出品 | 搜狐科技
作者 | 张雅婷
编辑 | 杨锦
近日,一篇题为《一部手机失窃引发的惊心动魄的战争》的公众号文章引发极大关注。作者“信息安全老骆驼”有着10多年的信息安全从业经验,手机失窃后立即进行了一系列操作:电话挂失SIM卡,赎回全部理财,活期余额全部转至其他账户,联系多家银行冻结信用卡,把支付宝、微信上的资金转走,绑定的信用卡全删掉。
但作者仍然遭受了损失——“美团被申请贷款,etc信用卡有各种买卡、充值的记录几大千,银联转账记录几大千......”作者后来还补充道,自从文章发布后,部分网友在公众号留言称有相同经历,损失最严重的一位有68万的线上贷款,目前还在索赔中。
网友看完纷纷表示“恐怖,看完还是感觉防不胜防”、“作者是高手,要是我丢了,估计一分不剩了”、“网络安全存在的漏洞太大了”。
在这起盗刷事件中,可以看出犯罪分子运用的技术手段并不高超,但非常巧妙。在窃取受害者手机后,利用了信息安全的“薄弱点”,将不同App包含的关键信息点串联起来,获取手机号码、身份证号、银行卡号,从而进行借贷、转账等操作,对用户财产造成巨大破坏。
盗刷是如何发生的?
随着移动互联网的发展,大多数手机用户都开通了微信支付、支付宝以及手机银行等服务,当金融工具与手机深度绑定,手机被盗意味着极大的财产损失风险。
搜狐科技查阅相关媒体报道发现,手机盗刷的类似案件层出不穷。比如据东方网报道,2019年4月,上海黄浦警方接到报案,多名受害人手机在四川成都被盗后,信用卡在短时间内被盗刷。今年10月,楚天都市报报道称,有受害者手机遗失后,未解绑银行卡,被盗刷4.4万元。
盗刷蕴含着怎样的技术“玄机”?文章《一部手机失窃引发的惊心动魄的战争》中提到的犯罪步骤有:1.获取身份信息修改了运营商服务密码;2.短信验证码修改华为密码;3.通过刷机或者抹掉数据的方式进入手机;4.用掌握的身份信息注册支付平台新账号;5.通过支付平台使用受害者原账号申请贷款;6.通过线上、线下完成消费。
搜狐科技对文章提及的盗刷犯罪过程进行“还原”发现,犯罪分子采取的操作主要有获取短信验证码、身份证号、银行卡卡号三个步骤。
首先是获取手机及SIM卡,犯罪分子会选择营业厅下班后的时间点盗窃手机,失主没办法当晚立即补卡,犯罪分子通过短信验证码进行后续操作。
然后,获取身份证号码是第一道需要突破的关卡。犯罪分子通过刷机等方式破解手机密码后,用短信验证码登录飞猪、XX人社等App,查看身份证、手机号等信息。比如,通过短信验证码登录飞猪后,点击机票预订后,即可在乘机人信息中获取姓名、身份证号码、手机号码。
(飞猪可直接获取身份证号码、手机号码;制图:搜狐科技)
并且犯罪分子往往在拿到完整的身份证号后,会通过身份信息修改手机服务密码,取得SIM卡的控制权。
接下来的关键是获取银行卡卡号。搜狐科技测试发现,通过姓名、身份证号码、短信验证码,可重置招商银行App登录密码,重置登录密码后可以登录App,再通过短信验证码可以查询完整的银行卡卡号。
(登录银行App查看完整卡号所需步骤;制图:搜狐科技)
当然,获取身份证号、银行卡卡号的方式各异,开篇提到的文章中,犯罪团伙利用四川人社App查询到了受害人的身份证号、银行卡号,也有报道称可以通过手机恢复软件和“51信用卡管家”等养卡软件,或者伪装成持卡人拨打银行客服,以获取被害人完整的银行卡等信息。
最后,进行盗刷。首先,犯罪团伙可以直接登录支付宝、苏宁、美团等支付工具进行盗刷。而如果用户解绑手机号,在掌握身份证信息和银行卡信息的情况下,犯罪团伙也可以利用该手机号新建账号进行盗刷。这种方式非常隐蔽,受害人难以察觉银行卡究竟与哪些支付账号关联。
如果需要支付密码,犯罪团伙也可以通过已经掌握的信息进行修改。
(左为京东忘记支付密码需要的信息,右为支付宝修改支付密码需要的信息)
值得一提的是,盗刷的形式有很多,包括通过一切与支付相关的App,进行贷款、转账、线上线下消费等操作。
如何降低财产损失风险?
根据对犯罪团队的犯罪过程还原,我们可以发现,一旦用户的短信验证码、身份证号、银行卡账号被掌握,盗刷便可以轻而易举地发生了。
而用户遭遇盗刷后,后续的索赔以及维权也困难重重。据《深圳新闻网》报道,广东圣马律师事务所树宏玲律师表示,由于本人过错(未及时挂失)以及技术漏洞,手机用户没有索赔的空间,“类似于银行卡盗刷案件,此类案件起诉银行,一般都是原告败诉。”
所以,提前采取措施预防盗刷、手机失窃后进行及时有效的补救便显得尤为可贵。首先,一定要注意保管好手机,从源头上减少手机被盗的风险。而手机丢失后,受害者应在第一时间内挂失SIM卡。
并且,手机丢失后应及时冻结银行卡、各种支付工具,并更换银行卡的预留手机号码,同时应该通过登陆手机银行,用快捷支付管理功能,查看并解绑已经绑定的支付账号。
文章开头提及的作者“信息安全老骆驼”建议大家给SIM卡加密,并且为手机设置屏幕锁,确保手机锁屏状态下来短信无法看到短信验证码内容。“在犯罪分子无法破解开屏密码时,这样操作就不必担心别人拔下卡插进其他手机里继续使用,因为解锁SIM需要从运营商获取PUK码,而想获取PUK码,需要提供身份信息进行验证。”
SIM卡密码如何设置?如果使用的是苹果手机,用户可以通过“设置—蜂窝网络—蜂窝号码—打开SIM卡PIN码—输入初始的PIN码(一般为1234或0000)”进行设置,以此激活SIM卡的锁定功能,并在激活成功后将初始密码修改。
如果使用的是Android/ target=_blank class=infotextkey>安卓手机,用户需要通过“设置—更多设置—系统安全—SIM卡锁定方式—锁定SIM卡—输入初始的PIN码(一般为1234或0000)“进行操作,以此激活SIM卡的锁定功能,并在激活成功后将初始密码修改。(不同机型的操作方法存在差异)
而除了用户,与用户身份证信息、支付信息相关的各大出行平台、支付平台、人社App等机构方也应该通过优化验证方式、完善风控体系,提高用户的财产安全。
快捷方便的App在无意中为盗刷提供了“钥匙”。还原犯罪分子的盗刷过程,也不见得技术手段有多高深,但他们正是利用了信息安全的“薄弱点”,将不同App包含的关键信息点串联起来,完成了对受害者的财产侵占。
具体来说,比如出行App等应该尽量不要明文展示身份证号码,搜狐科技发现在测试使用飞猪时,完整的身份证号、手机号、姓名会被轻易获取,而同程对身份证信息进行了屏蔽显示处理。
(同程旅客信息页面;制图:搜狐科技)
在招商银行App中,搜狐科技通过在飞猪上获取的姓名、身份证号,再加上短信验证码即可快速修改登录密码,完成银行App登录,查看完整的银行卡号也只需要短信验证码,整个操作过程并未触发人脸或指纹识别。
在《一部手机失窃引发的惊心动魄的战争》中,四川电信支持电话多次解挂,这导致受害者挂失、犯罪分子解挂的循环。而犯罪分子通过操作四川人社App,只需要短信验证码即可获取受害者的完整身份证号、银行卡号。庆幸的是,文章发出后,四川电信修改了电话挂失、解挂的业务规则,四川人社APP进行了对应安全升级。
在知乎一篇名为《遭遇新型网络犯罪,一夜起来一无所有,还背负68万多的巨额负债》中,作者认为,“犯罪份子固然可恨,但回想自己所经历的一切,贷款机构形似虚设的风控及贷款审批程序也难以撇清自己的责任。”
央行科技司司长李伟也曾表示,金融机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时,一定程度上却简化了业务流程、削弱了风控强度、掩盖了业务本质。
要打赢“财产安全保卫战”,用户与机构都责无旁贷。