近日,一篇題為《一部手機(jī)失竊引發(fā)的驚心動(dòng)魄的戰(zhàn)爭(zhēng)》的公眾號(hào)文章引發(fā)極大關(guān)注。作者 “信息安全老駱駝”有著 10 多年的信息安全從業(yè)經(jīng)驗(yàn),手機(jī)失竊后立即進(jìn)行了一系列操作:電話掛失 SIM 卡,贖回全部理財(cái),活期余額全部轉(zhuǎn)至其他賬戶,聯(lián)系多家銀行凍結(jié)信用卡,把支付寶、微信上的資金轉(zhuǎn)走,綁定的信用卡全刪掉。
但作者仍然遭受了損失——“美團(tuán)被申請(qǐng)貸款,etc 信用卡有各種買卡、充值的記錄幾大千,銀聯(lián)轉(zhuǎn)賬記錄幾大千 ......”作者后來(lái)還補(bǔ)充道,自從文章發(fā)布后,部分網(wǎng)友在公眾號(hào)留言稱有相同經(jīng)歷,損失最嚴(yán)重的一位有 68 萬(wàn)的線上貸款,目前還在索賠中。
網(wǎng)友看完紛紛表示 “恐怖,看完還是感覺(jué)防不勝防”、“作者是高手,要是我丟了,估計(jì)一分不剩了”、“網(wǎng)絡(luò)安全存在的漏洞太大了”。
在這起盜刷事件中,可以看出犯罪分子運(yùn)用的技術(shù)手段并不高超,但非常巧妙。在竊取受害者手機(jī)后,利用了信息安全的 “薄弱點(diǎn)”,將不同 App 包含的關(guān)鍵信息點(diǎn)串聯(lián)起來(lái),獲取手機(jī)號(hào)碼、身份證號(hào)、銀行卡號(hào),從而進(jìn)行借貸、轉(zhuǎn)賬等操作,對(duì)用戶財(cái)產(chǎn)造成巨大破壞。
盜刷是如何發(fā)生的?
隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展,大多數(shù)手機(jī)用戶都開(kāi)通了微信支付、支付寶以及手機(jī)銀行等服務(wù),當(dāng)金融工具與手機(jī)深度綁定,手機(jī)被盜意味著極大的財(cái)產(chǎn)損失風(fēng)險(xiǎn)。
搜狐科技查閱相關(guān)媒體報(bào)道發(fā)現(xiàn),手機(jī)盜刷的類似案件層出不窮。比如據(jù)東方網(wǎng)報(bào)道,2019 年 4 月,上海黃浦警方接到報(bào)案,多名受害人手機(jī)在四川成都被盜后,信用卡在短時(shí)間內(nèi)被盜刷。今年 10 月,楚天都市報(bào)報(bào)道稱,有受害者手機(jī)遺失后,未解綁銀行卡,被盜刷 4.4 萬(wàn)元。
盜刷蘊(yùn)含著怎樣的技術(shù) “玄機(jī)”?文章《一部手機(jī)失竊引發(fā)的驚心動(dòng)魄的戰(zhàn)爭(zhēng)》中提到的犯罪步驟有:1. 獲取身份信息修改了運(yùn)營(yíng)商服務(wù)密碼;2. 短信驗(yàn)證碼修改華為密碼;3. 通過(guò)刷機(jī)或者抹掉數(shù)據(jù)的方式進(jìn)入手機(jī);4. 用掌握的身份信息注冊(cè)支付平臺(tái)新賬號(hào);5. 通過(guò)支付平臺(tái)使用受害者原賬號(hào)申請(qǐng)貸款;6. 通過(guò)線上、線下完成消費(fèi)。
搜狐科技對(duì)文章提及的盜刷犯罪過(guò)程進(jìn)行 “還原”發(fā)現(xiàn),犯罪分子采取的操作主要有獲取短信驗(yàn)證碼、身份證號(hào)、銀行卡卡號(hào)三個(gè)步驟。
首先是獲取手機(jī)及 SIM 卡,犯罪分子會(huì)選擇營(yíng)業(yè)廳下班后的時(shí)間點(diǎn)盜竊手機(jī),失主沒(méi)辦法當(dāng)晚立即補(bǔ)卡,犯罪分子通過(guò)短信驗(yàn)證碼進(jìn)行后續(xù)操作。
然后,獲取身份證號(hào)碼是第一道需要突破的關(guān)卡。犯罪分子通過(guò)刷機(jī)等方式破解手機(jī)密碼后,用短信驗(yàn)證碼登錄飛豬、XX 人社等 App,查看身份證、手機(jī)號(hào)等信息。比如,通過(guò)短信驗(yàn)證碼登錄飛豬后,點(diǎn)擊機(jī)票預(yù)訂后,即可在乘機(jī)人信息中獲取姓名、身份證號(hào)碼、手機(jī)號(hào)碼。
并且犯罪分子往往在拿到完整的身份證號(hào)后,會(huì)通過(guò)身份信息修改手機(jī)服務(wù)密碼,取得 SIM 卡的控制權(quán)。
接下來(lái)的關(guān)鍵是獲取銀行卡卡號(hào)。搜狐科技測(cè)試發(fā)現(xiàn),通過(guò)姓名、身份證號(hào)碼、短信驗(yàn)證碼,可重置招商銀行 App 登錄密碼,重置登錄密碼后可以登錄 App,再通過(guò)短信驗(yàn)證碼可以查詢完整的銀行卡卡號(hào)。
當(dāng)然,獲取身份證號(hào)、銀行卡卡號(hào)的方式各異,開(kāi)篇提到的文章中,犯罪團(tuán)伙利用四川人社 App 查詢到了受害人的身份證號(hào)、銀行卡號(hào),也有報(bào)道稱可以通過(guò)手機(jī)恢復(fù)軟件和 “51 信用卡管家”等養(yǎng)卡軟件,或者偽裝成持卡人撥打銀行客服,以獲取被害人完整的銀行卡等信息。
最后,進(jìn)行盜刷。首先,犯罪團(tuán)伙可以直接登錄支付寶、蘇寧、美團(tuán)等支付工具進(jìn)行盜刷。而如果用戶解綁手機(jī)號(hào),在掌握身份證信息和銀行卡信息的情況下,犯罪團(tuán)伙也可以利用該手機(jī)號(hào)新建賬號(hào)進(jìn)行盜刷。這種方式非常隱蔽,受害人難以察覺(jué)銀行卡究竟與哪些支付賬號(hào)關(guān)聯(lián)。
如果需要支付密碼,犯罪團(tuán)伙也可以通過(guò)已經(jīng)掌握的信息進(jìn)行修改。
值得一提的是,盜刷的形式有很多,包括通過(guò)一切與支付相關(guān)的 App,進(jìn)行貸款、轉(zhuǎn)賬、線上線下消費(fèi)等操作。
如何降低財(cái)產(chǎn)損失風(fēng)險(xiǎn)?
根據(jù)對(duì)犯罪團(tuán)隊(duì)的犯罪過(guò)程還原,我們可以發(fā)現(xiàn),一旦用戶的短信驗(yàn)證碼、身份證號(hào)、銀行卡賬號(hào)被掌握,盜刷便可以輕而易舉地發(fā)生了。
而用戶遭遇盜刷后,后續(xù)的索賠以及維權(quán)也困難重重。據(jù)《深圳新聞網(wǎng)》報(bào)道,廣東圣馬律師事務(wù)所樹(shù)宏玲律師表示,由于本人過(guò)錯(cuò)(未及時(shí)掛失)以及技術(shù)漏洞,手機(jī)用戶沒(méi)有索賠的空間,“類似于銀行卡盜刷案件,此類案件起訴銀行,一般都是原告敗訴。”
所以,提前采取措施預(yù)防盜刷、手機(jī)失竊后進(jìn)行及時(shí)有效的補(bǔ)救便顯得尤為可貴。首先,一定要注意保管好手機(jī),從源頭上減少手機(jī)被盜的風(fēng)險(xiǎn)。而手機(jī)丟失后,受害者應(yīng)在第一時(shí)間內(nèi)掛失 SIM 卡。
并且,手機(jī)丟失后應(yīng)及時(shí)凍結(jié)銀行卡、各種支付工具,并更換銀行卡的預(yù)留手機(jī)號(hào)碼,同時(shí)應(yīng)該通過(guò)登陸手機(jī)銀行,用快捷支付管理功能,查看并解綁已經(jīng)綁定的支付賬號(hào)。
文章開(kāi)頭提及的作者 “信息安全老駱駝”建議大家給 SIM 卡加密,并且為手機(jī)設(shè)置屏幕鎖,確保手機(jī)鎖屏狀態(tài)下來(lái)短信無(wú)法看到短信驗(yàn)證碼內(nèi)容。“在犯罪分子無(wú)法破解開(kāi)屏密碼時(shí),這樣操作就不必?fù)?dān)心別人拔下卡插進(jìn)其他手機(jī)里繼續(xù)使用,因?yàn)榻怄i SIM 需要從運(yùn)營(yíng)商獲取 PUK 碼,而想獲取 PUK 碼,需要提供身份信息進(jìn)行驗(yàn)證。”
SIM 卡密碼如何設(shè)置?如果使用的是蘋果手機(jī),用戶可以通過(guò) “設(shè)置—蜂窩網(wǎng)絡(luò)—蜂窩號(hào)碼—打開(kāi) SIM 卡 PIN 碼—輸入初始的 PIN 碼(一般為 1234 或 0000)”進(jìn)行設(shè)置,以此激活 SIM 卡的鎖定功能,并在激活成功后將初始密碼修改。
如果使用的是安卓手機(jī),用戶需要通過(guò) “設(shè)置—更多設(shè)置—系統(tǒng)安全—SIM 卡鎖定方式—鎖定 SIM 卡—輸入初始的 PIN 碼(一般為 1234 或 0000)“進(jìn)行操作,以此激活 SIM 卡的鎖定功能,并在激活成功后將初始密碼修改。(不同機(jī)型的操作方法存在差異)
而除了用戶,與用戶身份證信息、支付信息相關(guān)的各大出行平臺(tái)、支付平臺(tái)、人社 App 等機(jī)構(gòu)方也應(yīng)該通過(guò)優(yōu)化驗(yàn)證方式、完善風(fēng)控體系,提高用戶的財(cái)產(chǎn)安全。
快捷方便的 App 在無(wú)意中為盜刷提供了 “鑰匙”。還原犯罪分子的盜刷過(guò)程,也不見(jiàn)得技術(shù)手段有多高深,但他們正是利用了信息安全的 “薄弱點(diǎn)”,將不同 App 包含的關(guān)鍵信息點(diǎn)串聯(lián)起來(lái),完成了對(duì)受害者的財(cái)產(chǎn)侵占。
具體來(lái)說(shuō),比如出行 App 等應(yīng)該盡量不要明文展示身份證號(hào)碼,搜狐科技發(fā)現(xiàn)在測(cè)試使用飛豬時(shí),完整的身份證號(hào)、手機(jī)號(hào)、姓名會(huì)被輕易獲取,而同程對(duì)身份證信息進(jìn)行了屏蔽顯示處理。
在招商銀行 App 中,搜狐科技通過(guò)在飛豬上獲取的姓名、身份證號(hào),再加上短信驗(yàn)證碼即可快速修改登錄密碼,完成銀行 App 登錄,查看完整的銀行卡號(hào)也只需要短信驗(yàn)證碼,整個(gè)操作過(guò)程并未觸發(fā)人臉或指紋識(shí)別。
在《一部手機(jī)失竊引發(fā)的驚心動(dòng)魄的戰(zhàn)爭(zhēng)》中,四川電信支持電話多次解掛,這導(dǎo)致受害者掛失、犯罪分子解掛的循環(huán)。而犯罪分子通過(guò)操作四川人社 App,只需要短信驗(yàn)證碼即可獲取受害者的完整身份證號(hào)、銀行卡號(hào)。慶幸的是,文章發(fā)出后,四川電信修改了電話掛失、解掛的業(yè)務(wù)規(guī)則,四川人社 APP 進(jìn)行了對(duì)應(yīng)安全升級(jí)。
在知乎一篇名為《遭遇新型網(wǎng)絡(luò)犯罪,一夜起來(lái)一無(wú)所有,還背負(fù) 68 萬(wàn)多的巨額負(fù)債》中,作者認(rèn)為,“犯罪份子固然可恨,但回想自己所經(jīng)歷的一切,貸款機(jī)構(gòu)形似虛設(shè)的風(fēng)控及貸款審批程序也難以撇清自己的責(zé)任。”
央行科技司司長(zhǎng)李偉也曾表示,金融機(jī)構(gòu)在利用技術(shù)創(chuàng)新業(yè)務(wù)模式、提升服務(wù)效率、改善用戶體驗(yàn)的同時(shí),一定程度上卻簡(jiǎn)化了業(yè)務(wù)流程、削弱了風(fēng)控強(qiáng)度、掩蓋了業(yè)務(wù)本質(zhì)。
要打贏 “財(cái)產(chǎn)安全保衛(wèi)戰(zhàn)”,用戶與機(jī)構(gòu)都責(zé)無(wú)旁貸。
關(guān)鍵詞: