近日,一篇題為《一部手機失竊引發的驚心動魄的戰爭》的公眾號文章引發極大關注。作者 “信息安全老駱駝”有著 10 多年的信息安全從業經驗,手機失竊后立即進行了一系列操作:電話掛失 SIM 卡,贖回全部理財,活期余額全部轉至其他賬戶,聯系多家銀行凍結信用卡,把支付寶、微信上的資金轉走,綁定的信用卡全刪掉。
但作者仍然遭受了損失——“美團被申請貸款,etc 信用卡有各種買卡、充值的記錄幾大千,銀聯轉賬記錄幾大千 ......”作者后來還補充道,自從文章發布后,部分網友在公眾號留言稱有相同經歷,損失最嚴重的一位有 68 萬的線上貸款,目前還在索賠中。
網友看完紛紛表示 “恐怖,看完還是感覺防不勝防”、“作者是高手,要是我丟了,估計一分不剩了”、“網絡安全存在的漏洞太大了”。
在這起盜刷事件中,可以看出犯罪分子運用的技術手段并不高超,但非常巧妙。在竊取受害者手機后,利用了信息安全的 “薄弱點”,將不同 App 包含的關鍵信息點串聯起來,獲取手機號碼、身份證號、銀行卡號,從而進行借貸、轉賬等操作,對用戶財產造成巨大破壞。
盜刷是如何發生的?
隨著移動互聯網的發展,大多數手機用戶都開通了微信支付、支付寶以及手機銀行等服務,當金融工具與手機深度綁定,手機被盜意味著極大的財產損失風險。
搜狐科技查閱相關媒體報道發現,手機盜刷的類似案件層出不窮。比如據東方網報道,2019 年 4 月,上海黃浦警方接到報案,多名受害人手機在四川成都被盜后,信用卡在短時間內被盜刷。今年 10 月,楚天都市報報道稱,有受害者手機遺失后,未解綁銀行卡,被盜刷 4.4 萬元。
盜刷蘊含著怎樣的技術 “玄機”?文章《一部手機失竊引發的驚心動魄的戰爭》中提到的犯罪步驟有:1. 獲取身份信息修改了運營商服務密碼;2. 短信驗證碼修改華為密碼;3. 通過刷機或者抹掉數據的方式進入手機;4. 用掌握的身份信息注冊支付平臺新賬號;5. 通過支付平臺使用受害者原賬號申請貸款;6. 通過線上、線下完成消費。
搜狐科技對文章提及的盜刷犯罪過程進行 “還原”發現,犯罪分子采取的操作主要有獲取短信驗證碼、身份證號、銀行卡卡號三個步驟。
首先是獲取手機及 SIM 卡,犯罪分子會選擇營業廳下班后的時間點盜竊手機,失主沒辦法當晚立即補卡,犯罪分子通過短信驗證碼進行后續操作。
然后,獲取身份證號碼是第一道需要突破的關卡。犯罪分子通過刷機等方式破解手機密碼后,用短信驗證碼登錄飛豬、XX 人社等 App,查看身份證、手機號等信息。比如,通過短信驗證碼登錄飛豬后,點擊機票預訂后,即可在乘機人信息中獲取姓名、身份證號碼、手機號碼。
并且犯罪分子往往在拿到完整的身份證號后,會通過身份信息修改手機服務密碼,取得 SIM 卡的控制權。
接下來的關鍵是獲取銀行卡卡號。搜狐科技測試發現,通過姓名、身份證號碼、短信驗證碼,可重置招商銀行 App 登錄密碼,重置登錄密碼后可以登錄 App,再通過短信驗證碼可以查詢完整的銀行卡卡號。
當然,獲取身份證號、銀行卡卡號的方式各異,開篇提到的文章中,犯罪團伙利用四川人社 App 查詢到了受害人的身份證號、銀行卡號,也有報道稱可以通過手機恢復軟件和 “51 信用卡管家”等養卡軟件,或者偽裝成持卡人撥打銀行客服,以獲取被害人完整的銀行卡等信息。
最后,進行盜刷。首先,犯罪團伙可以直接登錄支付寶、蘇寧、美團等支付工具進行盜刷。而如果用戶解綁手機號,在掌握身份證信息和銀行卡信息的情況下,犯罪團伙也可以利用該手機號新建賬號進行盜刷。這種方式非常隱蔽,受害人難以察覺銀行卡究竟與哪些支付賬號關聯。
如果需要支付密碼,犯罪團伙也可以通過已經掌握的信息進行修改。
值得一提的是,盜刷的形式有很多,包括通過一切與支付相關的 App,進行貸款、轉賬、線上線下消費等操作。
如何降低財產損失風險?
根據對犯罪團隊的犯罪過程還原,我們可以發現,一旦用戶的短信驗證碼、身份證號、銀行卡賬號被掌握,盜刷便可以輕而易舉地發生了。
而用戶遭遇盜刷后,后續的索賠以及維權也困難重重。據《深圳新聞網》報道,廣東圣馬律師事務所樹宏玲律師表示,由于本人過錯(未及時掛失)以及技術漏洞,手機用戶沒有索賠的空間,“類似于銀行卡盜刷案件,此類案件起訴銀行,一般都是原告敗訴。”
所以,提前采取措施預防盜刷、手機失竊后進行及時有效的補救便顯得尤為可貴。首先,一定要注意保管好手機,從源頭上減少手機被盜的風險。而手機丟失后,受害者應在第一時間內掛失 SIM 卡。
并且,手機丟失后應及時凍結銀行卡、各種支付工具,并更換銀行卡的預留手機號碼,同時應該通過登陸手機銀行,用快捷支付管理功能,查看并解綁已經綁定的支付賬號。
文章開頭提及的作者 “信息安全老駱駝”建議大家給 SIM 卡加密,并且為手機設置屏幕鎖,確保手機鎖屏狀態下來短信無法看到短信驗證碼內容。“在犯罪分子無法破解開屏密碼時,這樣操作就不必擔心別人拔下卡插進其他手機里繼續使用,因為解鎖 SIM 需要從運營商獲取 PUK 碼,而想獲取 PUK 碼,需要提供身份信息進行驗證。”
SIM 卡密碼如何設置?如果使用的是蘋果手機,用戶可以通過 “設置—蜂窩網絡—蜂窩號碼—打開 SIM 卡 PIN 碼—輸入初始的 PIN 碼(一般為 1234 或 0000)”進行設置,以此激活 SIM 卡的鎖定功能,并在激活成功后將初始密碼修改。
如果使用的是安卓手機,用戶需要通過 “設置—更多設置—系統安全—SIM 卡鎖定方式—鎖定 SIM 卡—輸入初始的 PIN 碼(一般為 1234 或 0000)“進行操作,以此激活 SIM 卡的鎖定功能,并在激活成功后將初始密碼修改。(不同機型的操作方法存在差異)
而除了用戶,與用戶身份證信息、支付信息相關的各大出行平臺、支付平臺、人社 App 等機構方也應該通過優化驗證方式、完善風控體系,提高用戶的財產安全。
快捷方便的 App 在無意中為盜刷提供了 “鑰匙”。還原犯罪分子的盜刷過程,也不見得技術手段有多高深,但他們正是利用了信息安全的 “薄弱點”,將不同 App 包含的關鍵信息點串聯起來,完成了對受害者的財產侵占。
具體來說,比如出行 App 等應該盡量不要明文展示身份證號碼,搜狐科技發現在測試使用飛豬時,完整的身份證號、手機號、姓名會被輕易獲取,而同程對身份證信息進行了屏蔽顯示處理。
在招商銀行 App 中,搜狐科技通過在飛豬上獲取的姓名、身份證號,再加上短信驗證碼即可快速修改登錄密碼,完成銀行 App 登錄,查看完整的銀行卡號也只需要短信驗證碼,整個操作過程并未觸發人臉或指紋識別。
在《一部手機失竊引發的驚心動魄的戰爭》中,四川電信支持電話多次解掛,這導致受害者掛失、犯罪分子解掛的循環。而犯罪分子通過操作四川人社 App,只需要短信驗證碼即可獲取受害者的完整身份證號、銀行卡號。慶幸的是,文章發出后,四川電信修改了電話掛失、解掛的業務規則,四川人社 APP 進行了對應安全升級。
在知乎一篇名為《遭遇新型網絡犯罪,一夜起來一無所有,還背負 68 萬多的巨額負債》中,作者認為,“犯罪份子固然可恨,但回想自己所經歷的一切,貸款機構形似虛設的風控及貸款審批程序也難以撇清自己的責任。”
央行科技司司長李偉也曾表示,金融機構在利用技術創新業務模式、提升服務效率、改善用戶體驗的同時,一定程度上卻簡化了業務流程、削弱了風控強度、掩蓋了業務本質。
要打贏 “財產安全保衛戰”,用戶與機構都責無旁貸。
關鍵詞:
