近期,有名为“信息安全老骆驼”(以下简称:老骆驼)的网友将手机失窃后的遭遇写成了文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》,引发了广泛关注,并获得了支付宝等机构的回应。

10月12日,老骆驼发布了该文章的修订版,并表示,其个人的损失都已追回。

老骆驼介绍,四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的APP也进行了对应安全升级;支付机构也积极联系了我,探讨如何加强这方面的安全防护。

老骆驼在文章中提出了几条建议:1. 给自己的手机sim卡上个密码,2. 给手机设置屏幕锁,3. 确保手机锁屏状态下来短信无法看到短信验证码内容。

事件的起因是9月4日下午7时30分,老骆驼家人的华为手机被盗, 对方把卡取出来放在其他手机,利用短信验证码从某APP上获取到身份证、银行卡号信息;同时用获取的信息修改了电信服务密码、华为云密码。

在老骆驼拨打四川电信(致电10000号)挂失手机卡后,遭到了手机偷盗方的解挂,通过电信10000号挂失解挂的攻防来回数十次,暴露出四川电信在手机卡挂失流程上的问题。

根据老骆驼的自述,手机偷盗方利用获得的个人信息,在美团、苏宁金融、云闪付等平台,申请贷款,购买虚拟卡充值,对其造成了经济损失。手机偷盗方甚至用被盗的手机号码注册了新的支付宝。

老骆驼认为,手机偷盗方完成这一整套偷盗、申请贷款、转移资金的动作,核心是需要拿到手机主人的身份证信息。

在《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》最初的原文中,老骆驼判断这与某政务机构的产品有关。

在此次修订版的文章中,老骆驼称,文中身份信息泄露来源的APP也进行了对应安全升级。“但这一块也是我目前最担心的,互联网上以手机短信验证码可进行登录并查看身份信息的网站和APP还是比较多。”

老骆驼自述自己长期从事金融行业信息系统的安全漏洞检测。“但经历了这次盗刷事件之后我才发现,相比黑客利用各种高深的技术漏洞攻击金融信息系统,更可怕的是这种把每一项看似没问题的问题组合而成的犯罪,让人防不胜防。也希望今后在工作之余,能有时间把自己在金融信息安全行业的专业知识,用大家都能看得懂的方式写出来,提高大家的安全防范意识。”

以下为:微信公众号信息安全老骆驼10月12日发布的文章《一部手机失窃而揭露的黑色产业链—完整修订版》

“大家好,之前一篇文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》发布后,引起了大家极大的关注,但由于之前事发突然,文章写得仓促,自己的分析也有草率不准确的地方,在公众号后台广大网友也提出各种疑问。为了避免给大家传导错误的信息,这里我将事件情况按我目前分析得到的结论重新整理一下,删掉部分废话和已证实当初推论不正确的内容。同时也希望大家知道,我的这个事件确属个案,事件涉及的机构也已对关键环节做出了有效的调整和应对,在打击金融犯罪方面,相关监管部门也是非常重视,我们也不必过度恐慌。”

文章开始前,先回答广大网友比较关注的几个问题:

1.相比android手机,如果使用的是苹果手机遇到相同的情况,是不是更安全一些?

答:犯罪分子目的是手机卡,当然抹除数据或者刷机后进入原手机也是其避开支付软件风险控制策略的一个手段。但苹果手机如果在可越狱的版本下,也是可以通过隐藏ID的方式刷机后进入再安装APP进行操作。所以“哪种手机更安全”可以忽视,设置sim卡密码才是关键。

2.事件的后续进展?

答:我个人的损失都已追回。四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的APP也进行了对应安全升级;支付机构也积极联系了我,探讨如何加强这方面的安全防护;

3.之前的文章为何删除?

答:原本只是为了分享给小区业主的警示文,但习惯了“技术漏洞分析报告”的风格,很多不必要写的东西写得太细,加上第一篇文章当时很多推测是有误的;由于网上现在一大堆对之前文章的转载,还是希望把事情说清楚更严谨一些,不要给大家造成误会和恐慌,所以重新整理后上线了这篇文章。

01

手机被盗当天(9月4日)

19:30手机在小区门口的水果店被盗,家人拨打手机对方接通一次后立马关机了。自己抱着一丝侥幸的心理,仅仅只是使用了“查找我的手机”里的锁定设备功能,想着通过手机定位尝试能否找回手机,没有第一时间挂失(如果当时立即挂失手机卡,后面的事情根本也就不会发生了)。

20:51对方把卡取出来放在其他手机,利用短信验证码从某个APP上获取到身份证、银行卡号信息;同时用获取的信息修改了电信服务密码、华为云密码。(后期通过分析短信详单得知)

21:24家人发现被偷手机可以拨通,随后我的手机收到提示手机在成华区上线了,但很快手机关联的华为账号被解除,这一步现在来看,对方应该是使用了华为的数据抹除功能,并重新用华为账号登录手机并解绑。意识到对方不是普通的偷手机,我立刻致电10000号挂失手机卡,但此时电信服务密码已经不正确了,通过验证身份证号码加提供上个月联系过的三个电话号码进行了挂失。开始采取紧急措施,通过手机银行转移活期余额,联系多家银行冻结信用卡,把支付宝、微信上的资金转走,绑定的信用卡全删掉。

21:48家人说电话还可以打通,再次致电10000号,询问为什么没有挂失,回复说卡是正常状态,于是要求继续挂失。

21:55越想越不对劲,第一次挂失后自己是打电话确认了无法接通的。又致电10000号,询问之前挂失失败的原因是什么。得到答复,第一次挂失是成功了的,但后面又被解挂了。这一点自己确实是没想到的,挂失后还可以凭服务密码或者身份信息和通话记录进行解挂。(现在四川电信已经对这个业务流程做出了调整)

根据银联云闪付上的绑卡信息,继续给银行电话,挨个冻结储蓄卡,ETC信用卡因为未绑定在APP上,自信的认为对方无信用卡CVV等信息肯定盗刷不了,且第二天要出行上高速,就没去管了。有两张银行卡因为办理时间较早,卡也丢失了,就给漏下了。(后续的盗刷基本就都集中在这几张卡上,反面教材警示)手机失窃致资金被盗!当事人:损失都追回-风君雪科技博客

00:23

,发现支付宝被挤下线,登录的设备和丢失的手机型号一致。我这边立即申请冻结支付宝、微信,接着登陆京东,苏宁、国美等常用的APP,更换关联手机号码。没过一会,我的手机就收到一条京东的短信验证码,感觉后面几个APP应该是保住了(蜜汁自信,最后还是被打脸)。实际上后面查短信详单后发现,手机卡在22:00开始就陆续收到支付宝、微信等支付APP和各家银行的短信,这里推测对方在哪个时间段在各个平台注册新账号。

手机失窃致资金被盗!当事人:损失都追回-风君雪科技博客

后面一晚上就是循环的我挂失、对方解挂,在10000号上来来回回几十次(对方有手机卡、有服务密码。目前四川电信这一块业务已进行了调整,不再支持这样的多次电话挂失、解挂)。

手机失窃致资金被盗!当事人:损失都追回-风君雪科技博客

5:00左右发现才注意到网厅有关闭短信的业务,尝试着把短信功能关闭了。(后面查短信详单时发现,正是关闭短信功能这个操作,中断了他们后续的犯罪行为,不然损失肯定更严重,也庆幸对方没注意到我的这个操作)

02

手机补卡、清点损失、分析过程(9月5日)

9:00,蹲守电信营业厅开门,9点8分完成补卡,但发现补回的手机卡被办理了呼叫转移业务,目前暂时还不知道对方这个操作的目的是什么。通过10000号把呼叫转移关闭了。

开始清点损失,找回各个支付平台的账号,发现除了支付宝手机号被改了,并没有其他异常记录。

22:00还是不放心,当天晚上再次核对时意外操作发现对方用偷到的手机号新建了一个支付宝,还绑定了那张被我们遗忘的建行卡,以及一张ETC信用卡(这张卡开通后未在其他地方使用过),而且账单里有充值消费记录,以及支付宝风的充值退回记录。登陆建行网银,发现9月5日凌晨4点多美团转进一笔5000元的记录,再看ETC信用卡有各种买卡、充值的记录,银联转账记录,一开始担心的被申请贷款,虽然想到了但还是没防好。

下载了短信和通话详单,开始仔细分析通话和短信记录。回忆从头到尾的细节,逐个分析对方的作案流程,过程太繁琐这里我直接给出分析结果:

获取身份信息修改了运营商服务密码

短信验证码修改华为密码

通过刷机或者抹掉数据的方式进入手机

用掌握的身份信息注册支付平台新账号

通过支付平台使用受害者原账号申请贷款

通过线上、线下完成消费

附加对这个过程的几点说明:

1. 获取身份信息的途径在9月7日的再次分析后才确认;

2.目前新版本的华为,未找到有绕过锁屏密码的漏洞,通过后期的分析推测对方更可能是通过抹掉数据后进入手机重装支付APP,因为这样更快捷。也只有进入原手机,才能绕过支付公司的风控规则做一些其他的操作。

3.根据其他相同遭遇网友的留言,在第五步申请贷款部分,有的是通过花呗,有的是通过白条,只是因为我发现对方支付宝把我挤下线后第一时间冻结支付宝,京东账号因为实名信息用的我自己的,因此这两部分没有遭受损失。

4. 以支付宝为例,子账号要开通花呗,可以通过向主账号发送申请来开通,所以对方需要登陆我原来的支付宝账号。手机失窃致资金被盗!当事人:损失都追回-风君雪科技博客

整理完所有的信息后,已经凌晨两三点了,虽然很晚了但还是尝试着挨家支付机构打电话联系告知被盗刷。银联云闪付客服态度极好,给他们报了损失金额,告知我们第二天会有专人联系处理后续事情。准备好一些材料,包括通话、短信记录、银行账单,以及其他零散资料,因为当天离开了成都,只能第二天赶回去报警。

03

派出所报案,再次分析过程(9月6日)

8:00一早赶紧往成都赶。路上云闪付主动联系我们告诉我们昨晚提交的损失报少了,并让我们报警后提供报案回执单等一些材料提交过去,看样子有可能要赔付,安心了不少。派出所民警听说了我们的遭遇都表示惊奇,说之前从没遇到过这种偷手机的,站在以往常规案例的经验,怀疑是否我们泄露了身份证照片之类的导致的。我应该是第一个来这个派出所报这种案件的,对于派出所民警的反应其实是可以理解的,包括自己的家人也有在警察队伍的,也表示没听说过类似的案件。

晚上在电脑前继续回想所有细节,把整个过程串一遍,必要时用自己的APP和账号进行实验,验证自己的分析判断。虽然补了手机卡,银行卡都冻结了,带支付功能的软件都找回来各种修改密码了,但总觉得哪里就是不对劲。突然又收到了财付通的支付验证码请求,再关联起前面的几个可疑点,可以确定的是:还有其他支付账号绑了我的银行卡,既然前面对方用支付宝创建了小号,其他平台上就大概率还有。挨个APP检查,

发现用我们的手机号码新建了支付宝、苏宁、京东且包含有消费记录,这个操作隐蔽性强,如果我们没发现的话,解冻了银行卡,他们还可以用自己创建的支付账号进行一些小额消费。但也有用他们自己手机号码+我的身份信息创建的账号,
比如微信,我只能收到支付短信但无法登陆对方账号进行银行卡解绑。后面是自己挨家登陆银行的网银、手机银行,在快捷支付菜单里进行查询和关闭的。

再次分析时发现对方如果要顺畅的执行完这一连串的操作,需要拿到手机主人的身份证信息,通过分析短信接收记录成功定位到对方的获取途径。(目前对应问题已修复,这里不描述细节内容)

04

整个事件分析总结

在这一系列过程中,犯罪团伙的特点:

1.  全程用的都是正常的业务操作,只是把各个机构的“弱验证”的相关业务链接起来,形成巨大的破坏;

2.  团队分工协作,有成熟的作案脚本(后台网友留言也证实了这一点,并且关键环节是有多个备用方案的)。

分析完犯罪团伙,再来看下涉及的各个相关机构的“弱点”环节,实际上任何一家机构在过程中所涉及的业务,在不关联在一起的角度上看,都是小问题甚至不算问题:

1. 四川电信:电话挂失和解挂的业务未考虑到手机被盗后身份信息泄露的情况,(四川电信目前也已经对这一环节进行了调整);

2. 各支付机构,每家支付机构都有自己的风险控制策略,风控策略对我这种情况很多关键业务是没有提前识别并介入的,更多的是靠后期的异常交易发生后进行追回,例如支付宝上第一笔盗刷到第二天早上的追回,间隔了5个多小时,可以理解为支付宝的“主动赔付”;实际上如果犯罪分子是通过抹掉数据或者刷机进入的手机,无论是android还是苹果手机,相比正常使用的情况下,手机是有一些特征可以定位并应用到风控策略的,检测到这种异常的情况下通过增强的身份验证,例如关键步骤采用人脸识别技术,可以起到阻断的效果。

3. 涉及身份信息泄露的移动APP,主要是密码找回功能对短信验证码过度依赖,缺乏其他要素验证,其次就是涉及金融的敏感信息的保护不足,目前这个问题也已经进行了修复。但这一块也是我目前最担心的,互联网上以手机短信验证码可进行登录并查看身份信息的网站和APP还是比较多。

4. 美团贷款这块,一开始我以为美团是缺失贷款的人脸验证,后面上网查其他网友的经历,发现贷款申请是有需要人脸识别验证的情况。应该是风险检测这块检测到设备指纹是常用设备,所以就没要求人脸验证吧。

5.华为手机,密码找回功能过度依赖短信验证码,缺乏其他关键验证信息

目前遗留未确定的问题:建行银行卡卡号对方从何处获取的?

所有支付公司都绑定了建设银行的卡,其他支付公司可能是通过快捷绑卡完成的, 但云闪付的快捷绑卡列表上没有建设银行,也通过云闪付了解到对方是直接输入卡号完成绑卡的。

一开始未注意到“快捷绑卡”这个功能时,一度以为是建设银行泄露了我的卡号,但自己测试了客服电话、网银、手机银行、微信公众号,都没有发现在盗取到手机和身份信息后可直接查看的地方。后面甚至对建设银行的快捷绑卡页面做了技术检测,发现整个过程没有使用明文卡号,后台请求中代表卡号的参数都是加密的。只能说银行在个人信息保护、风险控制这块更加的严格,虽然动不动很多业务要去柜面办理,但直接保证了你的资金安全(我的损失锅其实不在银行,走快捷支付时资金安全只能依赖对应的支付公司了)。手机失窃致资金被盗!当事人:损失都追回-风君雪科技博客

说完他们,最后再来说说自己,心存侥幸未第一时间挂失手机卡、挂失银行卡时没找齐所有卡,这些都给犯罪分子留下了机会。但通过这几天的经历,不管中间情节有多少起伏,我作为一个有10多年信息安全从业经验的老骆驼,都要被折腾成这样,我实在是不想让大家有跟我相同的经历。提几个我个人认为比较简单有效的防护措施:

1. 给自己的手机sim卡上个密码,

2. 给手机设置屏幕锁

3. 确保手机锁屏状态下来短信无法看到短信验证码内容。

通过上面的措施就算手机丢了未能及时发现和挂失也不用担心别人拔下卡插其他手机里继续使用。