案件发生后也有支付机构主动联系了我,对过程和细节问题进行了分析和讨论,借用风控专家的话:“其实你这个事情是个好事,在这种新型犯罪大量爆发前用较低的代价让大家都重视和关注起来,各机构采取有效的措施,避免后面造成更大损失后才去‘救火’的局面”。
第一篇文章发布后,有可疑号码打我电话进行嚣张的漫骂,只能送你们一句:“法网恢恢,疏而不漏!”
4. 以支付宝为例,子账号要开通花呗,可以通过向主账号发送申请来开通,所以对方需要登陆我原来的支付宝账号。
整理完所有的信息后,已经凌晨两三点了,虽然很晚了但还是尝试着挨家支付机构打电话联系告知被盗刷。银联云闪付客服态度极好,给他们报了损失金额,告知我们第二天会有专人联系处理后续事情。准备好一些材料,包括通话、短信记录、银行账单,以及其他零散资料,因为当天离开了成都,只能第二天赶回去报警。
03
—
派出所报案,再次分析过程(9月6日)
8:00 一早赶紧往成都赶。路上云闪付主动联系我们告诉我们昨晚提交的损失报少了,并让我们报警后提供报案回执单等一些材料提交过去,看样子有可能要赔付,安心了不少。派出所民警听说了我们的遭遇都表示惊奇,说之前从没遇到过这种偷手机的,站在以往常规案例的经验,怀疑是否我们泄露了身份证照片之类的导致的。我应该是第一个来这个派出所报这种案件的,对于派出所民警的反应其实是可以理解的,包括自己的家人也有在警察队伍的,也表示没听说过类似的案件。
晚上在电脑前继续回想所有细节,把整个过程串一遍,必要时用自己的APP和账号进行实验,验证自己的分析判断。虽然补了手机卡,银行卡都冻结了,带支付功能的软件都找回来各种修改密码了,但总觉得哪里就是不对劲。突然又收到了财付通的支付验证码请求,再关联起前面的几个可疑点,可以确定的是:还有其他支付账号绑了我的银行卡,既然前面对方用支付宝创建了小号,其他平台上就大概率还有。挨个APP检查, 发现用我们的手机号码新建了支付宝、苏宁、京东且包含有消费记录,这个操作隐蔽性强,如果我们没发现的话,解冻了银行卡,他们还可以用自己创建的支付账号进行一些小额消费。但也有用他们自己手机号码+我的身份信息创建的账号, 比如微信,我只能收到支付短信但无法登陆对方账号进行银行卡解绑。后面是自己挨家登陆银行的网银、手机银行,在快捷支付菜单里进行查询和关闭的。
再次分析时发现对方如果要顺畅的执行完这一连串的操作,需要拿到手机主人的身份证信息,通过分析短信接收记录成功定位到对方的获取途径。(目前对应问题已修复,这里不描述细节内容)
。
04
—
整个事件分析总结
在这一系列过程中,犯罪团伙的特点:
1. 全程用的都是正常的业务操作,只是把各个机构的“弱验证”的相关业务链接起来,形成巨大的破坏;
2. 团队分工协作,有成熟的作案脚本(后台网友留言也证实了这一点,并且关键环节是有多个备用方案的)。
分析完犯罪团伙,再来看下涉及的各个相关机构的“弱点”环节,实际上任何一家机构在过程中所涉及的业务,在不关联在一起的角度上看,都是小问题甚至不算问题:
1. 四川电信:电话挂失和解挂的业务未考虑到手机被盗后身份信息泄露的情况,(四川电信目前也已经对这一环节进行了调整);
2. 各支付机构,每家支付机构都有自己的风险控制策略,风控策略对我这种情况很多关键业务是没有提前识别并介入的,更多的是靠后期的异常交易发生后进行追回,例如支付宝上第一笔盗刷到第二天早上的追回,间隔了5个多小时,可以理解为支付宝的“主动赔付”;实际上如果犯罪分子是通过抹掉数据或者刷机进入的手机,无论是android还是苹果手机,相比正常使用的情况下,手机是有一些特征可以定位并应用到风控策略的,检测到这种异常的情况下通过增强的身份验证,例如关键步骤采用人脸识别技术,可以起到阻断的效果。
3. 涉及身份信息泄露的移动APP,主要是密码找回功能对短信验证码过度依赖,缺乏其他要素验证,其次就是涉及金融的敏感信息的保护不足,目前这个问题也已经进行了修复。但这一块也是我目前最担心的,互联网上以手机短信验证码可进行登录并查看身份信息的网站和APP还是比较多。