谁出卖了我的隐私?——手机盗窃,资金窃取的黑色产业链丨大东话安全
一、小白剧场
小白:东哥,现在的手机真的好方便啊!
大东:哦?何出此言呢?
小白:以前我还要随身带着银行卡、钱包,现在只要将我的银行卡绑定到我所需要的APP,就能随时随地解决我的衣食住行了啊。
大东:哈哈,可不要贪图便利,随意绑定银行卡哦!天下没有免费的午餐,这背后的风险可是大大的呢。
小白:为什么这么说呢,东哥?
大东:如今,移动互联网的发展给我们的生活带来了巨大的改变,手机的地位也越来越高,但同时我们的私人信息所面临的窃取风险也越来越高,并且其一旦被窃取,用户所受到的损失愈加难以挽回!
小白:听起来好可怕啊,东哥,那攻击者具体是通过什么手段来窃取我们的个人信息呢?
大东:你先别急,窃取信息的源头其实很直接,就是窃取用户的个人手机卡。
小白:听起来好直接,好单一啊,东哥。那岂不是不法分子窃取信息的门槛很低?
大东:虽说窃取信息的源头方式很单一,但在这之后,攻击者会通过很多复杂的专业手段来窃取手机号所关联的数据,来进一步窃取资金、躲避追踪等。
小白:听起来像是有一套具体的攻击流程,像个产业链一样。
大东:嗯嗯,这条黑色产业链还是比较完备的。最近我在微信上看到了一篇文章,讲述了一个用户手机失窃,进而导致其个人信息被窃取、资金被窃取的案例。
小白:这个案例相对其他信息窃取案例有什么特别之处吗?
大东:对于这个案例,我最直观的感受是这个案例无论是攻击方,还是受害用户,都是专业人士。
小白:为什么这么说呢,东哥?
大东:因为从用户发现手机失窃后,双方就你来我往,展开了一场精彩的监控与反监控、追踪与反追踪的攻防战。
小白:听起来好精彩的样子,东哥你快讲讲吧,我都等不及了!(激动地搓手手)
二、话说事件
大东:在2020年9月,在一个阳光明媚的早晨,这一家子,也就是这个案例的受害者正在按照日常的节奏出去遛弯买菜。
小白:好惬意的一家子啊。
大东:可是一切来的是这么突然,这家的男主人被告知其妻子的手机被偷了。
小白:那他第一时间是怎么办的呢?
大东:他立刻用其他手机拨打丢失手机的手机卡号,但对方接通后却关机了。
小白:那这种情况下,应该立刻挂失手机卡了吧?
大东:按照常理应当是这样做的,但当时不知道他怎么想的,没有未立即挂失手机卡,可能是还有那么一丝侥幸心理,觉得还能够找回来。
小白:实在是太大意了,那他没有挂失又怎么做了呢?
大东:他设置了找回手机的上线通知。
小白:那这个事件后续又怎么样了呢?
大东:之后他和家里人一直在监控这个手机是否上线。没过不久,他的手机收到提示说这个手机在成华区上线了,并且发现设备被解绑了!
小白:好迅速,好熟练啊!之后他又怎么办的?
大东:他立刻给10000号打电话想要挂失手机卡,但此时电信服务密码已经不正确了。
小白:那怎么办?
大东:他又通过验证身份证号码加提供上个月联系过的三个电话号码进行了挂失。
小白:之后是不是该赶快把所有与财产相关的手机号绑定解绑啊?
大东:没错,他立刻采取了紧急措施。登录了手机银行把可立即赎回的理财全部赎回,活期余额全部转到了自己的账上,同时联系了多家银行冻结信用卡,并转走了支付宝、微信上的资金,删掉了绑定的信用卡。
小白:还好,还好,没有造成严重的财产损失。
大东:可是,更奇怪的事情还在后面!
小白:又怎么了,东哥?
大东:在挂失手机卡号之后,电话仍然可以打通!他立刻致电了10000号,询问为什么还可以拨通,回复说卡是正常状态,那他也没有想太多,继续挂失了。
小白:可是明明都挂失了啊,怎么会自己又解挂了呢?
大东:我们的受害者也在想这个问题,于是他就又给10000号打电话,问之前挂失失败的原因是什么。
小白:他们怎么说的呢?
大东:他们说,第一次挂失是成功了的,但后面又被解挂了。
小白:怎么会这样,还能够打电话解除挂失吗?
大东:常识性认为挂失了就应该是带上身份证去营业厅解除挂失,但明显攻击者是有备而来,他们把电信的业务流程已经掌握得很清楚了,这使得受害者很被动。
小白:我也头一回听说可以这样,这不只是攻击者有准备,这也足以说明电信的业务流程存在安全隐患啊。
大东:咱们接着说。没过多久,受害者又发现支付宝、微信接连被挤下线,重要的是登录的设备和丢失的手机设备型号一致。
支付宝异常登录(图片来自网络)
小白:难道攻击者已经把手机的锁屏密码被解开了吗?
大东:当然!他立刻申请了冻结,同时申请冻结了微信,并登陆了许多常用的APP,更换了关联手机号码。
小白:简直是生死时速!
大东:虽然一些重要财产保住了,但受害者还是搞不懂对方想干什么,但肯定是有其迫切的原因。
小白:凡是敌人想要的,我们坚决不能给!
大东:没错,不过,最坏的事情还是发生了。受害者登陆建行网银,发现9月5日4点多,某软件转进5000元的记录,又发现了ETC信用卡有几千条买卡、充值、转账的记录!
小白:可恶!还是被得逞了,那我们的受害者又怎么处理的呢?
大东:此时,受害者手头能跟犯罪分子行为步骤关联最紧密的就是电信营业厅获取的短信和电话记录了,他翻出短信记录,除了第一条犯罪分子发给自己手机号的记录,紧接着就是收到两条12333社保局的短信。
小白:这两条短信难道就是突破口吗?
大东:首先,短信发送时间可疑,非工作时间内发送社保缴纳通知是不正常的,连发两条也是不正常的,社保系统里肯定是有身份证信息。
小白:那他们是怎么验证操作的呢?
大东:受害者打开四川省人社厅的网站,看到一个四川人社的APP下载二维码,下载打开APP的瞬间一切都豁然开朗了!“快捷登录”、“短信验证码”、“电子社保卡”这几个关键字明晃晃出现在了眼前。
四川省人社APP(图片来自网络)
小白:果然,问题出在这!
大东:随后,受害人模拟了整个攻击过程。首先发送短信验证码,登录进去。点开“电子社保卡”,此时需要社保密码,继续忘记社保密码,短信验证码重置社保密码。
小白:这是不是那两条12333的短信验证码啊,东哥?
大东:嗯嗯,重置之后,相关的身份证信息、证件照片、社保金融卡的银行卡信息等就呈现在了眼前,有了这些东西,攻击者干啥都一路畅通了。
小白:之后,他们又是怎样利用已有的信息绑卡转账的呢?
大东:攻击者再用得到的相关必要信息,前去支付宝绑卡,“无需手动输入卡号,快速绑卡”。选一家银行点进去后,该银行下受害者的所有银行卡便会直接列出来,选上信用卡,绑卡。只需要一个简单的短信验证码验证,就绑定成功了!
银行卡列表(图片来自网络)
小白:真是可怕,那这件事最后怎么样了呢,东哥?
大东:2020年9月5日,受害者重新补办了手机卡,男主人同时提醒了他的妻子要小心陌生的电话和短信、微信。因为攻击者手里还有相关的信息,他们肯定不会甘心的,要小心后续的网络钓鱼、和电话诈骗。
三、大话始末
小白:东哥,给我简要概括一下这条黑色产业链呗?
大东:首先,一线扒手会在特定时间选定目标。
小白:比如呢?
大东:大多是选择年轻人,因为他们的移动支付频率高。攻击者会在对方注意力分散的情况下出手,而且经常是在运营商营业厅下班后,此时失主没法当晚立即补卡,给团队预留了一晚上的作案时间。
小白:想的真“周全”!
大东:其次,攻击者拿到手机后会迅速送到团队窝点,迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改,一下子让受害者陷入被动。
小白:下一步呢?
大东:接下来,他们会获取所有银行卡信息,使用技术手段绕过活体人脸识别验证,在各个平台上创建新账号,绑定受害者银行卡。
小白:之后呢?
大东:接下来最为关键的,就是选好几家风控不严的支付公司,开始申请在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账,将钱转走。
小白:那这条产业链有没有什么后续维护机制呢?
大东:后续他们会保留新建的支付账号权限,如果未被发现,后期还可以继续窃取资金。
四、小白内心说
小白:那东哥,作为我们普通用户,当这种类似的事情发生时,我们该采取什么措施呢?
大东:首先,在受到攻击之前,我们一定要多加防范,打好预防针!
小白:怎样做好防护呢?
大东:必须要给自己的手机卡上个密码,给手机设置个屏幕锁。这样手机丢了也不用担心别人拔下卡插其他手机里继续使用。
小白:嗯嗯,那有没有什么已经被攻击时的补救措施呢,东哥?
大东:如果已经被攻击,除了冻结所有银行卡后,还需要把银行卡的预留手机号码全换掉。
小白:还有呢?
大东:还可以通过登陆网银或者手机银行,用快捷支付管理功能,查看都绑了那些支付公司,然后可以尝试用自己的手机号码去登陆那些APP。
小白:这样做有什么好处呢?
大东:万一支付公司不给理赔,还能自己追回一点。比如可以在对方注册的某app账号上找到还没来得及消费的购物卡。
快捷支付(图片来自网络)
小白:活到老,学到老。东哥,针对这次事件,有哪些告诫我们的呢?
大东:本次案例,其实和前两年新闻上报道过的钱包丢失类似。都是对方用偷到的身份证去营业厅补了卡,然后导致其银行账户损失,他们的目标都是手机卡。我希望告诉大家的是,平时一定要做好信息防护,不要随意泄露个人信息,在手机卡丢失时,一定要第一时间挂失手机卡、所有银行卡。
小白:嗯嗯,知道了东哥!
参考资料:
1. 盗窃手机盗刷银行卡黑色产业链案件之后续进展
https://www.mpaypass.com.cn/news/202009/11100632.html
2. 9.10 值得看|手机失窃引出的黑色产业链;究竟是谁谋害了外卖员?
https://zhuanlan.zhihu.com/p/232527127
3. 被盗iPhone藏黑色产业链 解锁ID月入20万
http://news.mydrivers.com/1/484/484173.htm
4. 温州破获百人特大盗销手机案 黑色产业链浮出水面
http://zjnews.zjol.com.cn/system/2014/07/03/020118198.shtml
5. 真实记录:一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链https://mp.weixin.qq.com/s/7cAqpgo6vZZ0PpkmeXaYvw
来源:中国科学院计算技术研究所