03—派出所报案,再次分析过程(9月6日) 8:00 一早赶紧往成都赶。路上云闪付主动联系我们告诉我们昨晚提交的损失报少了,并让我们报警后提供报案回执单等一些材料提交过去,看样子有可能要赔付,安心了不少。派出所民警听说了我们的遭遇都表示惊奇,说之前从没遇到过这种偷手机的,站在以往常规案例的经验,怀疑是否我们泄露了身份证照片之类的导致的。我应该是第一个来这个派出所报这种案件的,对于派出所民警的反应其实是可以理解的,包括自己的家人也有在警察队伍的,也表示没听说过类似的案件。 晚上在电脑前继续回想所有细节,把整个过程串一遍,必要时用自己的APP和账号进行实验,验证自己的分析判断。虽然补了手机卡,银行卡都冻结了,带支付功能的软件都找回来各种修改密码了,但总觉得哪里就是不对劲。突然又收到了财付通的支付验证码请求,再关联起前面的几个可疑点,可以确定的是:还有其他支付账号绑了我的银行卡,既然前面对方用支付宝创建了小号,其他平台上就大概率还有。挨个APP检查, 发现用我们的手机号码新建了支付宝、苏宁、京东且包含有消费记录,这个操作隐蔽性强,如果我们没发现的话,解冻了银行卡,他们还可以用自己创建的支付账号进行一些小额消费。但也有用他们自己手机号码+我的身份信息创建的账号, 比如微信,我只能收到支付短信但无法登陆对方账号进行银行卡解绑。后面是自己挨家登陆银行的网银、手机银行,在快捷支付菜单里进行查询和关闭的。 再次分析时发现对方如果要顺畅的执行完这一连串的操作,需要拿到手机主人的身份证信息,通过分析短信接收记录成功定位到对方的获取途径。(目前对应问题已修复,这里不描述细节内容)。 04—整个事件分析总结 在这一系列过程中,犯罪团伙的特点: 1。 全程用的都是正常的业务操作,只是把各个机构的“弱验证”的相关业务链接起来,形成巨大的破坏; 2。 团队分工协作,有成熟的作案脚本(后台网友留言也证实了这一点,并且关键环节是有多个备用方案的)。 分析完犯罪团伙,再来看下涉及的各个相关机构的“弱点”环节,实际上任何一家机构在过程中所涉及的业务,在不关联在一起的角度上看,都是小问题甚至不算问题: 1。 四川电信:电话挂失和解挂的业务未考虑到手机被盗后身份信息泄露的情况,(四川电信目前也已经对这一环节进行了调整); 2。 各支付机构,每家支付机构都有自己的风险控制策略,风控策略对我这种情况很多关键业务是没有提前识别并介入的,更多的是靠后期的异常交易发生后进行追回,例如支付宝上第一笔盗刷到第二天早上的追回,间隔了5个多小时,可以理解为支付宝的“主动赔付”;实际上如果犯罪分子是通过抹掉数据或者刷机进入的手机,无论是android还是苹果手机,相比正常使用的情况下,手机是有一些特征可以定位并应用到风控策略的,检测到这种异常的情况下通过增强的身份验证,例如关键步骤采用人脸识别技术,可以起到阻断的效果。 3。 涉及身份信息泄露的移动APP,主要是密码找回功能对短信验证码过度依赖,缺乏其他要素验证,其次就是涉及金融的敏感信息的保护不足,目前这个问题也已经进行了修复。但这一块也是我目前最担心的,互联网上以手机短信验证码可进行登录并查看身份信息的网站和APP还是比较多。 4。 美团贷款这块,一开始我以为美团是缺失贷款的人脸验证,后面上网查其他网友的经历,发现贷款申请是有需要人脸识别验证的情况。应该是风险检测这块检测到设备指纹是常用设备,所以就没要求人脸验证吧。 5。华为手机,密码找回功能过度依赖短信验证码,缺乏其他关键验证信息 目前遗留未确定的问题:建行银行卡卡号对方从何处获取的? 所有支付公司都绑定了建设银行的卡,其他支付公司可能是通过快捷绑卡完成的, 但云闪付的快捷绑卡列表上没有建设银行,也通过云闪付了解到对方是直接输入卡号完成绑卡的。 一开始未注意到“快捷绑卡”这个功能时,一度以为是建设银行泄露了我的卡号,但自己测试了客服电话、网银、手机银行、微信公众号,都没有发现在盗取到手机和身份信息后可直接查看的地方。后面甚至对建设银行的快捷绑卡页面做了技术检测,发现整个过程没有使用明文卡号,后台请求中代表卡号的参数都是加密的。只能说银行在个人信息保护、风险控制这块更加的严格,虽然动不动很多业务要去柜面办理,但直接保证了你的资金安全(我的损失锅其实不在银行,走快捷支付时资金安全只能依赖对应的支付公司了)。
说完他们,最后再来说说自己,心存侥幸未第一时间挂失手机卡、挂失银行卡时没找齐所有卡,这些都给犯罪分子留下了机会。但通过这几天的经历,不管中间情节有多少起伏,我作为一个有10多年信息安全从业经验的老骆驼,都要被折腾成这样,我实在是不想让大家有跟我相同的经历。提几个我个人认为比较简单有效的防护措施: 1。 给自己的手机sim卡上个密码, 2。 给手机设置屏幕锁 3。 确保手机锁屏状态下来短信无法看到短信验证码内容。 通过上面的措施就算手机丢了未能及时发现和挂失也不用担心别人拔下卡插其他手机里继续使用。
以华为手机为例:设置-安全-更多安全设置-加密和凭据-设置卡锁, 选定手机卡,启用密码(此时使用的为默认密码1234或者0000),再选择修改密码,输入原密码1234,再输入两次新密码,完成sim卡的密码设置。要注意的是设置了sim密码后手机重启或者把卡换到新手机上 都需要先输入sim卡密码后再输入锁屏密码,如果sim卡密码输入错误3次,就会要求输入puk码才能解锁,这时别再乱输,请联系运营商或者puk码进行解锁,否则10次错误后手机卡会失效必须去营业厅换卡。其他各型号手机的设置方法建议大家直接百度搜索。 案件发生后也有支付机构主动联系了我,对过程和细节问题进行了分析和讨论,借用风控专家的话:“其实你这个事情是个好事,在这种新型犯罪大量爆发前用较低的代价让大家都重视和关注起来,各机构采取有效的措施,避免后面造成更大损失后才去‘救火’的局面”。 第一篇文章发布后,有可疑号码打我电话进行嚣张的漫骂,只能送你们一句:“法网恢恢,疏而不漏!”
| 
楼主: 驻在平安夜前夕
楼主
显身卡
发表于 2020-10-13 19:35
。1
。 
发表于 2020-10-13 20:40
