一部手机失窃引发的惊心动魄的战争
熬到9月5日9点:开车送老婆蹲守营业厅开门,9点8分完成补卡,丈母娘来电话说老婆电话打通了,但接电话的是个男的,我回答说可能是营业厅的营业员接的。几分钟后老婆办卡归来,问到刚才丈母娘电话什么情况, 她说没接到电话啊,手机一直在自己手上。看了下确实没有通话记录,手机外拨也是正常的,短信发送接收也正常。继续打10000号,询问手机是否被开通了呼叫转移,得到确认的答复,验证身份证后关闭业务。关闭之前从话务员那边问到被转移的电话号码(准备后续万一要报警就提交过去)。
对方第一次上线时已经把卡拔出来插到其他手机,从短信发送记录上看是给一个手机发了条短信,获取到本机手机号码。
然后联系电信改了服务密码,用手机号码配合短信验证码改了华为密码,把原设备上的账号注销了。
然后解锁了华为锁屏密码,进入了手机。
1. 修改电信服务密码需要身份证号码
2. 有华为密码从网站上也没有解锁锁屏密码的功能。
然后对方还修改了支付宝登录和支付密码、微信密码,
中间还修改了支付宝手机号码(为什么这么操作到9月7日晚上的分析才知道),
并且绑定了被我们遗漏的银行卡至支付平台账号上进行消费。
但这样的话就还有个说不通的:
通过绑了卡的美团,申请贷款,放款到建行储蓄卡
再通过支付APP之前的绑卡结果,通过购买虚拟卡和网络充值消费掉。
整理完所有的情况后,就准备联系各个支付公司,准备讨要说法了。一圈下来后,得出的结果是:
银联云闪付态度极好,说第二天会有专人联系 ;
财付通 联系不上 ;
美团借贷 态度模糊 ,问他为何只是简单验证了身份证就放款了,只说这种贷款产品很多其他公司也有的,嗯好像很有道理,大家都做的就是正确的。
苏宁金融未回应。
再回到上面有疑惑的几个问题上:
要在支付宝上查看我绑定的银行卡信息或者绑新的卡,需要支付密码而支付密码的重置,需要短信+一张银行卡信息的验证; 一开始整个环节的起点,都需要我的身份证号码,起初我判断是通过社工库,但这一番操作分析下来,整个黑产团队的手法,基本都是利用的各个银行、支付公司的正常业务流程来处理的,那么身份证的获取大概率也不会采用社工库去查询; 部分支付APP新建账号后的实名认证,需要活体人脸验证,这个如果可以从手机自拍照或者华为云里之前存过的照片,用技术处理手段处理照片绕过人脸识别(参考2020年的新闻《利用照片伪造动画头像“骗过”支付宝人脸识别,一犯罪团伙薅支付宝“羊毛”超4万元》)
最后我们再来总结分析一波,这条黑产链的全貌如下:
一线扒手特定时间选定目标:年轻人、移动支付频率高,在对方注意力分散的情况下出手,运营商营业厅下班后,失主没法当晚立即补卡,给团队预留了一晚上的作案时间; 拿到手机后迅速送到团队窝点,迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改,一下子让受害者陷入被动; 获取所有银行卡信息,使用技术手段绕过活体人脸识别验证,在各个平台上创建新账号,绑定受害者银行卡。 选好几家风控不严的支付公司,开始申请在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账,将钱转走。 保留新建的支付账号权限, 如果未被发现,后期还可以继续窃取资金。
全程用的都是正常的业务操作,只是把各个机构的“弱验证”的相关业务链接起来,形成巨大的破坏; 应该是使用了技术手段通过的人脸验证,用图片处理技术来绕过活体人脸识别验证; 团队分工协作能力太强,在处理过程中我感觉自己已经用了最快的速度,但总还是晚一步; 注重隐蔽,留好后路,包括删掉我云闪付上的一些卡来防止我查明细,通过新建账号的方式,如果我没发现,贸然去解冻银行卡,后续还有第二波的攻击;包括赶在我补卡后改服务密码前,设置了呼叫转移。
允许用不同的手机号码注册相同实名认证的支付账号,
允许两个账号绑定相同的银行卡,
实名认证有人脸活体识别技术的都被绕过了。
一是重视个人信息保护,善用数据要素价值。 二是重视数字鸿沟问题,践行数字普惠金融。 三是重视监管科技应用,增强数字化监管能力。
手机锁屏状态下对方无法使用短信功能; 如果更换手机卡至新手机则需要输入SIM卡密码; 要解锁SIM,需要从运营商获取PUK码; 要获取PUK码,需要提供身份信息进行验证; 未解锁手机的情况下加上SIM卡加锁,对方无法知道你的手机号码,这样断了获取身份信息的路。