7:30:正带着大娃在理发店理发,老婆过来告诉我,她在小区门口推着二娃蹲下买水果时婴儿车袋子里的手机被偷了。这时看到P40pro上市,一年一度的换机季又到来了。说是丢失后就用其他手机拨打,但对方接通后关机。当时不知道我怎么想的,觉得可能还有机会能找回,没有未立即挂失手机卡,设置了华为找回手机的上线通知(这个不果断的决定,导致了后续悲剧的发生)。
9:24:家人发现被偷手机可以拨通,但我这边“查找我的手机”显示还未上线,但没两分钟我的手机收到提示手机在成华区上线了,瞬间再看找回手机界面,设备被解绑了,突然有种不好的感觉,一般的小偷不会这么快这么熟练的干这些。
9:55:越想越不对劲,又致电10000号,问之前挂失失败的原因是什么。得到答复,第一次挂失是成功了的,但后面又被解挂了。
这期间还漏掉一个老婆10多年前办的一张建行卡,一张工商银行卡,又埋雷了。
分析对方意图,觉得所有银行卡和支付余额里偷不到钱的话可能会用老婆的信息申请贷款,但同时想到放款只能是放到本人银行卡,要想转出去得有银行卡密码(长期以来自己支付密码和银行卡密码一致,连自己都忘了这两个密码不是一个东西,后面追查时才发现,对方用了一个神招,什么银行卡密码、支付密码根本影响不到对方),应该问题不大,加上期间紧张于电信手机卡“挂失”、“解挂”阵地抢占,又有张成都银行社保金融卡漏下了。
后面的一晚上就是循环的我挂失、对方解挂,在10000号上来来回回几十次。至于为什么要坚持,因为觉得虽然自己已经把重要的App和银行账户都保住了但还是看不透对方想干什么,不过既然对方这么执着的解挂我的手机卡,肯定是有其迫切的原因。抱着凡是敌人想要的,就坚决不能给的信念,一晚上通宵坚持下来了。
中间多次请求10000号客服,告知手机被偷,犯罪分子正在解挂手机卡用于实施犯罪,请求他们通知领导获得审批后冻结手机卡等明早去营业厅补卡,都被拒绝。
5:00:发现才注意到网厅有关闭短信的业务,想着如果对方是高手,我关闭后也可能对方会立马发现,但也可能对方只是流水线的犯罪脚本操作工人,可以赌一赌,反正对我没损失,对他们还增加开通短信的步骤。
(后面查短信详单时发现,正是关闭短信功能这个操作,中断了他们后续的犯罪行为,不然损失肯定更严重)
约了朋友一起峨眉山泡温泉,喝下一瓶乐虎、一瓶红牛、一瓶咖啡,出发去峨眉山,途中继续检查了了下各个支付账户,好像没什么异常。下午到了峨眉山,在温泉池子里休息,恢复体力。准备晚上从电信营业厅查下详单,看对方都干了什么。
登陆建行网银,发现9月5日4点多时美团转进5000元的记录,跪了,再看etc信用卡有各种买卡、充值的记录几大千,银联转账记录几大千,最坏的情况还是发生了。
两人开始回忆从头到尾的细节,开始逐个分析,一个资深渗透测试工程师的优势这时候展示体现出来了。
对方第一次上线时已经把卡拔出来插到其他手机,从短信发送记录上看是给一个手机发了条短信,获取到本机手机号码。
然后联系电信改了服务密码,用手机号码配合短信验证码改了华为密码,把原设备上的账号注销了。
然后解锁了华为锁屏密码,进入了手机。
这中间有几个说不通的地方:
1.修改电信服务密码需要身份证号码
2.有华为密码从网站上也没有解锁锁屏密码的功能。
中间还修改了支付宝手机号码(为什么这么操作到9月7日晚上的分析才知道),
并且绑定了被我们遗漏的银行卡至支付平台账号上进行消费。
这里又有说不通的地方:
1、支付绑卡需要银行完整的卡号,如何得到的?一开始以为打银行客服就可以问到,后面试了下是不行的;
但这样的话就还有个说不通的:
2、支付密码的重置需要的条件(人脸、短信+安全问题、短信+银行卡信息、银行卡+安全问题),没照片的情况下,人脸应该不行,我们设置的安全问题基本上不会被猜到,那只有短信加银行卡了
(实际上最后发现,对方既可以人脸验证,也可以短信加银行卡验证,甚至连支付宝都是自己新建了一个,支付密码也是自己设置的)。
然后剩下的步骤就比较清晰了,
通过绑了卡的美团,申请贷款,放款到建行储蓄卡
再通过支付App之前的绑卡结果,通过购买虚拟卡和网络充值消费掉。
剩下就是苏宁金融的信用卡消费了,还是抱着怀疑的态度,他们如何搞到我的信用卡cvv的,这一点我们是比较肯定的,etc信用卡从申请下来就没离开过抽屉。从银行客服那边能获取到的最多也就是信用卡有效期。
(后面才发现支付公司现在绑信用卡根本不验证有效日期和CVV,都是简单粗暴的身份信息+卡号+预留手机号码,甚至有些连预留手机号都不用)。
整理完所有的情况后,就准备联系各个支付公司,准备讨要说法了。一圈下来后,得出的结果是:
银联云闪付态度极好,说第二天会有专人联系;
财付通联系不上;
美团借贷态度模糊,问他为何只是简单验证了身份证就放款了,只说这种贷款产品很多其他公司也有的,嗯好像很有道理,大家都做的就是正确的。
苏宁金融未回应。
准备好一些材料,包括通话、短信记录、银行账单,以及其他零散资料,准备赶回去报警。毕竟事情发生在小区门口,而且团伙作案,极有可能还会再犯,把事情整理下发到业主群,让大家小心防范,提醒大家设置好sim卡密码。大家也都被震惊了,但一致对于怎么获取身份证号码、银行卡号表示疑惑。中间手机陆续还收到几条财付通的支付验证码,但登陆自己账号,没发现有绑卡,留着疑惑后面再处理,反正不给验证码也付不出去。
派出所民警听说了我们的遭遇都表示惊奇,说之前从没遇到过这种偷手机的。我应该是第一个来报这种案件的。老婆进去做笔录,耗时几个小时,出来后说了里面的情况,警察大叔们都表示“这不可能”、“肯定是你手机里放银行卡信息泄露了”、“你是不是放身份证照片在手机里了”,做完笔录竟然又要我们去打印银行流水,跑了几家建行都是关门的,只能等第二天再来取报案回执单了。
晚上回去两口子在电脑前继续回想所有细节,把整个过程串一遍,必要时用我的各种App和账号进行实验,验证自己的分析判断。虽然补了手机卡,银行卡都冻结了,带支付功能的软件都找回来各种修改密码了,但总觉得哪里就是不对劲。
突然又收到了财付通的支付验证码请求,再关联起前面的几个可疑点,一下子想通了。他用其他支付账号绑了我们的银行卡,包括之前用手机号登陆苏宁时发现登陆的是别人新创建的苏宁账号、包括支付宝也是新建的,至于他们新建的的账号怎么通过的人脸实名认证,这个留在后面讨论。
说明除了这些App,肯定还在其他一大堆App上用我的信息新建了账号,绑了银行卡、通过了实名认证,并自己设置了支付密码。
挨个App检查,发现用我们的手机号码新建了支付宝、苏宁、京东且包含有消费记录,这个操作隐蔽性强,如果我们没发现的话,解冻了银行卡,他们还可以用自己创建的支付账号进行消费。
问题又来了,他们用我的手机号新建的账号我们可以挨个试出来,但用其他手机号新建的账号我们猜不到,比如云闪付、财付通、苏宁金融,这几个从银行流水里查到有转账消费记录,但我们没找到对应的账号。
再回到上面有疑惑的几个问题上:
要在支付宝上查看我绑定的银行卡信息或者绑新的卡,需要支付密码而支付密码的重置,需要短信+一张银行卡信息的验证;
一开始整个环节的起点,都需要我的身份证号码,起初我判断是通过社工库,但这一番操作分析下来,整个黑产团队的手法,基本都是利用的各个银行、支付公司的正常业务流程来处理的,那么身份证的获取大概率也不会采用社工库去查询;
部分支付App新建账号后的实名认证,需要活体人脸验证,这个如果可以从手机自拍照或者华为云里之前存过的照片,用技术处理手段处理照片绕过人脸识别(参考2020年的新闻《利用照片伪造动画头像“骗过”支付宝人脸识别,一犯罪团伙薅支付宝“羊毛”超4万元》)
总结下来就是,需要有一个地方,通过手机号码和接收到的短信验证码,能获取到姓名、身份证号码、以及一张银行卡的卡号。
感觉这几天自己都有点病态了,遇到这种盗刷的倒霉事,不愤怒、不沮丧、不慌乱,而是出奇的亢奋,几天下来没睡几个小时,不停的研究和分析,快把对方的运作模式研究出来了,把IT男追根刨底的特质发挥的淋漓尽致。
翻出短信记录,除了第一条犯罪分子发给自己手机号的记录,紧接着就是收到两条12333社保局的短信。最开始两天都没注意到,以为是老婆公司给缴纳的社保的通知短信,但再仔细分析就发现不对劲了。
身份证信息、证件照片、社保金融卡的银行卡信息,有了这些东西,干啥都一路畅通了。
再返回去之前的支付宝绑卡流程,“无需手动输入卡号,快速绑卡”,几年没用绑卡功能,现在都这么高端了。
选一家银行点进去后,该银行下我的所有银行卡列表直接出来了,选上信用卡,绑卡。CVV、有效期这些都是浮云,人家就一个简单的短信验证码验证,这样的话通过支付宝查看你所有银行卡的卡号就简单了。
最后我们再来总结分析一波,这条黑产链的全貌如下:
获取所有银行卡信息,使用技术手段绕过活体人脸识别验证,在各个平台上创建新账号,绑定受害者银行卡。
选好几家风控不严的支付公司,开始申请在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账,将钱转走。
保留新建的支付账号权限,如果未被发现,后期还可以继续窃取资金。
在这一系列过程中,对方有几点还是让我比较服的:
应该是使用了技术手段通过的人脸验证,用图片处理技术来绕过活体人脸识别验证;
团队分工协作能力太强,在处理过程中我感觉自己已经用了最快的速度,但总还是晚一步;
注重隐蔽,留好后路,包括删掉我云闪付上的一些卡来防止我查明细,通过新建账号的方式,如果我没发现,贸然去解冻银行卡,后续还有第二波的攻击;包括赶在我补卡后改服务密码前,设置了呼叫转移。
分析完犯罪分子,再来看下整个过程中参与的机构都有什么“问题”,实际上这个环节里的每一个点,放在对应的业务节点里都不是什么大问题,但手机丢失后,把所有这些点串起来,问题就大了:
2、四川人社:它所起到的作用,大家也都看得懂。两条短信验证码,关键的资料全泄露出去了,
但我不好说他有什么罪,毕竟他们本身也不是金融机构,对个人信息的保护要做成什么样也没个标准。
3.华为:其实把华为换成小米,结果也是一样。我只能说密码找回这个业务的验证太简单了,
还有就是网上说的用emui5.0的手机,可以远程解锁屏幕锁屏密码,这个我没验证过,但从我支付宝被挤下线时提示对方使用的手机型号来判断,大概率是可以的。
4.支付宝:先不说为啥同一个身份信息,可以注册两个账号,你的快捷绑卡,是加快了绑卡的便捷性,但考虑过安全性么?当然,支付宝的风控是强,确实识别到了异常交易,也追回了资金。
但实名认证的人脸识别被绕过,也是事实。
5.美团:你要发展业务,放宽贷款限制,这我不关心,但你能否做好该有的贷款审批风险控制,凌晨4点的贷款行为,这正常么?
8.财付通:人工客服太难找了,不过风控也还是有效的,这两天在没有通知我们的情况下,陆陆续续追回了几笔交易金额。
9.京东:不想说了,反正就是“交易已经发生了,损失你自己承担”,但还好就一笔100元的游戏充值卡。
10.百度:对方刚好操作到它的时候短信功能已经被我关了,对方也只是绑定了银行卡,还没来得及消费,就不用找它理论了。
多数支付机构基本都有一个现象:
允许用不同的手机号码注册相同实名认证的支付账号,
允许两个账号绑定相同的银行卡,
实名认证有人脸活体识别技术的都被绕过了。
支付机构都在推“快捷绑卡”,是快捷了,点几下鼠标就绑卡了。除了短信验证码,支付宝的快捷绑卡还验证了下支付密码,但好像意义也不大,比如我这种情况,支付账号都是别人用我的信息新建的,支付密码也是他设置的。
说完他们,最后再来说说咱们吧。
通过这几天的经历,不管中间情节有多少起伏,我作为一个有10多年信息安全从业经验的老骆驼,都要被折腾成这样,我实在是不想让大家有跟我相同的经历。提个我认为我们个人能做的最简单最有效的防护措施:
给自己的手机卡上个密码,给手机设置个屏幕锁。这样手机丢了也不用担心别人拔下卡插其他手机里继续使用。
以华为手机为例:设置-安全-更多安全设置-加密和凭据-设置卡锁,选定手机卡,启用密码(此时使用的为默认密码1234或者0000),再选择修改密码,输入原密码1234,再输入两次新密码,完成sim卡的密码设置。
同时,如果有遇到和我一样情况的,除了冻结所有银行卡后,还需要把银行卡的预留手机号码全换掉,同时可以通过登陆网银或者手机银行,用快捷支付管理功能,查看都绑了那些支付公司,然后可以尝试用自己的手机号码去登陆那些App,有可能还会有意外收获,万一支付公司不给理赔,还能自己追回一点。比如我就在对方注册的苏宁账号上找到还没来得及消费的购物卡。
后续进展
9月9日——
例如人脸识别的绕过,支付宝在进行业务设计时,对在原手机上创建并登陆的子账号,在实名认证时匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的,
至于四川电信,今天也主动联系到我老婆,对那晚的事件进行道歉,也解释了说对方当时跟他们的客服说是男女朋友闹矛盾,只能说犯罪分子很狡猾,但对于四川电信的远程挂失和解挂的业务流程设计,站在安全的角度上考虑,我还是不能认可。中间有个小插曲,我为了调查案发时我的短信详单中一条未知的短信记录,再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司,客服拒绝了我。虽然未能查成,但说实话我反而是高兴的,至少说明对客户信息保密的业务原则还是有效的。
在网上找类似案例的时候,发现2019年9月有一篇新闻——《凭SIM卡登陆各软件!上海警方披露最新型盗刷手法》,大家有兴趣可以搜一下,看新闻介绍的犯罪手法,基本上和我遇到的这个案件是一致的,只是获取身份信息的途径不一样。
前面也提到,犯罪分子精心设计的这么一套犯罪脚本,在身份信息获取这种比较容易的环节上,一定是会有备用方案的,目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店App(如华住、锦江)、商旅订票类(如去哪儿),这些包含身份证信息的App和网站,对于身份证号码信息的泄露风险并不是说不知道,只是在业务的“用户体验”面前,安全已经不算个问题了,毕竟我这种案件的数量还是不多。以去哪儿为例,在常用旅客列表中,对身份证信息进行了屏蔽显示,但点击进入信息编辑界面时就明文展示了:
对敏感数据加个保护的实现技术有难度么?再看看携程的处理方式:
我不知道在编辑界面明文展示身份证号码能提升多少百分比的用户使用体验友好度,但安全性的差别就是0%和100%。
一是重视个人信息保护,善用数据要素价值。
二是重视数字鸿沟问题,践行数字普惠金融。
三是重视监管科技应用,增强数字化监管能力。
其中第三部分提到:部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时,一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质,这给金融监管提出新挑战。
手机锁屏状态下对方无法使用短信功能;
如果更换手机卡至新手机则需要输入SIM卡密码;
要解锁SIM,需要从运营商获取PUK码;
要获取PUK码,需要提供身份信息进行验证;
未解锁手机的情况下加上SIM卡加锁,对方无法知道你的手机号码,这样断了获取身份信息的路。