触目惊心!一部手机丢失后有多可怕?多平台中招


来 源丨21世纪经济报道(ID:jjbd21记者:谢水旺、张雅婷)、信息安全老骆驼

近日,一篇一个月前的旧文——《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》,突然在朋友圈重新出现且刷屏。到底怎么回事?

一部手机丢失后有多可怕?多平台中招,支付宝紧急回应

“当时不知道我怎么想的,觉得可能还有机会能找回,没有未立即挂失手机卡,设置了华为找回手机的上线通知(这个不果断的决定,导致了后续悲剧的发生)。”该文作者“老骆驼”在文中称,9月4日,手机被偷了,用其他手机拨打,但对方接通后关机。

该文作者“老骆驼”自称信息安全专家,自述因手机失窃、SIM卡挂失失败遭遇手机黑产,在支付宝、美团、京东、财付通、苏宁金融、百度等多个平台被伪冒开户的经历。据分析,该案件中,由于该用户没有及时挂失SIM卡,犯罪分子在偷盗手机后,将手机中的SIM卡取出来后专门用于接收各类平台发送的短信验证码。此外,犯罪分子通过其他平台非法盗取用户信息,并在多个平台上伪冒开户实施盗刷。

其实早在当时,支付宝相关部门人士已经回应称,黑产没有在支付宝里套到任何钱和信息,也并未突破人脸验证。

9月11日,“老骆驼”再次发文《盗窃手机盗刷银行卡黑色产业链案件之后续进展》。

在该文中,他说:“在今天下午,事件中涉及的几家支付公司都积极联系到我,美团的贷款记录消除了,苏宁金融把我们损失的几千都赔付了。由于美团贷款的记录消除,实际上还导致苏宁金融赔付金融比他造成的损失多了300元,已经联系苏宁金融进行退款。银联云闪付的赔付也已打电话通知取消。对于赔付金额,该还我们的一分都不能少,但多的我们也一分不多要。”

注意两大关键点

关键1:四川电信称1天仅能解除挂失一次

回溯“老骆驼”与黑产分子斗争的整个流程,不难看出互联网资金在多个环节都面临风险。

第一步,黑产分子如何获得了失主的关键信息?

“老骆驼”指出四川电信的远程挂失和解挂的业务流程设存在问题,导致黑产分子通过某政务APP的短信验证功能获得了失主的姓名、手机号码、身份证号、银行卡号。

原来,“老骆驼”通过四川电信客服挂失手机号后,对方通过联系电信客服进行了“解除挂失”的操作。

一旦手机号被解除挂失,这意味着,使用各大APP时所需的身份认证环节,极有可能被对方利用短信验证码服务通过验证。

因此,“老骆驼”与黑产分子就手机号的挂失与解挂斗争了整晚,“来来回回几十次。”四川电信事后致歉“老骆驼”称,被黑产以“男女朋友闹矛盾”哄骗,导致反复挂失与解挂。

记者10月10日从四川电信客服处了解到,如需解除挂失,可以联系客服提供登录电信网上营业厅的密码或者机主姓名和身份证号码+上月拨打的三个通话号码进行操作。

不过,上述客服表示,目前挂失业务办理后,针对线上渠道,解除挂失业务24小时内仅能办理一次,有特殊情况需要本人持有效证件到营业厅解除挂失。

关键2:黑产分子是否绕过了人脸识别?

获得个人信息后,黑产分子如何进行的贷款申请?

“老骆驼”发现,对方利用手机号及身份信息等注册了支付宝等软件的新账号,在苏宁金融、美团等平台进行贷款申请、资金转移,ETC信用卡产生各类买卡、充值等消费记录。

针对“老骆驼”质疑支付宝快捷绑卡的安全性,支付宝方面回应称,黑产分子没有通过快速绑卡获得银行卡号,而是通过输入用户的银行卡卡号+预留手机的短信验证码绑卡的,卡号则是对方通过其他渠道获得。

在支付宝内是否可以查询到完整的银行卡号?记者从支付宝客服处获悉,可点击所绑定的银行卡,进入“卡管理”页面,查看卡号可通过两种途径,一是通过人脸识别认证,二则是输入支付密码。

在长文中,“老骆驼”推测,支付宝实名认证的人脸识别已被黑产分子绕过,即用图片处理技术来绕过活体人脸识别验证。

对此,支付宝的回应中否认称,黑产分子并没有突破人脸识别,能注册新号是通过其他渠道已掌握的身份信息和短信验证码,在常用设备上实现的。这是由于对方修改支付密码时被支付宝风控拦住,查不了银行卡号,也没法收付款,才注册了新号,但新号也不能使用原号里的钱。

据“老骆驼”的说法,黑产分子在美团的“生活费”业务中进行了贷款,而其与美团联系时询问“为何只是简单验证了身份证就放款了”,对方回应称“这种贷款产品很多其他公司也有的”。

记者从美团APP上看到,当前开通“生活费”贷款业务,在填写个人相关信息后,需要进行人脸识别认证。美团客服表示,如需开启该业务一直都需要人脸识别认证。黑产分子是否绕过了人脸识别?是如何获得贷款的?美团方面回应称,正在了解相关情况。

“老骆驼”在后续中透露,其他被点名的平台已作出相应行动,美团消除了其贷款记录,苏宁金融赔付了相关损失。

支付宝方面建议,用户单独为SIM卡设置密码,能在一定程度上防止黑产分子接收验证码。

云闪付已建立立体防控方案,安全专家:丢手机应立即挂失SIM卡

在第一篇文章中,作者如此评价银联云闪付:

“和其他支付公司一样,都存在绑卡验证不严的问题。但是,人家态度是好的啊,凌晨3、4点,客服人员都能用极好的态度和我们沟通,让我们放宽心。第二天有专员联系我们,告诉我们昨晚报的损失少报了,他们查出来我们还有其他损失,并给了详细的指引告诉我们怎么去申请理赔,第二天他们内部调查有新的进展也都第一时间联系并告知我们。”

10月10日,继支付宝后,云闪付方面回复21世纪经济报道记者称,云闪付已建立有一套完善的应对防控手机盗刷黑产措施:覆盖“前防”TOKEN技术防真实卡号信息泄露,“中控”智能风控系统监测与识别风险账户并分级处置,“后偿”如用户无过错则全额赔付。

云闪付方面表示,在前防环节,云闪付APP采用了TOKEN技术,通过一串特有的数字标记代替了真实的银行卡号,大大降低了欺诈分子盗取用户真实银行卡卡号进行跨平台绑卡实施盗刷的风险,极大保护了用户的个人信息安全。在中控阶段,云闪付建立有实时监测风险开户操作体系,实时触发增强验证流程,本案例中取了相应的防范措施。

云闪付方面还称,云闪付建立的“后偿”机制,对于用户确定无过错的,建立了快速的赔付流程,这也是该用户在其所写原文中所说,云闪付客服在凌晨三四点第一时间耐心协助用户解决问题,第二天就安排了专人主动联系用户了解案件详情的背后原因。

云闪付安全专家也提醒广大用户,平时要注意保管好短信验证码等个人信息,如出现手机遗失、手机被盗等情况,应第一时间联系三大运营商挂失手机SIM卡,联系银行冻结银行卡,并尽快完成补换卡。

附原文:一部手机失窃引发的惊心动魄的战争

来源:信息安全老骆驼

9月4日 ——

7:30:正带着大娃在理发店理发,老婆过来告诉我,她在小区门口推着二娃蹲下买水果时婴儿车袋子里的手机被偷了。这时看到P40 pro上市,一年一度的换机季又到来了。说是丢失后就用其他手机拨打,但对方接通后关机。当时不知道我怎么想的,觉得可能还有机会能找回,没有未立即挂失手机卡,设置了华为找回手机的上线通知(这个不果断的决定,导致了后续悲剧的发生)。

8:51:对方把卡取出来插在其他手机开机,后面通过查询通话和短信详单才知道,才一个小时多点的时间,对方从高新区直奔成华区,以周五成都高峰期的交通状况,算是比较极限了。

9:24:家人发现被偷手机可以拨通,但我这边“查找我的手机”显示还未上线,但没两分钟我的手机收到提示手机在成华区上线了,瞬间再看找回手机界面,设备被解绑了,突然有种不好的感觉,一般的小偷不会这么快这么熟练的干这些。

立刻致电10000号挂失手机卡,但此时电信服务密码已经不正确了,通过验证身份证号码加提供上个月联系过的三个电话号码进行了挂失。开始采取紧急措施,登录手机银行把可立即赎回的理财全部赎回,活期余额全部转我账上,联系多家银行冻结信用卡,把支付宝、微信上的资金转走,绑定的信用卡全删掉,考虑到部分储蓄卡余额为0,且对方不知道我的卡号,就没去挂失。

9:48:家人说电话还可以打通,立马致电10000号,询问为什么还可以拨通,回复说卡是正常状态,继续挂失。

9:55:越想越不对劲,又致电10000号,问之前挂失失败的原因是什么。得到答复,第一次挂失是成功了的,但后面又被解挂了。

还有这种操作,打电话解除挂失,我是第一次知道,常识性认为我挂失了就应该是带上身份证去营业厅解除挂失,包括后面去报案,民警听说挂失后还可以电话解挂,也是很惊讶。

但明显对方是有备而来,后期分析时我认为连偷手机的时间都是事先定好的,对方把电信的业务流程已经掌握得很清楚了,这也导致我后期的补救措施变得很被动。

根据云闪付上的绑卡信息,继续给银行电话,挨个冻结储蓄卡,建行etc信用卡因为已经解绑了,且第二天要出行上高速,就没去管了。

这期间还漏掉一个老婆10多年前办的一张建行卡,一张工商银行卡,又埋雷了。

00:23时:发现支付宝、微信接连被挤下线,重要的是登录的设备和丢失的手机设备型号一致!完了,遇上高手了,华为的锁屏密码被解开了。

立马申请冻结(后面发现,已经晚了,对方的操作很迅速,此时支付宝已经被更换了手机号码,怀疑是多人在并发操作的。)、同时申请冻结微信,马上登陆京东,苏宁、国美等常用的APP,更换关联手机号码。没过一会,我的手机就收到一条京东的短信验证码,感觉后面几个APP应该是保住了(蜜汁自信,最后还是被打脸),喘一口气休息下。

分析对方意图,觉得所有银行卡和支付余额里偷不到钱的话可能会用老婆的信息申请贷款,但同时想到放款只能是放到本人银行卡,要想转出去得有银行卡密码(长期以来自己支付密码和银行卡密码一致,连自己都忘了这两个密码不是一个东西,后面追查时才发现,对方用了一个神招,什么银行卡密码、支付密码根本影响不到对方),应该问题不大,加上期间紧张于电信手机卡“挂失”、“解挂”阵地抢占,又有张成都银行社保金融卡漏下了。

后面的一晚上就是循环的我挂失、对方解挂,在10000号上来来回回几十次。至于为什么要坚持,因为觉得虽然自己已经把重要的APP和银行账户都保住了但还是看不透对方想干什么,不过既然对方这么执着的解挂我的手机卡,肯定是有其迫切的原因。抱着凡是敌人想要的,就坚决不能给的信念,一晚上通宵坚持下来了。

这期间我们是很被动的,因为不知道他什么时候解挂,只能躺床上不停打被偷的电话,一拨通立马再打10000号挂失。

中间多次请求10000号客服,告知手机被偷,犯罪分子正在解挂手机卡用于实施犯罪,请求他们通知领导获得审批后冻结手机卡等明早去营业厅补卡,都被拒绝。

由于一晚上几十次的业务办理,甚至还被客服说“你们自己的私事,不要占用公共资源”,我都不知道对方是怎么忽悠客服的。询问还有没有其他途径自助办理挂失,回答无。只能继续坚持,最后不知道是不是客服自己都受不了我们了,10000发短信告诉我可以在网厅自助办理,登录电信网厅,尝试用软件自动挂失,无奈网厅的一些安全限制导致无法用软件实训自动化的挂失办理,继续手动操作。

5:00:发现才注意到网厅有关闭短信的业务,想着如果对方是高手,我关闭后也可能对方会立马发现,但也可能对方只是流水线的犯罪脚本操作工人,可以赌一赌,反正对我没损失,对他们还增加开通短信的步骤。

(后面查短信详单时发现,正是关闭短信功能这个操作,中断了他们后续的犯罪行为,不然损失肯定更严重)

熬到9月5日9点:开车送老婆蹲守营业厅开门,9点8分完成补卡,丈母娘来电话说老婆电话打通了,但接电话的是个男的,我回答说可能是营业厅的营业员接的。几分钟后老婆办卡归来,问到刚才丈母娘电话什么情况, 她说没接到电话啊,手机一直在自己手上。看了下确实没有通话记录,手机外拨也是正常的,短信发送接收也正常。继续打10000号,询问手机是否被开通了呼叫转移,得到确认的答复,验证身份证后关闭业务。关闭之前从话务员那边问到被转移的电话号码(准备后续万一要报警就提交过去)。

开始收复阵地,检查损失。找回支付宝、微信、云闪付,发现除了支付宝手机号被改了,但由于账户本身冻结状态,就没管了。从云闪付上管理的银行卡里交易记录基本没什么异常,只有一张工商银行卡多了280元(诡异吧),一看是从一个钱袋宝转过来的, 觉得蹊跷下了个APP想用手机号码登录钱袋宝看下:APP异常,登录不上,暂时就没管了。

约了朋友一起峨眉山泡温泉,喝下一瓶乐虎、一瓶红牛、一瓶咖啡,出发去峨眉山,途中继续检查了了下各个支付账户,好像没什么异常。下午到了峨眉山,在温泉池子里休息,恢复体力。准备晚上从电信营业厅查下详单,看对方都干了什么。

晚上查详单前老婆登录支付宝结果习惯性输入手机号码,发现密码错误, 赶紧用手机找回,突然想起自己支付宝账号不是手机号,一看才发现是对方新建的支付宝账号,还绑定了那张被我们遗忘的建行卡,以及一张建行ETC信用卡(办好etc后就一直在抽屉里吃灰),而且账单里有充值消费记录,以及被支付宝风控阻断后的充值退回记录,这时候才发现这张原本绑在云闪付上的信用卡被对方从云闪付解绑了,所以我们才没发现异常。

登陆建行网银,发现9月5日4点多时美团转进5000元的记录,跪了,再看etc信用卡有各种买卡、充值 的记录 几大千,银联转账记录几大千,最坏的情况还是发生了。

下载了短信和通话详单,开始分析通话和短信记录,挨个查询,基本上通话的都是各家银行、银联,短信记录能查的到源号码的也就是 社保局、华为、腾讯、银联