 | 以前,手机丢了顶多损失一部手机钱;
" `" E% v) M [" e$ c& G
0 B! n( }) U" a" I现在,手机一丢,不仅倾家荡产,而且还有可能背负一身巨债。
3 z- D+ t1 T) o( f" ` " N4 u K4 V+ n C# }
对小偷来说,手机不再是目的,手机里的移动支付才价值连城。! G& g% G9 j' g% \
- _0 z$ I. {5 e E) s1.2 a% d- u$ W2 G4 A$ u- j. N
教科书般洗劫存款,丢啥不能丢手机!! J/ G- S% o! ~% k4 Z7 _) G0 ?" D
" b( a8 v1 g" I
最近,一个叫“老骆驼”的信息安全专家手机被偷,揭开了移动支付的巨大漏洞!9 Y+ x3 H% V) X$ q7 G6 e
* a0 V9 G( _# \! ~& G. }
短短一天,他的银行卡、信用卡、支付宝、微信支付、美团支付、苏宁金融……全部遭到破解,损失惨重。
: y/ ?! R: S6 o0 X2 S & m$ z3 \$ ?: f- b2 n5 B
你能想象吗?盗窃团伙的速度之快、手法之专业,就连安防专家都被摁在地上摩擦!
- |, m# f4 @# |6 w5 @# v0 i% [0 C * t2 ^, x2 G: G
普通人,那就只能成为砧板上的鱼肉了。4 h8 o G8 f" f& o6 m2 h! y& O
9 w. g4 i% o* y3 M/ g$ e$ O
我们赶紧来见识一下犯罪分子登峰造极的作案手法。
" U* T7 U& b, E ' r. q2 C( v5 w
按理说,我们手机都有指纹解锁,移动支付更是密码重重,他们是怎样撬开这一扇扇安全门的呢?
& C5 r# T9 r+ j2 z$ e
. h0 d! h: K4 @2 T& E, p3 S进入正题!
7 m9 a, t, O4 Z8 R1 L
) n0 o7 z. w6 @, l/ s: u* U% g第一,窃取手机号码
5 I+ Q+ Z+ M# \. w- l, ^
$ N5 l) c4 l2 b3 z) q. m: ?小偷只是盗窃团伙最基层的一环,他们偷到手机后会以迅雷不及掩耳的速度转移给总部的技术专家。* ]! `; q* n$ |+ {2 @1 h
0 v5 q; J+ n4 v$ I1 C( }, O这是因为失主一般不会立即挂失手机号,而是会先打电话给被盗手机,试图挽救。9 P X0 e* z. A
, s- H. o' v7 W0 O0 V9 _& Y盗窃团伙就是利用这个稍纵即逝的空档,第一时间把手机卡拔出来插到自己手机上,随便打个电话发个短信,就窃取到了失主的手机号码。
* j) W" ^; l6 ]& ^; X' I 5 j6 c. ~" N# h1 O9 r, O
这是成功的第一步。
% T5 h0 r* U% z0 y2 m% s
, X* y; _# f/ B( x& r/ A: U0 a第二,套取失主全部身份信息
" c7 \0 u7 `7 h* I ( o8 t, X5 i" |( g' n
仅仅拿到手机卡,并不能直接打开移动支付里的钱包。
' B4 { F" u1 e+ r
- `9 y$ |+ h1 k4 ]" f而且,万一失主挂失手机号,岂不是竹篮打水一场空?- N6 m& G8 X, u0 T! A5 G
' T$ ] L7 L+ U' [# C; t L* A所以,失主的身份证信息就成了关键的第二步。
* k9 P: n( Z$ ?, k( M6 V 6 i9 N/ w a4 `, H T8 j% |/ w, T
怎么操作呢?1 }' ?! ~: g9 h) ~7 q& {$ H5 q
6 h Z7 h1 p. S% J* q- X3 n) t
犯罪分子充分证明了他们的专业能力。# c) `2 c2 b- d+ m# f3 ^8 T6 [
5 D2 D' n+ C1 F, C9 E( N; q他们打开社保局的APP,点击忘记密码,选择短信验证码登陆,这就打开了失主的电子社保卡账户。
5 @; s% F4 s. W+ W
- D/ o" s! [; y' Q0 y8 a, |* x账户里面,身份证号码、社保金融卡等银行卡信息一应俱全。
' E) \' g% c2 y3 d4 K3 l4 f3 G ( C- ?' n* V" M) P# f) M, J
手机号+身份证信息在手,从此一路绿灯。/ b7 @- ~. I6 N4 n5 t9 X; d
) l3 M9 v2 A9 o
第三,反挂失
7 ~+ D8 |5 I% V( X & _( Q2 G% ~7 D7 ^9 a5 N
失主“老骆驼”意识到手机被偷后,很快就挂失了手机号码,并开始了一系列挽救措施,比如:
' ?+ G4 t# ]2 c! t0 w' N5 G% X0 J + E3 @% Q& w" x
把手机银行里活期余额全部转出来,联系多家银行冻结借记卡、信用卡,把支付宝、微信上的资金转走,绑定的信用卡全删掉……+ ~" v: V+ c( z- N
( ^1 i/ I7 Z# x; Q但是,很快他就发现遇到高手了。
0 X u/ r2 q9 ?4 H/ G' L1 V 9 a! b9 t9 |0 f
当天晚上,犯罪团伙偷偷把手机号解挂了。& Q% d8 k: h+ _5 j
3 z0 D$ J8 e$ ?8 v9 o( T: P& a6 f
在我们思维里,解挂需要本人拿着身份证去营业厅。( u3 s. u9 F* \2 C+ o4 f: N+ D
+ p- c' B' }+ B* H1 R [事实上,一个电话就能解决。
2 [. V( J' x* F! V+ V 0 N$ C# C! i( A" k; D9 Z* @
因为犯罪分子拿到手机号与身份证号后,随便编个“夫妻吵架”的理由,就能解除挂失状态。
# ~# Q7 f$ g/ X) k, h
6 L y. L) v5 }! P3 y, H3 B* M这说明犯罪分子在作案前,已经把电信业务流程摸得一清二楚。
Z+ C& z( |: T; n, p& p Q0 C1 s0 ]3 \, U% D6 N0 _. Z, Y
第四,解锁手机,登陆微信支付宝5 h3 @. ^. o/ E: Y3 z1 g
9 }; K5 I, Z: o5 c6 S
我们上面说过,有了手机号+身份证信息就能一路绿灯,下一步就是解锁手机了。3 {* B, T8 p+ R- W% f- x
2 S6 P( D; L. D/ V# Q8 }, Z犯罪团伙先打电话给移动运营商客服,修改服务密码,然后配合短信验证码,就能把手机厂商的密码改掉,最后解锁屏幕,进入手机。
/ T* O$ U& h9 b0 K* _2 b8 Q( @ 2 N1 r3 U) G. n' H# K, p
很多人以为的钢铁防线,就这样被轻松突破。- t1 ]0 c5 z- Z
9 z) m5 s1 |, A5 K/ N
打开手机后,他们就能登陆微信、支付宝,把失主挤下线。
2 v$ c9 |6 f# h: b. w / T, S9 M' G$ ^: }1 F
第五,瞒天过海,成功套现
* s& j6 O! b% L/ I, y& V
4 f+ a' \$ `4 r4 x! H上面提到过,失主“老骆驼”是一位工作了十几年的安防专家,他第一时间把手机APP里面的钱转了出去,而且还解除了和银行卡的绑定。
& A% T7 Z; ^7 G
2 t* O6 V& w' w3 Q0 ]1 q' T6 k; `但是,道高一尺魔高一丈,犯罪分子早已看穿了一切。 A* l( |. @# k7 H
" v( r4 m4 [2 ]1 h我们都知道,一个人可以有两个支付宝,犯罪分子正是抓住这一点,用失主的手机号和身份证注册了一个新支付宝。
* U0 ]7 k3 P! Y
6 ^' |$ S& L7 C. z支付宝要绑定银行卡或信用卡,此时失主已经冻结银行卡了,怎么办?* S$ r4 p0 h3 [/ ]/ _% P* M9 C" v# E
; Q6 z {* Z0 q' g+ ]% A$ T( N
智者千虑,必有一失。+ c# D! K: G ~. X) b7 |7 \
6 ?* D$ R6 ~+ g1 |, c! N _
我们都有这样的经历,早年办了很多银行卡,有的丢了,有的找不到了,被遗忘的这些卡自然想不到去冻结。
4 T5 A2 f3 T0 K3 S9 d2 I8 b2 H $ V6 [& d' m7 d6 G: I, D2 W- `& _
另外,失主的信用卡绑定了ETC,如果冻结,高速都上不了,所以他保留了这张信用卡。4 {) b( L/ M- J" }4 V
3 D; N( [2 m. E6 K
恰好,这两个漏洞全部被犯罪分子抓到了。
/ F" Z7 T3 k6 T * M$ \+ c: E+ h. w6 R6 I
他们只需要手机号+身份证号码,在卡类管家等软件上一查,就能查到失主所有借记卡、信用卡账户。
8 j) m R: p9 W: c' e% L: `. D 4 C4 | [# L" a* e+ W
他们用漏掉的信用卡绑定新注册的支付宝,设置一个连失主都不知道的支付密码,就能把你的卡刷爆。0 q, i! u2 z" S# a% l% |
6 E' {8 U @8 z; O
当然,在“老骆驼”这起案件中,支付宝风控系统自动识别犯罪团伙异常操作,阻断了交易。
6 m5 n. I0 r: ?# d% v! d6 K ( V* `2 q5 A9 r9 T
但是,第三方支付可不止支付宝一家,还有京东白条、美团支付、百度钱包、苏宁金融、360借条……几十家支付机构。
% s- i2 L, C' [* v0 \7 d7 ?) p. z* P7 l. @5 `
为了方便拉新,他们全部推出快速绑卡,只需一个身份证号+短信验证码,就能轻松绑定你的银行卡。9 u. P& Y; J9 X4 Q3 r: m
3 I q/ d; S6 u+ _银行卡没钱没关系,网络借贷一大堆。
0 A, h' \* _& }0 {
g: T, F) z5 X- V% A U: I9 _事实上,犯罪分子就是通过第三方APP绑卡,用失主名义申请贷款,再通过购买虚拟卡币和网络充值成功套现。3 `; z# Q: e" D* a; z6 [
* c" A% c- Y3 j, k& Y! v这意味着即使你把钱转出来了,但仍然逃不掉从天而降的债务。% n5 Q8 ?; q/ d. U1 ?0 s( n# e
" ^+ c# E8 s: }" C" ^
! W% f$ i) d; Q& I m2.0 a+ k* |9 Y/ a4 X
新一轮财产安全隐患来了!
. [" l5 S8 ], V/ w* B( f+ d/ F0 O1 p ! Q" h3 y ]) @9 _5 c9 K1 } ^
有个事实大家可能不知道,“老骆驼”只是偷窃手机、盗刷银行卡受害者中的冰山一角。
+ G7 B4 J$ J' O' {0 N7 P
) m" J+ m# Z( l+ c' u目前,全国手机网民接近10亿,丢失手机引发的盗刷现象正在成为新一轮的财产安全隐患。
5 N* i* R6 m" M1 ^+ b& E
3 X- H( N' t B6 w# k ?2019年9月,上海破获全国首起偷窃手机盗刷银行卡大案,从此之后,这种新型犯罪正式浮出水面。
& L* }0 O+ i1 n4 y+ _3 G, k- W7 N1 \, @* a3 Y. Q3 K5 \' J
当时,警方突然接到多起信用卡被盗刷的报案,一查,原来所有受害者手机都曾在四川被偷过。/ s% F; }" M [1 i
5 T& P( }( O" H' o( |' p& x! E
犯罪团伙偷盗手机后首先解锁,再利用SIM卡在携程上找到失主身份证和银行卡信息,然后用身份信息致电运营商更改手机服务密码,取得了手机控制权。
; F3 v5 O0 x' z/ t$ t
3 w2 U; L4 q! k" b2 x等到失主补办手机号后,才发现银行卡被洗劫一空。
8 ?: V4 U7 ^& r9 ]0 p
2 V" \& C, i4 c& `对比“老骆驼”案,真的是一样的手法,一样的配方。
) p3 x. a, [. |! k/ e& O 7 h/ _; H$ Z; i
今年国庆节,广西一名男子手机被盗,半天时间12万不翼而飞。2 @- Q9 {0 t; c! J
3 p' @4 i3 V1 b: ^( w8 Z7 S
犯罪分子用同样方法破解了他的手机密码和支付密码,然后在京东买了25台苹果和华为手机,全部使用极速达。, f7 g$ L% O' o) H4 |2 e
5 G, a) F) [- d4 M7 f8 v当警察赶到收货地址,早已人去楼空。
/ Y& a" I, n- E- E, E8 Y4 ]3 E4 q L! f
有一份统计数据,仅在2020年上半年,就接到1561起手机盗刷举报,人均损失超过10000元。; r, ~% u* w Q4 T& g
, L2 ?4 M, F' J
毫无疑问,在移动支付高度便利的当下,手机在成为财产柜的同时,也成为了犯罪分子最垂涎的肥肉。
$ c" Q/ f* k; i7 ?8 e7 Y8 n, p
$ F. D# {1 @' c# g: e$ m* z3.
1 h: q( ~ }) R! T& d复盘:10亿人的财产安全战争# y; j7 s/ |9 U2 R' M
6 y: P7 w# I" d! |1 A
犯罪团伙的专业手法让人细思恐极。, ^4 l4 B; d" b, T! g
+ u/ K+ T( T- x/ J2 R" e+ X- {回过头,我们来复盘一下他们教科书般的手段:
: @, q, N( B: _, v# Y0 G 8 i, u% o5 E. L1 y' Y; c$ j
首先,一线小偷蹲点,挑选特定人群盗取手机,转交技术专员。
+ q) _* G0 X# N& C# a& t+ B 1 U2 \* l1 O2 R# l5 b
他们选择营业厅下班后,失主无法补卡的空档期电话解挂手机号,这就给团队争取到了一整晚的作案时间。
+ ~3 e( v" V2 e
2 y2 N0 ^' ^/ I4 q& }其次,技术专员负责窃取身份证、银行卡,修改手机厂商密码,解锁失主手机,全面夺取主动权。
2 L- f; w5 }* ]6 O7 C
' X9 E- ?8 M! J; F) q- g$ |4 a- b紧接着,他们进入手机,转走银行卡、微信、支付宝所有余额。
9 J, \( c1 M% ^ f$ d" P& ~ 6 J1 h' y7 T/ v V3 n5 l
最后,如果手机里面没有钱,那就用失主身份注册网贷账号,绑定银行卡。4 \ x$ Z! k0 }, Y$ Z
& K% R! s6 k* \" U8 e2 @* H9 Y. P7 C
成功贷款后,他们或者通过购买虚拟卡币套现,或者直接走手机银行转账。 K# \& i { o
. `! j- f1 g4 ~2 ^, U5 J" u6 F各位发现没有,在这个过程中,犯罪团伙并没有拿枪指着谁,他们全程使用的都是正常业务操作。+ T" y! Y7 C; x
4 s+ X1 A; Q9 O0 E7 C3 f
这说明了什么?
) H: d' ?8 i/ i) b/ n$ V 2 C; y7 t+ [( A' u: R4 J
说明了手机支付、移动支付里面隐藏了巨大的漏洞,比如解锁屏幕、便捷绑卡、验证码登陆等等,这些极其重要的屏障和操作,只要手机一丢,立马全部沦陷。9 W/ }1 Y; {; t" x
& h/ U! G2 X4 V1 N9 u! j这就抛给了规则制定者一个问题:
) U3 k3 F( u( k- d( c& c / v& [( c, x M1 m- m( h" b
在设计移动支付时,到底是安全重要,还是便捷第一位?6 b% o% B" d: n' ?: ~) X
& t6 B# y b/ @- q2 u$ `
对他们来说,这值得反思,再反思。
2 ?& }5 w4 p* ?% O$ D/ C : g5 T3 f# @. y" `' A
那普通人要注意什么呢?3 d9 ~. Z! [+ L
0 ]2 o1 F% I2 h4 u7 N8 `. l第一,手机不仅要设屏保密码,而且还要设SIM卡密码,这样犯罪团伙就没办法把卡拔下来继续用了。
0 {- @' X0 R- ]+ {' P2 Z
+ T/ \& W8 B! ]% m9 {$ d# h第二,手机被盗不要心存幻想——第一时间挂失手机卡。我们开头说过,手机丢了可以再买,但是身份信息泄露,全部家当裸奔。2 n* l8 Z0 I2 p$ [* V
0 v2 O3 N$ L( [9 u( r) j$ n* ^% |第三,手机里面千万不要留身份证和银行卡照片。' }* L/ t) p6 U1 M" J
* i: n# @9 x- N; o第四,平时不用的银行卡尽量注销,冻结银行卡的时候,一定要全部冻结,不给犯罪分子留任何机会。* M e4 t" M- G9 |0 ^
( W: o3 ?* c, m" \, U# S! N最后,希望国家相关部门赶紧完善手机支付的风控监管规则,这涉及到10亿人数以万亿的财产,绝不是开玩笑的!
" [5 K+ o! `% g: h5 o3 \
| |
发表于 2021-1-14 09:00:59
