近期,有名為“信息安全老駱駝”(以下簡稱:老駱駝)的網(wǎng)友將手機(jī)失竊后的遭遇寫成了文章《一部手機(jī)失竊而揭露的竊取個人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》,引發(fā)了廣泛關(guān)注,并獲得了支付寶等機(jī)構(gòu)的回應(yīng)����。
10月12日�,老駱駝發(fā)布了該文章的修訂版,并表示�����,其個人的損失都已追回��。
老駱駝介紹����,四川電信修改了電話掛失���、解掛的業(yè)務(wù)規(guī)則�����;文中身份信息泄露來源的APP也進(jìn)行了對應(yīng)安全升級�;支付機(jī)構(gòu)也積極聯(lián)系了我,探討如何加強(qiáng)這方面的安全防護(hù)�����。
老駱駝在文章中提出了幾條建議:1. 給自己的手機(jī)sim卡上個密碼�����,2. 給手機(jī)設(shè)置屏幕鎖����,3. 確保手機(jī)鎖屏狀態(tài)下來短信無法看到短信驗(yàn)證碼內(nèi)容。
事件的起因是9月4日下午7時(shí)30分�����,老駱駝家人的華為手機(jī)被盜�, 對方把卡取出來放在其他手機(jī),利用短信驗(yàn)證碼從某APP上獲取到身份證�����、銀行卡號信息�����;同時(shí)用獲取的信息修改了電信服務(wù)密碼、華為云密碼�����。
在老駱駝?chuàng)艽蛩拇娦牛ㄖ码?0000號)掛失手機(jī)卡后����,遭到了手機(jī)偷盜方的解掛,通過電信10000號掛失解掛的攻防來回?cái)?shù)十次���,暴露出四川電信在手機(jī)卡掛失流程上的問題����。
根據(jù)老駱駝的自述�����,手機(jī)偷盜方利用獲得的個人信息�,在美團(tuán)����、蘇寧金融、云閃付等平臺��,申請貸款,購買虛擬卡充值���,對其造成了經(jīng)濟(jì)損失��。手機(jī)偷盜方甚至用被盜的手機(jī)號碼注冊了新的支付寶����。
老駱駝?wù)J為�����,手機(jī)偷盜方完成這一整套偷盜��、申請貸款���、轉(zhuǎn)移資金的動作�����,核心是需要拿到手機(jī)主人的身份證信息�����。
在《一部手機(jī)失竊而揭露的竊取個人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》最初的原文中��,老駱駝判斷這與某政務(wù)機(jī)構(gòu)的產(chǎn)品有關(guān)�����。
在此次修訂版的文章中�,老駱駝稱,文中身份信息泄露來源的APP也進(jìn)行了對應(yīng)安全升級�。“但這一塊也是我目前最擔(dān)心的���,互聯(lián)網(wǎng)上以手機(jī)短信驗(yàn)證碼可進(jìn)行登錄并查看身份信息的網(wǎng)站和APP還是比較多����?!?/p>
老駱駝自述自己長期從事金融行業(yè)信息系統(tǒng)的安全漏洞檢測?����!暗?jīng)歷了這次盜刷事件之后我才發(fā)現(xiàn)��,相比黑客利用各種高深的技術(shù)漏洞攻擊金融信息系統(tǒng)���,更可怕的是這種把每一項(xiàng)看似沒問題的問題組合而成的犯罪�����,讓人防不勝防��。也希望今后在工作之余����,能有時(shí)間把自己在金融信息安全行業(yè)的專業(yè)知識����,用大家都能看得懂的方式寫出來,提高大家的安全防范意識�。”
以下為:微信公眾號信息安全老駱駝10月12日發(fā)布的文章《一部手機(jī)失竊而揭露的黑色產(chǎn)業(yè)鏈—完整修訂版》
“大家好��,之前一篇文章《一部手機(jī)失竊而揭露的竊取個人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》發(fā)布后�����,引起了大家極大的關(guān)注����,但由于之前事發(fā)突然,文章寫得倉促,自己的分析也有草率不準(zhǔn)確的地方�,在公眾號后臺廣大網(wǎng)友也提出各種疑問。為了避免給大家傳導(dǎo)錯誤的信息����,這里我將事件情況按我目前分析得到的結(jié)論重新整理一下,刪掉部分廢話和已證實(shí)當(dāng)初推論不正確的內(nèi)容��。同時(shí)也希望大家知道�,我的這個事件確屬個案,事件涉及的機(jī)構(gòu)也已對關(guān)鍵環(huán)節(jié)做出了有效的調(diào)整和應(yīng)對����,在打擊金融犯罪方面,相關(guān)監(jiān)管部門也是非常重視�����,我們也不必過度恐慌��?��!?/p>
文章開始前��,先回答廣大網(wǎng)友比較關(guān)注的幾個問題:
1.相比android手機(jī),如果使用的是蘋果手機(jī)遇到相同的情況,是不是更安全一些��?
答:犯罪分子目的是手機(jī)卡�,當(dāng)然抹除數(shù)據(jù)或者刷機(jī)后進(jìn)入原手機(jī)也是其避開支付軟件風(fēng)險(xiǎn)控制策略的一個手段。但蘋果手機(jī)如果在可越獄的版本下���,也是可以通過隱藏ID的方式刷機(jī)后進(jìn)入再安裝APP進(jìn)行操作�����。所以“哪種手機(jī)更安全”可以忽視����,設(shè)置sim卡密碼才是關(guān)鍵�����。
2.事件的后續(xù)進(jìn)展�����?
答:我個人的損失都已追回�。四川電信修改了電話掛失、解掛的業(yè)務(wù)規(guī)則�;文中身份信息泄露來源的APP也進(jìn)行了對應(yīng)安全升級�����;支付機(jī)構(gòu)也積極聯(lián)系了我�����,探討如何加強(qiáng)這方面的安全防護(hù)��;
3.之前的文章為何刪除�?
答:原本只是為了分享給小區(qū)業(yè)主的警示文��,但習(xí)慣了“技術(shù)漏洞分析報(bào)告”的風(fēng)格��,很多不必要寫的東西寫得太細(xì)���,加上第一篇文章當(dāng)時(shí)很多推測是有誤的���;由于網(wǎng)上現(xiàn)在一大堆對之前文章的轉(zhuǎn)載,還是希望把事情說清楚更嚴(yán)謹(jǐn)一些���,不要給大家造成誤會和恐慌�����,所以重新整理后上線了這篇文章��。
01
—
手機(jī)被盜當(dāng)天(9月4日)
19:30手機(jī)在小區(qū)門口的水果店被盜��,家人撥打手機(jī)對方接通一次后立馬關(guān)機(jī)了��。自己抱著一絲僥幸的心理���,僅僅只是使用了“查找我的手機(jī)”里的鎖定設(shè)備功能,想著通過手機(jī)定位嘗試能否找回手機(jī)��,沒有第一時(shí)間掛失(如果當(dāng)時(shí)立即掛失手機(jī)卡��,后面的事情根本也就不會發(fā)生了)���。
20:51對方把卡取出來放在其他手機(jī)�,利用短信驗(yàn)證碼從某個APP上獲取到身份證�����、銀行卡號信息����;同時(shí)用獲取的信息修改了電信服務(wù)密碼���、華為云密碼。(后期通過分析短信詳單得知)
21:24家人發(fā)現(xiàn)被偷手機(jī)可以撥通�����,隨后我的手機(jī)收到提示手機(jī)在成華區(qū)上線了�,但很快手機(jī)關(guān)聯(lián)的華為賬號被解除,這一步現(xiàn)在來看��,對方應(yīng)該是使用了華為的數(shù)據(jù)抹除功能�,并重新用華為賬號登錄手機(jī)并解綁。意識到對方不是普通的偷手機(jī)��,我立刻致電10000號掛失手機(jī)卡�����,但此時(shí)電信服務(wù)密碼已經(jīng)不正確了���,通過驗(yàn)證身份證號碼加提供上個月聯(lián)系過的三個電話號碼進(jìn)行了掛失����。開始采取緊急措施,通過手機(jī)銀行轉(zhuǎn)移活期余額����,聯(lián)系多家銀行凍結(jié)信用卡,把支付寶�、微信上的資金轉(zhuǎn)走,綁定的信用卡全刪掉�����。
21:48家人說電話還可以打通�,再次致電10000號�,詢問為什么沒有掛失,回復(fù)說卡是正常狀態(tài)���,于是要求繼續(xù)掛失�����。
21:55越想越不對勁���,第一次掛失后自己是打電話確認(rèn)了無法接通的。又致電10000號���,詢問之前掛失失敗的原因是什么�����。得到答復(fù),第一次掛失是成功了的���,但后面又被解掛了。這一點(diǎn)自己確實(shí)是沒想到的��,掛失后還可以憑服務(wù)密碼或者身份信息和通話記錄進(jìn)行解掛����。(現(xiàn)在四川電信已經(jīng)對這個業(yè)務(wù)流程做出了調(diào)整)
根據(jù)銀聯(lián)云閃付上的綁卡信息,繼續(xù)給銀行電話���,挨個凍結(jié)儲蓄卡�,ETC信用卡因?yàn)槲唇壎ㄔ贏PP上���,自信的認(rèn)為對方無信用卡CVV等信息肯定盜刷不了���,且第二天要出行上高速,就沒去管了����。有兩張銀行卡因?yàn)檗k理時(shí)間較早����,卡也丟失了��,就給漏下了����。(后續(xù)的盜刷基本就都集中在這幾張卡上,反面教材警示)
00:23 ��,發(fā)現(xiàn)支付寶被擠下線�,登錄的設(shè)備和丟失的手機(jī)型號一致�����。我這邊立即申請凍結(jié)支付寶��、微信�����,接著登陸京東,蘇寧�、國美等常用的APP,更換關(guān)聯(lián)手機(jī)號碼��。沒過一會��,我的手機(jī)就收到一條京東的短信驗(yàn)證碼��,感覺后面幾個APP應(yīng)該是保住了(蜜汁自信�,最后還是被打臉)。實(shí)際上后面查短信詳單后發(fā)現(xiàn)��,手機(jī)卡在22:00開始就陸續(xù)收到支付寶�����、微信等支付APP和各家銀行的短信���,這里推測對方在哪個時(shí)間段在各個平臺注冊新賬號�����。
后面一晚上就是循環(huán)的我掛失���、對方解掛,在10000號上來來回回幾十次(對方有手機(jī)卡��、有服務(wù)密碼�。目前四川電信這一塊業(yè)務(wù)已進(jìn)行了調(diào)整,不再支持這樣的多次電話掛失����、解掛)。
5:00左右發(fā)現(xiàn)才注意到網(wǎng)廳有關(guān)閉短信的業(yè)務(wù)�,嘗試著把短信功能關(guān)閉了。(后面查短信詳單時(shí)發(fā)現(xiàn)����,正是關(guān)閉短信功能這個操作�����,中斷了他們后續(xù)的犯罪行為�����,不然損失肯定更嚴(yán)重,也慶幸對方?jīng)]注意到我的這個操作)
02
—
手機(jī)補(bǔ)卡�����、清點(diǎn)損失�����、分析過程(9月5日)
9:00�����,蹲守電信營業(yè)廳開門�,9點(diǎn)8分完成補(bǔ)卡,但發(fā)現(xiàn)補(bǔ)回的手機(jī)卡被辦理了呼叫轉(zhuǎn)移業(yè)務(wù)�,目前暫時(shí)還不知道對方這個操作的目的是什么。通過10000號把呼叫轉(zhuǎn)移關(guān)閉了��。
開始清點(diǎn)損失���,找回各個支付平臺的賬號����,發(fā)現(xiàn)除了支付寶手機(jī)號被改了,并沒有其他異常記錄���。
22:00還是不放心�,當(dāng)天晚上再次核對時(shí)意外操作發(fā)現(xiàn)對方用偷到的手機(jī)號新建了一個支付寶��,還綁定了那張被我們遺忘的建行卡���,以及一張ETC信用卡(這張卡開通后未在其他地方使用過)����,而且賬單里有充值消費(fèi)記錄��,以及支付寶風(fēng)的充值退回記錄����。登陸建行網(wǎng)銀,發(fā)現(xiàn)9月5日凌晨4點(diǎn)多美團(tuán)轉(zhuǎn)進(jìn)一筆5000元的記錄��,再看ETC信用卡有各種買卡�、充值的記錄��,銀聯(lián)轉(zhuǎn)賬記錄��,一開始擔(dān)心的被申請貸款,雖然想到了但還是沒防好����。
下載了短信和通話詳單,開始仔細(xì)分析通話和短信記錄�����?�;貞洀念^到尾的細(xì)節(jié)����,逐個分析對方的作案流程,過程太繁瑣這里我直接給出分析結(jié)果:
獲取身份信息修改了運(yùn)營商服務(wù)密碼
短信驗(yàn)證碼修改華為密碼
通過刷機(jī)或者抹掉數(shù)據(jù)的方式進(jìn)入手機(jī)
用掌握的身份信息注冊支付平臺新賬號
通過支付平臺使用受害者原賬號申請貸款
通過線上����、線下完成消費(fèi)
附加對這個過程的幾點(diǎn)說明:
1. 獲取身份信息的途徑在9月7日的再次分析后才確認(rèn);
2.目前新版本的華為����,未找到有繞過鎖屏密碼的漏洞,通過后期的分析推測對方更可能是通過抹掉數(shù)據(jù)后進(jìn)入手機(jī)重裝支付APP�����,因?yàn)檫@樣更快捷。也只有進(jìn)入原手機(jī)��,才能繞過支付公司的風(fēng)控規(guī)則做一些其他的操作��。
3.根據(jù)其他相同遭遇網(wǎng)友的留言���,在第五步申請貸款部分���,有的是通過花唄,有的是通過白條���,只是因?yàn)槲野l(fā)現(xiàn)對方支付寶把我擠下線后第一時(shí)間凍結(jié)支付寶���,京東賬號因?yàn)閷?shí)名信息用的我自己的,因此這兩部分沒有遭受損失���。
4. 以支付寶為例����,子賬號要開通花唄����,可以通過向主賬號發(fā)送申請來開通,所以對方需要登陸我原來的支付寶賬號����。
整理完所有的信息后��,已經(jīng)凌晨兩三點(diǎn)了����,雖然很晚了但還是嘗試著挨家支付機(jī)構(gòu)打電話聯(lián)系告知被盜刷。銀聯(lián)云閃付客服態(tài)度極好�����,給他們報(bào)了損失金額�,告知我們第二天會有專人聯(lián)系處理后續(xù)事情。準(zhǔn)備好一些材料���,包括通話�����、短信記錄�、銀行賬單,以及其他零散資料���,因?yàn)楫?dāng)天離開了成都�����,只能第二天趕回去報(bào)警�����。
03
—
派出所報(bào)案��,再次分析過程(9月6日)
8:00一早趕緊往成都趕�����。路上云閃付主動聯(lián)系我們告訴我們昨晚提交的損失報(bào)少了���,并讓我們報(bào)警后提供報(bào)案回執(zhí)單等一些材料提交過去,看樣子有可能要賠付�����,安心了不少��。派出所民警聽說了我們的遭遇都表示驚奇,說之前從沒遇到過這種偷手機(jī)的�����,站在以往常規(guī)案例的經(jīng)驗(yàn)�����,懷疑是否我們泄露了身份證照片之類的導(dǎo)致的���。我應(yīng)該是第一個來這個派出所報(bào)這種案件的,對于派出所民警的反應(yīng)其實(shí)是可以理解的��,包括自己的家人也有在警察隊(duì)伍的�����,也表示沒聽說過類似的案件��。
晚上在電腦前繼續(xù)回想所有細(xì)節(jié)�,把整個過程串一遍,必要時(shí)用自己的APP和賬號進(jìn)行實(shí)驗(yàn)����,驗(yàn)證自己的分析判斷。雖然補(bǔ)了手機(jī)卡,銀行卡都凍結(jié)了����,帶支付功能的軟件都找回來各種修改密碼了,但總覺得哪里就是不對勁�����。突然又收到了財(cái)付通的支付驗(yàn)證碼請求�,再關(guān)聯(lián)起前面的幾個可疑點(diǎn),可以確定的是:還有其他支付賬號綁了我的銀行卡���,既然前面對方用支付寶創(chuàng)建了小號����,其他平臺上就大概率還有��。挨個APP檢查���, 發(fā)現(xiàn)用我們的手機(jī)號碼新建了支付寶�、蘇寧����、京東且包含有消費(fèi)記錄����,這個操作隱蔽性強(qiáng)���,如果我們沒發(fā)現(xiàn)的話��,解凍了銀行卡����,他們還可以用自己創(chuàng)建的支付賬號進(jìn)行一些小額消費(fèi)�����。但也有用他們自己手機(jī)號碼+我的身份信息創(chuàng)建的賬號��, 比如微信�,我只能收到支付短信但無法登陸對方賬號進(jìn)行銀行卡解綁�。后面是自己挨家登陸銀行的網(wǎng)銀、手機(jī)銀行���,在快捷支付菜單里進(jìn)行查詢和關(guān)閉的���。
再次分析時(shí)發(fā)現(xiàn)對方如果要順暢的執(zhí)行完這一連串的操作��,需要拿到手機(jī)主人的身份證信息�����,通過分析短信接收記錄成功定位到對方的獲取途徑�����。(目前對應(yīng)問題已修復(fù)��,這里不描述細(xì)節(jié)內(nèi)容)
��。
04
—
整個事件分析總結(jié)
在這一系列過程中�,犯罪團(tuán)伙的特點(diǎn):
1. 全程用的都是正常的業(yè)務(wù)操作�����,只是把各個機(jī)構(gòu)的“弱驗(yàn)證”的相關(guān)業(yè)務(wù)鏈接起來����,形成巨大的破壞;
2. 團(tuán)隊(duì)分工協(xié)作��,有成熟的作案腳本(后臺網(wǎng)友留言也證實(shí)了這一點(diǎn)��,并且關(guān)鍵環(huán)節(jié)是有多個備用方案的)。
分析完犯罪團(tuán)伙���,再來看下涉及的各個相關(guān)機(jī)構(gòu)的“弱點(diǎn)”環(huán)節(jié)���,實(shí)際上任何一家機(jī)構(gòu)在過程中所涉及的業(yè)務(wù),在不關(guān)聯(lián)在一起的角度上看���,都是小問題甚至不算問題:
1. 四川電信:電話掛失和解掛的業(yè)務(wù)未考慮到手機(jī)被盜后身份信息泄露的情況�,(四川電信目前也已經(jīng)對這一環(huán)節(jié)進(jìn)行了調(diào)整)�����;
2. 各支付機(jī)構(gòu)��,每家支付機(jī)構(gòu)都有自己的風(fēng)險(xiǎn)控制策略�,風(fēng)控策略對我這種情況很多關(guān)鍵業(yè)務(wù)是沒有提前識別并介入的��,更多的是靠后期的異常交易發(fā)生后進(jìn)行追回�����,例如支付寶上第一筆盜刷到第二天早上的追回���,間隔了5個多小時(shí)�����,可以理解為支付寶的“主動賠付”��;實(shí)際上如果犯罪分子是通過抹掉數(shù)據(jù)或者刷機(jī)進(jìn)入的手機(jī)���,無論是android還是蘋果手機(jī)��,相比正常使用的情況下�����,手機(jī)是有一些特征可以定位并應(yīng)用到風(fēng)控策略的���,檢測到這種異常的情況下通過增強(qiáng)的身份驗(yàn)證,例如關(guān)鍵步驟采用人臉識別技術(shù)���,可以起到阻斷的效果�。
3. 涉及身份信息泄露的移動APP����,主要是密碼找回功能對短信驗(yàn)證碼過度依賴�,缺乏其他要素驗(yàn)證�,其次就是涉及金融的敏感信息的保護(hù)不足,目前這個問題也已經(jīng)進(jìn)行了修復(fù)�����。但這一塊也是我目前最擔(dān)心的�����,互聯(lián)網(wǎng)上以手機(jī)短信驗(yàn)證碼可進(jìn)行登錄并查看身份信息的網(wǎng)站和APP還是比較多�。
4. 美團(tuán)貸款這塊,一開始我以為美團(tuán)是缺失貸款的人臉驗(yàn)證�����,后面上網(wǎng)查其他網(wǎng)友的經(jīng)歷��,發(fā)現(xiàn)貸款申請是有需要人臉識別驗(yàn)證的情況�。應(yīng)該是風(fēng)險(xiǎn)檢測這塊檢測到設(shè)備指紋是常用設(shè)備����,所以就沒要求人臉驗(yàn)證吧。
5.華為手機(jī)�����,密碼找回功能過度依賴短信驗(yàn)證碼,缺乏其他關(guān)鍵驗(yàn)證信息
目前遺留未確定的問題:建行銀行卡卡號對方從何處獲取的�?
所有支付公司都綁定了建設(shè)銀行的卡,其他支付公司可能是通過快捷綁卡完成的���, 但云閃付的快捷綁卡列表上沒有建設(shè)銀行����,也通過云閃付了解到對方是直接輸入卡號完成綁卡的�����。
一開始未注意到“快捷綁卡”這個功能時(shí)����,一度以為是建設(shè)銀行泄露了我的卡號,但自己測試了客服電話���、網(wǎng)銀�����、手機(jī)銀行�����、微信公眾號��,都沒有發(fā)現(xiàn)在盜取到手機(jī)和身份信息后可直接查看的地方�����。后面甚至對建設(shè)銀行的快捷綁卡頁面做了技術(shù)檢測���,發(fā)現(xiàn)整個過程沒有使用明文卡號��,后臺請求中代表卡號的參數(shù)都是加密的���。只能說銀行在個人信息保護(hù)、風(fēng)險(xiǎn)控制這塊更加的嚴(yán)格��,雖然動不動很多業(yè)務(wù)要去柜面辦理���,但直接保證了你的資金安全(我的損失鍋其實(shí)不在銀行�,走快捷支付時(shí)資金安全只能依賴對應(yīng)的支付公司了)�����。
說完他們,最后再來說說自己�,心存僥幸未第一時(shí)間掛失手機(jī)卡、掛失銀行卡時(shí)沒找齊所有卡���,這些都給犯罪分子留下了機(jī)會�����。但通過這幾天的經(jīng)歷�����,不管中間情節(jié)有多少起伏�����,我作為一個有10多年信息安全從業(yè)經(jīng)驗(yàn)的老駱駝�����,都要被折騰成這樣��,我實(shí)在是不想讓大家有跟我相同的經(jīng)歷�。提幾個我個人認(rèn)為比較簡單有效的防護(hù)措施:
1. 給自己的手機(jī)sim卡上個密碼,
2. 給手機(jī)設(shè)置屏幕鎖
3. 確保手機(jī)鎖屏狀態(tài)下來短信無法看到短信驗(yàn)證碼內(nèi)容��。
通過上面的措施就算手機(jī)丟了未能及時(shí)發(fā)現(xiàn)和掛失也不用擔(dān)心別人拔下卡插其他手機(jī)里繼續(xù)使用���。
以華為手機(jī)為例:設(shè)置-安全-更多安全設(shè)置-加密和憑據(jù)-設(shè)置卡鎖�, 選定手機(jī)卡����,啟用密碼(此時(shí)使用的為默認(rèn)密碼1234或者0000),再選擇修改密碼��,輸入原密碼1234��,再輸入兩次新密碼�����,完成sim卡的密碼設(shè)置����。要注意的是設(shè)置了sim密碼后手機(jī)重啟或者把卡換到新手機(jī)上 都需要先輸入sim卡密碼后再輸入鎖屏密碼�,如果sim卡密碼輸入錯誤3次����,就會要求輸入puk碼才能解鎖�����,這時(shí)別再亂輸��,請聯(lián)系運(yùn)營商或者puk碼進(jìn)行解鎖��,否則10次錯誤后手機(jī)卡會失效必須去營業(yè)廳換卡�。其他各型號手機(jī)的設(shè)置方法建議大家直接百度搜索。
案件發(fā)生后也有支付機(jī)構(gòu)主動聯(lián)系了我���,對過程和細(xì)節(jié)問題進(jìn)行了分析和討論��,借用風(fēng)控專家的話:“其實(shí)你這個事情是個好事���,在這種新型犯罪大量爆發(fā)前用較低的代價(jià)讓大家都重視和關(guān)注起來,各機(jī)構(gòu)采取有效的措施�����,避免后面造成更大損失后才去‘救火’的局面”。
第一篇文章發(fā)布后�,有可疑號碼打我電話進(jìn)行囂張的漫罵,只能送你們一句:“法網(wǎng)恢恢��,疏而不漏�!”
