2020 盘点之手机失窃事件复盘分析
名为《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章在 9 月初、10 月初两次刷屏,备受大家关注。
事实上这篇文章的作者曾经就此发过至少三篇文章,第一篇文章发布于 9 月 9 日,引发广泛关注,但内容上有较多猜测,第二篇文章发布于 9 月 11 日,通过复盘,作者澄清了一些疑问,第三篇文章发布于 10 月 13 日,作者做了完整复盘。
大家关注这一事件,最主要的原因就是代入感。每个人都有可能丢失手机,那丢了之后会产生什么样的后果呢,信息泄露、资金损失会到什么程度呢?
我们顺着时间线,复盘分析这一事件脉络。
一、事件复盘
关键点 1:华为账号被关闭是怎么一回事
华为云提供查找我的手机-锁定设备的功能,支持设备重新上线后向指定手机号发送通知。受害人以为开了这个功能就可以定位到小偷,甚至还有还能找回手机。
这里的关键点就在于华为云后台,把 SIM 卡放到其他手机里,一个短信验证码就重置了。进去之后,就可以关闭找回手机功能了。
关键点 2:修改电信服务密码
受害人拨打电信客服时,电信服务密码已经不正确了,通过验证身份证号码加提供上个月联系过的三个电话号码才完成挂失。骗子很可能也是通过客服完成电信服务密码修改的。事实上,不通过客服也是可以重置电信服务密码的。如右下图所示,使用姓名+身份证号码+短信验证码能够实现重置。
关键点 3:支付宝账号在其他设备登录的提醒
这其实是一种应用保护机制,后登录的设备踢掉前登录的设备,同一时间,同一应用账号只能登录在一个设备上。支付宝有很强大的后台风控,设备指纹技术不是什么问题。
关键点 4:华为设备锁屏问题
受害人一开始认为骗子使用了与被害人丢失的手机型号一致的设备登录了支付宝,从而绕过支付宝风控。
但根据受害人后来的文章分析,在其他手机上登录支付宝子账号需要进行人脸识别,但如果是在原有手机上登录子账号的话,在实名认证时匹配身份信息的各项要素,通过风控规则校验与主账号一致的情况下是不需要人脸验证的,所以骗子必须在受害者丢失的手机上才能登录支付宝子账号而不触发人脸,不能使用其他设备。
这也就意味着,P30 锁屏密码遭到了破解,据作者推测,骗子使用了刷机的方式完成了这一操作,但事实无处求证。
关键点 5:支付宝子账户
支付宝子账户是怎么一回事。事实上这是支付宝提供的正常业务,可以实现同一个身份信息、不同的支付密码,每人最多开通 3 个账户,共享主账户的贷款额度、信用等。网页上就可以自行注册。
是不是听起来不太安全?确实是这样,前几年还有人在网上问子账户是不是支付宝的漏洞,那时候甚至可以每人开通 5 个账户。但奇怪的是支付宝对于子账户的态度也挺模糊,甚至在手机支付宝中,也只能通过我的客服,手输查询名下账户才能看到所有账户。这种布局,事实上给骗子的操作带来了一定的隐蔽性。
关键点 6:社保 App 泄漏身份信息
四川社保 App 忘记密码的验证环节仅依靠短信验证码,进去之后能够看到人脸及完整身份证号。再次提醒所有应用设计的工程师,重要操作(比如大额支付/转账、找回密码、注册、开通/注销重要权限等),绝对不能只依靠一个手机验证码。身份认证双因素,说三遍。
关键点 7:免密绑卡的问题
在不知道完整卡号的情况下,多家金融支持自动查询用户在合作银行的所有银行卡并进行绑卡。经测试,根据银行卡的不同,绑定流程不一样,例如美团金融绑定邮储储蓄卡,还需要输入支付密码。但 xx 金融快捷绑卡是一种免密绑卡的方式,只需短信验证码,图我就不放了,避免引起不必要的麻烦。
关键点 8:互联网金融渠道贷款
通过美团生活费、苏宁金融等贷款等取得现金,在线申请需要的一般是银行卡+短信验证码+身份证号等骗子可以取得的要素。根据作者复盘的第三篇文章了解,互金渠道的验证也是有风控的,可能是因为骗子用了受害者的手机,所以才绕过了人脸识别、指纹等验证手段。下面是我用美团生活费申请了一笔贷款,贷款需要验证短信验证码+支付密码,但支付密码可以通过身份证号进行重置。
二、事件特性
从以上复盘进行分析,可以发现这起手机失窃导致的资金被盗事件是一起综合利用了手机设备、运营商、第三方应用有效信息等一系列问题的事件,黑色产业链初露端倪。
三、事件之后相关方的反应及后续措施
四川电信 :事件当晚投诉,话务员还是拿着业务话术来敷衍客户“对不起,我们的挂失解挂有固定的业务流程,只要对方能提供服务密码,正常就是可以解挂的”。但根据作者在 10 月份的复盘情况来看,四川电信修改了电话挂失、解挂的业务规则。
四川人社 :未响应。目前仍可以通过一条短信验证码重置登录密码。
华为:未对锁屏密码遭破解的事情做解释,互联网上也没有公开信息披露解锁技术。
美团金融:当晚客服态度较好,安抚客户情绪。11 号之后,美团贷款的记录消除。
苏宁金融:当然态度恶劣,接到用户报案后第一时间想到的是推卸责任。“报案了么?如果警方有需要,我们会做好配合工作!“11 号之后,苏宁金融消除了贷款记录并进行了赔付,作者甚至还多收到了 300 块。
银联云闪付:当晚客服态度较好,凌晨 3、4 点客服人员用极好的态度和作者沟通,让作者放宽心,第二天有专员联系,并给了详细的指引告诉作者怎么去申请理赔。
财付通:人工客服难找了,但在两天在没有任何通知的情况下,主动追回了几笔交易金额。
四、建议
上述事件出现之后不久,还有一起类似的事件发生,可见产业链早已形成,只是曝光的还没有那么多、那么彻底。
手机的价值远小于手机里数据的价值。小偷早已不只关注手机能卖多少钱。那么作为我们这样的普通人,应该怎么做呢?
答案是:从预防做控制,从源头做控制。
建议 1:给自己的手机 SIM 卡设置密码,但一定要牢记密码
以华为手机为例:设置-安全-更多安全设置-加密和凭据-设置卡锁, 选定手机卡,启用密码(此时使用的为默认密码 1234 或者 0000),再选择修改密码,输入原密码 1234,再输入两次新密码,完成 SIM 卡的密码设置。
要注意的是设置了 SIM 密码后手机重启、把卡换到新手机上都需要先输入 SIM 卡密码后再输入锁屏密码,如果 SIM 卡密码输入错误 3 次,就会要求输入 puk 码(运营商设置)才能解锁,这时别再乱输,请联系运营商或者 puk 码进行解锁,否则 10 次错误后手机卡会失效,必须去营业厅换卡。
这其实也是上述事件出来之后,工信部给出的安全防护建议。
建议 2:给手机设置屏幕锁
建议 3: 手机丢失首先应想到的是挂失 SIM 卡
建议 4: 确保手机锁屏状态下来短信无法看到短信验证码内容
为了个人资金、信息的安全,以下方式不可取:
版权声明: 本文为 InfoQ 作者【石君】的原创文章。
原文链接:【http://xie.infoq.cn/article/3a3ab313164931f899bf67271】。文章转载请联系作者。
评论