近期,有名为“信息安全老骆驼”(以下简称:老骆驼)的网友将手机失窃后的遭遇写成了文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》,引发了广泛关注,并获得了支付宝等机构的回应。
10月12日,老骆驼发布了该文章的修订版,并表示,其个人的损失都已追回。
老骆驼介绍,四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的APP也进行了对应安全升级;支付机构也积极联系了我,探讨如何加强这方面的安全防护。
老骆驼在文章中提出了几条建议:1. 给自己的手机sim卡上个密码,2. 给手机设置屏幕锁,3. 确保手机锁屏状态下来短信无法看到短信验证码内容。
事件的起因是9月4日下午7时30分,老骆驼家人的华为手机被盗, 对方把卡取出来放在其他手机,利用短信验证码从某APP上获取到身份证、银行卡号信息;同时用获取的信息修改了电信服务密码、华为云密码。
在老骆驼拨打四川电信(致电10000号)挂失手机卡后,遭到了手机偷盗方的解挂,通过电信10000号挂失解挂的攻防来回数十次,暴露出四川电信在手机卡挂失流程上的问题。
根据老骆驼的自述,手机偷盗方利用获得的个人信息,在美团、苏宁金融、云闪付等平台,申请贷款,购买虚拟卡充值,对其造成了经济损失。手机偷盗方甚至用被盗的手机号码注册了新的支付宝。
老骆驼认为,手机偷盗方完成这一整套偷盗、申请贷款、转移资金的动作,核心是需要拿到手机主人的身份证信息。
在《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》最初的原文中,老骆驼判断这与某政务机构的产品有关。
在此次修订版的文章中,老骆驼称,文中身份信息泄露来源的APP也进行了对应安全升级。“但这一块也是我目前最担心的,互联网上以手机短信验证码可进行登录并查看身份信息的网站和APP还是比较多。”
老骆驼自述自己长期从事金融行业信息系统的安全漏洞检测。“但经历了这次盗刷事件之后我才发现,相比黑客利用各种高深的技术漏洞攻击金融信息系统,更可怕的是这种把每一项看似没问题的问题组合而成的犯罪,让人防不胜防。也希望今后在工作之余,能有时间把自己在金融信息安全行业的专业知识,用大家都能看得懂的方式写出来,提高大家的安全防范意识。”
以下为:微信公众号信息安全老骆驼10月12日发布的文章《一部手机失窃而揭露的黑色产业链—完整修订版》
“大家好,之前一篇文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》发布后,引起了大家极大的关注,但由于之前事发突然,文章写得仓促,自己的分析也有草率不准确的地方,在公众号后台广大网友也提出各种疑问。为了避免给大家传导错误的信息,这里我将事件情况按我目前分析得到的结论重新整理一下,删掉部分废话和已证实当初推论不正确的内容。同时也希望大家知道,我的这个事件确属个案,事件涉及的机构也已对关键环节做出了有效的调整和应对,在打击金融犯罪方面,相关监管部门也是非常重视,我们也不必过度恐慌。”
文章开始前,先回答广大网友比较关注的几个问题:
1.相比android手机,如果使用的是苹果手机遇到相同的情况,是不是更安全一些?
答:犯罪分子目的是手机卡,当然抹除数据或者刷机后进入原手机也是其避开支付软件风险控制策略的一个手段。但苹果手机如果在可越狱的版本下,也是可以通过隐藏ID的方式刷机后进入再安装APP进行操作。所以“哪种手机更安全”可以忽视,设置sim卡密码才是关键。
2.事件的后续进展?
答:我个人的损失都已追回。四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的APP也进行了对应安全升级;支付机构也积极联系了我,探讨如何加强这方面的安全防护;
3.之前的文章为何删除?
答:原本只是为了分享给小区业主的警示文,但习惯了“技术漏洞分析报告”的风格,很多不必要写的东西写得太细,加上第一篇文章当时很多推测是有误的;由于网上现在一大堆对之前文章的转载,还是希望把事情说清楚更严谨一些,不要给大家造成误会和恐慌,所以重新整理后上线了这篇文章。
01
—
手机被盗当天(9月4日)
19:30 手机在小区门口的水果店被盗,家人拨打手机对方接通一次后立马关机了。自己抱着一丝侥幸的心理,仅仅只是使用了“查找我的手机”里的锁定设备功能,想着通过手机定位尝试能否找回手机,没有第一时间挂失(如果当时立即挂失手机卡,后面的事情根本也就不会发生了)。
20:51 对方把卡取出来放在其他手机,利用短信验证码从某个APP上获取到身份证、银行卡号信息;同时用获取的信息修改了电信服务密码、华为云密码。(后期通过分析短信详单得知)
21:24 家人发现被偷手机可以拨通,随后我的手机收到提示手机在成华区上线了,但很快手机关联的华为账号被解除,这一步现在来看,对方应该是使用了华为的数据抹除功能,并重新用华为账号登录手机并解绑。意识到对方不是普通的偷手机,我立刻致电10000号挂失手机卡,但此时电信服务密码已经不正确了,通过验证身份证号码加提供上个月联系过的三个电话号码进行了挂失。开始采取紧急措施,通过手机银行转移活期余额,联系多家银行冻结信用卡,把支付宝、微信上的资金转走,绑定的信用卡全删掉。
21:48 家人说电话还可以打通,再次致电10000号,询问为什么没有挂失,回复说卡是正常状态,于是要求继续挂失。
21:55 越想越不对劲,第一次挂失后自己是打电话确认了无法接通的。又致电10000号,询问之前挂失失败的原因是什么。得到答复,第一次挂失是成功了的,但后面又被解挂了。这一点自己确实是没想到的,挂失后还可以凭服务密码或者身份信息和通话记录进行解挂。(现在四川电信已经对这个业务流程做出了调整)
根据银联云闪付上的绑卡信息,继续给银行电话,挨个冻结储蓄卡,ETC信用卡因为未绑定在APP上,自信的认为对方无信用卡CVV等信息肯定盗刷不了,且第二天要出行上高速,就没去管了。有两张银行卡因为办理时间较早,卡也丢失了,就给漏下了。(后续的盗刷基本就都集中在这几张卡上,反面教材警示)