江苏龙网

  1. 首页 > 资讯 > 资讯 > >

手机|“手机失窃致资金被盗”当事人:损失都追回,APP已升级( 三 )


8:00 一早赶紧往成都赶 。 路上云闪付主动联系我们告诉我们昨晚提交的损失报少了 , 并让我们报警后提供报案回执单等一些材料提交过去 , 看样子有可能要赔付 , 安心了不少 。 派出所民警听说了我们的遭遇都表示惊奇 , 说之前从没遇到过这种偷手机的 , 站在以往常规案例的经验 , 怀疑是否我们泄露了身份证照片之类的导致的 。 我应该是第一个来这个派出所报这种案件的 , 对于派出所民警的反应其实是可以理解的 , 包括自己的家人也有在警察队伍的 , 也表示没听说过类似的案件 。
晚上在电脑前继续回想所有细节 , 把整个过程串一遍 , 必要时用自己的APP和账号进行实验 , 验证自己的分析判断 。 虽然补了手机卡 , 银行卡都冻结了 , 带支付功能的软件都找回来各种修改密码了 , 但总觉得哪里就是不对劲 。 突然又收到了财付通的支付验证码请求 , 再关联起前面的几个可疑点 , 可以确定的是:还有其他支付账号绑了我的银行卡 , 既然前面对方用支付宝创建了小号 , 其他平台上就大概率还有 。 挨个APP检查 ,发现用我们的手机号码新建了支付宝、苏宁、京东且包含有消费记录 , 这个操作隐蔽性强 , 如果我们没发现的话 , 解冻了银行卡 , 他们还可以用自己创建的支付账号进行一些小额消费 。 但也有用他们自己手机号码+我的身份信息创建的账号 ,比如微信 , 我只能收到支付短信但无法登陆对方账号进行银行卡解绑 。 后面是自己挨家登陆银行的网银、手机银行 , 在快捷支付菜单里进行查询和关闭的 。
再次分析时发现对方如果要顺畅的执行完这一连串的操作 , 需要拿到手机主人的身份证信息 , 通过分析短信接收记录成功定位到对方的获取途径 。 (目前对应问题已修复 , 这里不描述细节内容)

04

整个事件分析总结
在这一系列过程中 , 犯罪团伙的特点:
1. 全程用的都是正常的业务操作 , 只是把各个机构的“弱验证”的相关业务链接起来 , 形成巨大的破坏;
2. 团队分工协作 , 有成熟的作案脚本(后台网友留言也证实了这一点 , 并且关键环节是有多个备用方案的) 。
分析完犯罪团伙 , 再来看下涉及的各个相关机构的“弱点”环节 , 实际上任何一家机构在过程中所涉及的业务 , 在不关联在一起的角度上看 , 都是小问题甚至不算问题:
1. 四川电信:电话挂失和解挂的业务未考虑到手机被盗后身份信息泄露的情况 , (四川电信目前也已经对这一环节进行了调整);
2. 各支付机构 , 每家支付机构都有自己的风险控制策略 , 风控策略对我这种情况很多关键业务是没有提前识别并介入的 , 更多的是靠后期的异常交易发生后进行追回 , 例如支付宝上第一笔盗刷到第二天早上的追回 , 间隔了5个多小时 , 可以理解为支付宝的“主动赔付”;实际上如果犯罪分子是通过抹掉数据或者刷机进入的手机 , 无论是android还是苹果手机 , 相比正常使用的情况下 , 手机是有一些特征可以定位并应用到风控策略的 , 检测到这种异常的情况下通过增强的身份验证 , 例如关键步骤采用人脸识别技术 , 可以起到阻断的效果 。
3. 涉及身份信息泄露的移动APP , 主要是密码找回功能对短信验证码过度依赖 , 缺乏其他要素验证 , 其次就是涉及金融的敏感信息的保护不足 , 目前这个问题也已经进行了修复 。 但这一块也是我目前最担心的 , 互联网上以手机短信验证码可进行登录并查看身份信息的网站和APP还是比较多 。
4. 美团贷款这块 , 一开始我以为美团是缺失贷款的人脸验证 , 后面上网查其他网友的经历 , 发现贷款申请是有需要人脸识别验证的情况 。 应该是风险检测这块检测到设备指纹是常用设备 , 所以就没要求人脸验证吧 。
5.华为手机 , 密码找回功能过度依赖短信验证码 , 缺乏其他关键验证信息
目前遗留未确定的问题:建行银行卡卡号对方从何处获取的?
所有支付公司都绑定了建设银行的卡 , 其他支付公司可能是通过快捷绑卡完成的 ,但云闪付的快捷绑卡列表上没有建设银行 , 也通过云闪付了解到对方是直接输入卡号完成绑卡的 。
一开始未注意到“快捷绑卡”这个功能时 , 一度以为是建设银行泄露了我的卡号 , 但自己测试了客服电话、网银、手机银行、微信公众号 , 都没有发现在盗取到手机和身份信息后可直接查看的地方 。 后面甚至对建设银行的快捷绑卡页面做了技术检测 , 发现整个过程没有使用明文卡号 , 后台请求中代表卡号的参数都是加密的 。 只能说银行在个人信息保护、风险控制这块更加的严格 , 虽然动不动很多业务要去柜面办理 , 但直接保证了你的资金安全(我的损失锅其实不在银行 , 走快捷支付时资金安全只能依赖对应的支付公司了) 。
手机|“手机失窃致资金被盗”当事人:损失都追回,APP已升级
文章图片

说完他们 , 最后再来说说自己 , 心存侥幸未第一时间挂失手机卡、挂失银行卡时没找齐所有卡 , 这些都给犯罪分子留下了机会 。 但通过这几天的经历 , 不管中间情节有多少起伏 , 我作为一个有10多年信息安全从业经验的老骆驼 , 都要被折腾成这样 , 我实在是不想让大家有跟我相同的经历 。 提几个我个人认为比较简单有效的防护措施:


推荐阅读


上一篇:联邦|京东数科自研联邦学习平台Fedlearn正式亮相

下一篇:电信|移动联通电信之后,第四大电信巨头来了!“出生”就千亿家底,这些股大涨