手机被盗后,所有人的第一反应肯定是优先处理手机上的网银、支付宝、微信等安全问题。不知道2020年是否出现了利用已被盗手机的信息实施诈骗的新兴犯罪集团。
前一段时间“工信部于10月12日约谈了涉事电信企业相关负责人,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,在方便用户办理业务的同时强化安全防护,加强客服人员风险防范意识培训,警惕业务异常办理行为……”这条新闻就是工信部针对新兴的一条黑色产业链提出的安全策略要求。
这条黑产上的犯罪团伙,他们根本不在乎现金和实物,只在意我们的SIM卡。只要搞到了SIM卡,就可以盗走所有的资产。普通人因为对各种App和平台的风险控制规则不熟悉,即便以最快的速度换掉SIM卡,冻结银行卡、信用卡,也往往赶不上盗窃犯的速度,几十万的现金可能在1-2小时之内就被转没了,手机快捷的同时,另一面则是手机丢失后所面对的巨大风险。犯罪团伙是利用现有的规则漏洞操作的,也就是说,他的一切动作都是合规的,不摸清所有相关App的金融信息安全系统,就两眼一抹黑,所以这类案件办理难度极高,后续索赔难度极大。很多人中招后,经历长达半年之久的索赔,也只能补回部分资金。
前一段时间,犯罪团伙“一不留神”盗窃了一位资深渗透工程师妻子的手机,整体链条才彻底曝光。渗透工程师可以简单的理解为经过企业授权后通过黑客手段帮助企业找到安全防控体系的漏洞,并进行总结分析,协助企业进行改善的合法黑客。
针对事件经过进行简要还原,详细的可以搜索这名渗透工程师发的微信文章,接下来丢失手机的人我们简称为S,犯罪团伙简称为T。
晚上7:30,S手机丢失,用电脑登录华为手机账号,使用“查找我的手机”功能,给手机发送锁定设备的命令。
晚上8:50,T犯罪团伙把SIM卡放在其他手机里,通过发短信的方式获取了这个SIM卡的手机号。然后又登录社保官网,通过短信找回密码功能,获取了社保账户对应的身份证号和银行卡号。而短信功能、身份证号、银行卡号,是实现后续所有操作中最重要的三个信息。T犯罪团伙先用这些信息,修改了中国电信服务密码和华为账号的密码。然后把手机号和华为账号解绑,通过至今未知的方法绕过了华为手机的锁屏密码。
S发现“查找我的手机”功能没法登陆了,赶紧给10000打电话挂失手机号。但是在提示“请输入服务密码”时发现,原来的密码已经被人改了。于是,马上按流程报上身份证号和过去联系过的3个电话号码,这才终于挂失成功。接下来S进行资金转移:一,所有银行卡的活期余额都转到家人卡里;二,支付宝、微信的余额也转到家人卡里;三,所有绑定的信用卡全部解绑,最后再把所有信用卡冻结。其实,绝大部分人都不会做这些,以为挂失后就安全了。
晚上9:50,S给失窃的手机打电话,竟然拨通了,正常来说手机号挂失后不应该能拨通,打电话询问10000这是怎么回事,对方回复说,一小时前执行的那次挂失确实成功了,但随后又解除了挂失。挂失和解挂的操作是一样的,只要知道手机卡的身份证号和三个曾经拨打过的号码就行。而手机就在T那里,已经通过华为新账号解开了锁屏,于是通话记录就可以看到了。而他又知道身份证号,所以无论机主如何挂失号码,总会在几分钟后被T犯罪团伙解除挂失。
S意识到对方是专业团伙,就根据银联云闪付上的记录把所有储蓄卡都冻结了。但谁都难免有些长久不用的、记不起来的卡,所以难免有遗漏。而这些卡,就是在这次事故中最后被盗刷的。
夜里00:30,支付宝提示“在其他设备上已登录”,S只能继续扩大防御范围,把所有带支付功能的App全部冻结,然后更换这些App绑定的手机号。
其实T犯罪团伙在晚上10:00-12:00这两个小时里已经完成了大部分的操作,他们利用盗来的手机号在各个App上注册新用户,然后分析出的那张银行卡绑定。
接下来,就是从夜里00:30到第二天05:00,S几十次的挂失,T犯罪团伙又几十次的解除挂失。
到了05:00,S发现网上营业厅还有一个功能——关闭短信业务,就抱着试一试的心态执行了关闭。这一点是T也没有想到的。因为关闭了短信业务,T犯罪团伙他们就再也收不到验证码这个关键短信了,于是犯罪行为就停了下来。
早上9:00,营业厅一开门,S就进去补办了SIM卡,然后清点损失。
但在之后更详细的清点中发现,T犯罪团伙根本不对机主手机里那些App的账户下手,而是利用身份证和银行卡,在很多个App里另外注册新账户,然后用这些新账户,在花呗、京东白条、美团贷款等一切你知道和不知道的网贷平台申请贷款。有些贷款,批了以后直接转走,更多的是购买虚拟商品、充值卡、游戏装备,然后转走。因为机主夫妻俩防范及时,大平台的网贷只成功了一个。也幸好机主老公是渗透工程师,把证据和线索保留得很完整,支付公司、网贷公司、金融平台都承担了相关的责任,赔偿了损失。如果是普通人想找回损失,那简直太难了,一是很难封住资金外流的所有通道,二是很难说清到底损失了什么。因为那些消费都是用他们根本不知道的账号操作的,大概率下,只有等贷款逾期后、追债的找上门来,才能意识到和几个月前手机被偷有关。等到那时候再报案,当初的所有细节基本都想不起来了。
接下来工信部对这个事件的反应这么迅速将问题中出现的漏洞进行了封堵,首先是各省的社保官网。它们会陆续把短信找回密码登录后,身份证号、银行卡号全部数位可见改为部分字段可见。这样一来,最关键的三个信息中的两个就减少了被看到的可能性。虽然还有其他渠道可以看到,但起码给犯罪团伙增加了困难。其次是电信部门对异常时段,比如夜里2-3点,异常频繁的挂失、解除挂失设置了限制。
但是针对有些网站和App,仅仅使用手机短信验证码就可以登录,还能查看身份信息、银行卡信息;还有一些网贷平台,对注册不到一天的用户就同意借钱。这些短期内不会有改变。因为这类有瑕疵的App实在太多了,具体情况要挨个摸排。
手机被盗后的处理过程前文已经做了很好的范本描述,唯一的漏洞就是SIM卡,这个漏洞如何封堵呢?那就是给手机SIM卡加上密码。操作以后,每次手机重启或者SIM卡拔出来再插到其他手机上时,都需要输入SIM卡密码才能和基站正常通信。犯罪团伙不把这一步搞定,永远也不知道这张SIM卡的电话号码是多少,当然也就收不到短信,于是我们就安全了。但是要注意,请不要着急去设置SIM卡密码。因为不同品牌手机的设置方法不同,一旦操作失误、SIM卡被锁,就挺麻烦的,建议登录相关手机的官网,按照官网的指导一步步的进行操作,仔细阅读相应的官网提示,避免误操作。
文/上海蓝盟 IT外包专家