡套餐是啥?

    京东大王卡怎么注销?京东大王卡套餐是啥? 它有一个独立的号码段,没有月租,而且交通费用也很便宜。,因此,由于这个原因,许多人将在几个月内无法使用这些手机卡。,因此,购买手机流量卡等物联网卡的风险非常大,因为这种手机卡不仅收费和查询非常麻烦,而且随时都有被拦截的风险,所以仍然不推荐购买这种手机卡。

    2024-03-13 18:48

  • 京东年货节手机有优惠吗?买手机要注意什么?

    京东年货节手机有优惠吗?买手机要注意什么? 要注意什么?1、京东上买手机一定要认准自营店,虽然第三方店铺也接受京东的监管,但因为自营店其实就是厂家自己开的店,商品也是和官网和实体店一样的,所以强烈建议在自营店购买,商品一样的情况下,比官网和实体店,还能便宜2-300,多一些赠品。,3、京东有着比较完善的手机售后维修更换服务,可以保证在购买之后享受到三包服务,也有上门取件维修更换的售后保障。,作为一个资深京东买家,我网购的东西不仅有零食、化妆

    2024-03-13 18:38

热门标签