|
蘇寧金融未回應 準備好一些材料,包括通話、短信記錄、銀行賬單,以及其他零散資料,準備趕回去報警。畢竟事情發生在小區門口,而且團伙作案,極有可能還會再犯,把事情整理下發到業主群,讓大家小心防范,提醒大家設置好sim卡密碼。大家也都被震驚了,但一致對于怎么獲取shen/份證號碼、銀行卡號表示疑惑。中間手機陸續還收到幾條財付通的支付驗證碼,但登陸自己賬號,沒發現有綁卡,留著疑惑后面再處理,反正不給驗證碼也付不出去。 思路理清楚了,已經凌晨4點多了。一早趕緊往成都趕。路上云閃付主動聯系我們,讓我們報警后提供報案回執單等一些材料提交過去,看樣子有可能要賠付。美團也打電話過來了,想推卸責任,但還是讓我們提供證據資料提交給他們。派出所民警聽說了我們的遭遇都表示驚奇,說之前從沒遇到過這種偷手機的。我應該是第一個來報這種案件的 。老婆進去做筆錄,耗時幾個小時, 出來后說了里面的情況,警察大叔們都表示“這不可能”、“肯定是你手機里放銀行卡信息泄露了”、“你是不是放shen/份證照片在手機里了”,做完筆錄竟然又要我們去打印銀行流水,跑了幾家建行 都是關門的,只能等第二天再來取報案回執單了。 晚上回去兩口子在電腦前繼續回想所有細節,把整個過程串一遍,必要時用我的各種APP和賬號進行實驗,驗證自己的分析判斷。雖然補了手機/ka, 銀行卡都凍結了,帶支付功能的軟件都找回來各種修改密碼了,但總覺得哪里就是不對勁。突然又收到了財付通的支付驗證碼請求,再關聯起前面的幾個可疑點,一下子想通了。 他用其他支付賬號綁了我們的銀行卡, 包括之前用手機號登陸蘇寧時發現登陸的是別人新創建的蘇寧賬號、包括支付寶也是新建的,至于他們新建的的賬號怎么通過的人臉實名認證,這個留在后面討論。說明除了這些APP,肯定還在其他一大堆APP上用我的信息新建了賬號,綁了銀行卡、通過了實名認證,并自己設置了支付密碼。挨個APP檢查, 發現用我們的手機號碼新建了支付寶、蘇寧、京東且包含有消費記錄,這個操作隱蔽性強,如果我們沒發現的話,解凍了銀行卡,他們還可以用自己創建的支付賬號進行消費。 問題又來了,他們用我的手機號新建的賬號 我們可以挨個試出來, 但用其他手機號新建的賬號我們猜不到,比如云閃付、財付通、蘇寧金融 ,這幾個從銀行流水里查到有轉賬消費記錄,但我們沒找到對應的賬號。 再回到上面有疑惑的幾個問題上: 要在支付寶上查看我綁定的銀行卡信息或者綁新的卡,需要支付密碼而支付密碼的重置,需要短信+一張銀行卡信息的驗證 一開始整個環節的起點,都需要我的shen/份證號碼,期初我判斷是通過社工庫,但這一番操作分析下來,整個黑產團隊的手法,基本都是利用的各個銀行、支付公司的正常業務流程來處理的,那么shen/份證的獲取大概率也不會采用社工庫去查詢; 部分支付APP新建賬號后的實名認證,需要活體人臉驗證,這個如果可以從手機自拍照或者華為云里之前存過的照片,用技術處理手段處理照片繞過人臉識別(參考2020年的新聞《利用照片偽造動畫頭像“騙過”支付寶人臉識別,一犯罪團伙薅支付寶“羊毛”超4萬元》) 總結下來就是,需要有一個地方,通過手機號碼和接收到的短信驗證碼, 能獲取到姓名、shen/份證號碼、以及一張銀行卡的卡號 感覺這幾天自己都有點病態了,遇到這種盜刷的倒霉事,不憤怒、不沮喪、不慌亂,而是出奇的亢奮,幾天下來沒睡幾個小時,不停的研究和分析,快把對方的運作模式研究出來了,把IT男追根刨底的特質發揮的淋漓盡致。 來,繼續冷靜分析,手頭能跟犯罪分子行為步驟關聯最緊密的就是電信營業廳獲取的短信和電話記錄了,翻出短信記錄,除了第一條犯罪分子發給自己手機號的記錄,緊接著就是收到兩條12333社保局的短信。最開始兩天都沒注意到,以為是老婆公司給繳納的社保的通知短信,但再仔細分析就發現不對勁了。一是短信發送時間可疑,非工作時間內發送社保繳納通知是不正常的,連發兩條也是不正常的,那突破點就是它了,社保系統里肯定是有shen/份證信息。 打開四川省人社廳的網站,看到一個四川人社的APP下載點贊,下載打開APP的瞬間就明白了, “快捷登錄”、“短信驗證碼”、“電子社保卡” 這幾個關鍵字明晃晃的扎我眼。 發送短信驗證碼,登錄進去。點開 “電子社保卡”,發現需要社保密碼,繼續忘記社保密碼,短信驗證碼重置社保密碼,這一切剛好是兩條12333的短信驗證碼,隨后展示在眼前的內容,直接解釋了上面三條疑惑。shen/份證信息、證件照片、社保金融卡的銀行卡信息,有了這些東西,干啥都一路暢通了。 再返回去之前的支付寶綁卡流程,“無需手動輸入卡號,快速綁卡”,幾年沒用綁卡功能,現在都這么高端了。選一家銀行點進去后,該銀行下我的所有銀行卡列表直接出來了,選上xing/用卡,綁卡。CVV 、有效期 這些都是浮云,人家就一個簡單的短信驗證碼驗證,這樣的話通過支付寶查看你所有銀行卡的卡號就簡單了。 最后我們再來總結分析一波: 這條黑產鏈的全貌如下: 一線扒手特定時間選定目標:年輕人、移動支付頻率高,在對方注意力分散的情況下出手,運營商營業廳下班后,失主沒法當晚立即補卡,給團隊預留了一晚上的作案時間; 拿到手機后迅速送到團隊窩點,迅速完成shen/份證信息獲取、電信服務密碼、手機廠商服務登錄密碼修改,一下子讓受害者陷入被動; 獲取所有銀行卡信息,使用技術手段繞過活體人臉識別驗證,在各個平臺上創建新賬號,綁定受害者銀行卡 選好幾家風控不嚴的支付公司,開始申請在線貸款,貸款到賬后通過虛擬卡充值、購買虛擬卡以及銀聯轉賬,將錢轉走 保留新建的支付賬號權限, 如果未被發現,后期還可以繼續竊取資金 在這一系列過程中,對方有幾點還是讓我比較服的: 全程用的都是正常的業務操作,只是把各個機構的“弱驗證”的相關業務鏈接起來,形成巨大的破壞; 應該是使用了技術手段通過的人臉驗證,用圖片處理技術來繞過活體人臉識別驗證; 團隊分工協作能力太強,在處理過程中我感覺自己已經用了最快的速度,但總還是晚一步。 注重隱蔽,留好后路,包括刪掉我云閃付上的一些卡來防止我查明細,通過新建賬號的方式,如果我沒發現,貿然去解凍銀行卡,后續還有第二波的攻擊;包括趕在我補卡后改服務密碼前,設置了呼叫轉移 分析完犯罪分子,再來看下整個過程中參與的機構都有什么“罪”,實際上這個環節里的每一個點,放在對應的業務節點里都不是什么大問題,但手機丟失后,把所有這些點串起來,問題就大了: 四川電信 :我認為整個過程責任最大的就是它了,這掛失、解掛的風騷業務規則簡直讓我無語,既然都掛失了,不應該考慮到手機已經不在失主身上了,解掛不應該有個時間限制或者要求營業廳辦理么?就算前面的過錯無視了,同一個手機號碼在深夜來來回回掛失解掛幾十次,包括機主幾次在電話中告知話務員自己正在遭受銀行卡盜刷犯罪,要求停止解掛行為,話務員還是拿著業務話術來敷衍客戶“對不起,我們的掛失解掛有固定的業務流程,只要對方能提供服務密碼,正常就是可以解掛的”。我們全家人就這樣抱著電話陪犯罪分子熬了一夜,到最后還是造成了經濟損失。對于四川電信,后續該投訴投訴。 四川人社 :它所起到的作用,大家也都看得懂。兩條短信驗證碼,關鍵的資料全泄露出去了,但我不好說他有什么罪,畢竟他們本身也不是金融機構, 對個人信息的保護要做成什么樣也沒個標準。但這個事情沒那么簡單,把四川人社換成XX人社或者四川XX,也可能是一樣的結果,這個黑產鏈設計的時候shen/份證號碼的獲取途徑可以是多處的,至少我隨便在網上下載幾個地方社保APP,都能找到和四川人社一樣登錄和密碼找回使用手機短信驗證的。 3. 華為 :其實把華為換成小米,結果也是一樣。我只能說密碼找回這個業務的驗證太簡單了,還有就是網上說的用emui 5.0的手機,可以遠程解鎖屏幕鎖屏密碼,這個我沒驗證過, 但從我支付寶被擠下線時提示對方使用的手機型號來判斷,大概率是可以的。 4. 支付寶:先不說為啥同一個身份信息,可以注冊兩個賬號,你的快捷綁卡,是加快了綁卡的便捷性, 但考慮過安全性么?當然,支付寶的風控是強,確實識別到了異常交易,也追回了資金。但實名認證的人臉識別被繞過,也是事實。 5. 美團:你要發展業務,放寬貸款限制,這我不關心,但你能否做好該有的貸款審批風險控制,凌晨4點的貸款行為,這正常么? 6. 蘇寧金融:所有參與這個過程的支付機構中態度最惡劣的一家,出現案件,接到用戶報案后第一時間想到的是推卸責任。“報案了么?如果警方有需要,我們會做好配合工作!哦你的經濟損失啊,那只能你自己承擔了”,中間來過兩次電話,基本腔調就是這樣。同樣是支付公司, 支付寶的風控能識別異常盜刷,蘇寧金融就一點察覺都沒有,一個新注冊的賬號,凌晨三四點綁卡,然后購買各種虛擬卡、充值話費這些不容易被追查的商品,這不算高風險異常行為么? 7. 銀聯云閃付: 和其他支付公司一樣, 都存在綁卡驗證不嚴的問題。但是,人家態度是好的啊,凌晨3、4點,客服人員都能用極好的態度和我們溝通,讓我們放寬心。第二天有專員聯系我們,告訴我們昨晚報的損失少報了,他們查出來我們還有其他損失,并給了詳細的指引告訴我們怎么去申請理賠,第二天他們內部調查有新的進展也都第一時間聯系并告知我們。 8. 財付通:人工客服太難找了,不過風控也還是有效的,這兩天在沒有通知我們的情況下,陸陸續續追回了幾筆交易金額。 9. 京東:不想說了,反正就是“交易已經發生了,損失你自己承擔”,但還好就一筆100元的游戲充值卡。 10. 百度 對方剛好操作到它的時候短信功能已經被我關了,對方也只是綁定了銀行卡,還沒來得及消費,就不用找它理論了。 多數支付機構基本都有一個現象:允許用不同的手機號碼注冊相同實名認證的支付賬號,允許兩個賬號綁定相同的銀行卡,實名認證有人臉活體識別技術的都被繞過了。支付機構都在推“快捷綁卡”,是快捷了,點幾下鼠標就綁卡了。除了短信驗證碼,支付寶的快捷綁卡還驗證了下支付密碼,但好像意義也不大,比如我這種情況,支付賬號都是別人用我的信息新建的,支付密碼也是他設置的。 說完他們,最后再來說說咱們吧。通過這幾天的經歷,不管中間情節有多少起伏,我作為一個有10多年信息安全從業經驗的老駱駝,都要被折騰成這樣,我實在是不想讓大家有跟我相同的經歷。提個我認為我們個人能做的最簡單最有效的防護措施: 給自己的手機/ka上個密碼,給手機設置個屏幕鎖。這樣手機丟了也不用擔心別人拔下卡插其他手機里繼續使用。以華為手機為例:設置-安全-更多安全設置-加密和憑據-設置卡鎖 , 選定手機/ka,啟用密碼(此時使用的為默認密碼1234或者0000),再選擇修改密碼,輸入原密碼1234,再輸入兩次新密碼,完成sim卡的密碼設置。 同時,如果有遇到和我一樣情況的,除了凍結所有銀行卡后,還需要把銀行卡的預留手機號碼全換掉,同時可以通過登陸網銀或者手機銀行,用快捷支付管理功能,查看都綁了那些支付公司,然后可以嘗試用自己的手機號碼去登陸那些APP,,有可能還會有意外收獲,萬一支付公司不給理賠,還能自己追回一點。比如我就在對方注冊的蘇寧賬號上找到還沒來得及消費的購物卡。 然后這個事情是不是就這樣結束了?也不一定哈,9月5日我們補辦完手機/ka時我就和我老婆說了,后面這段時間內要小心陌生的電話和短信、微信。對方快吃進嘴的肉被硬扯下去一大塊,手里又有你的一些信息,肯定不會甘心的,要小心后續的網絡釣魚、和電話詐騙。這兩天她手機就開始收到有可疑的短信了,什么套路也懶得去猜了,反正不理會就是了。 我所經歷的這個案件,其實和前兩年新聞上報道過的錢包丟失,對方用偷到的shen/份證去營業廳補了卡,然后導致銀行賬戶損失其實是差不多的,目標都是手機/ka。移動互聯網的發展給我們的生活帶來了巨大的改變,手機的地位也越來越高,希望大家吸取我的這次經驗教訓,提前做好防范,出事別學我,第一時間掛失手機/ka、所有銀行卡。 |
|
|
