设为首页收藏本站

     

龙飞电脑工作室|海门论坛

 找回密码
 立即注册
查看: 371|回复: 0

移动支付大漏洞来了:手机一丢,倾家荡产!

[复制链接]
  • TA的每日心情
    擦汗
    2020-10-27 08:33
  • 签到天数: 1 天

    [LV.1]九品 酒贼

    1773

    主题

    1794

    帖子

    1万

    积分

    版主

    撩妹大师

    Rank: 7Rank: 7Rank: 7

    积分
    12300
    发表于 2021-1-14 09:00:59 | 显示全部楼层 |阅读模式
    以前,手机丢了顶多损失一部手机钱;
      u# P1 Y! L! ^! L* Z8 P
    1 ~) U' R6 i( i/ N) j现在,手机一丢,不仅倾家荡产,而且还有可能背负一身巨债。
    & v1 D4 i! k, x! [ # ~1 w$ e5 E+ J
    对小偷来说,手机不再是目的,手机里的移动支付才价值连城。. L5 v1 X# [, ^
    - y0 e2 k( I8 H
    1.! w# |- g. [8 r. V. H+ |" P7 T
    教科书般洗劫存款,丢啥不能丢手机!
    , d* ?; `' Y+ ]
    3 u  f+ y/ A! s4 h+ j3 r$ }最近,一个叫“老骆驼”的信息安全专家手机被偷,揭开了移动支付的巨大漏洞!
    ( n& X3 {; I  D
    0 F; O; u4 \3 I. f( I短短一天,他的银行卡、信用卡、支付宝、微信支付、美团支付、苏宁金融……全部遭到破解,损失惨重。
      g* a: u' j$ I" u9 E$ n( t) L
    ( t6 U8 m* X; @( e! \你能想象吗?盗窃团伙的速度之快、手法之专业,就连安防专家都被摁在地上摩擦!& ]  V: p3 ]3 R' t
    ; `* s# n$ s; }9 }# o
    普通人,那就只能成为砧板上的鱼肉了。- F6 n7 N$ R' M# t* T( G! J
    ; n$ ?* y4 e  k* H: O2 |7 W* @$ i5 o# m
    我们赶紧来见识一下犯罪分子登峰造极的作案手法。1 j% B- f9 h: m; w5 f
    8 f  }: E, I/ A. S' L7 E
    按理说,我们手机都有指纹解锁,移动支付更是密码重重,他们是怎样撬开这一扇扇安全门的呢?( Q( [5 {; Y4 X$ {
    , Q) X- P7 V, |" m  R
    进入正题!
    3 P5 }: g( g3 L, y7 e 9 z# J" _5 z" X. T
    第一,窃取手机号码/ A1 n% S2 j; [4 \  ~; E

    ' c# V8 j! f; [# k小偷只是盗窃团伙最基层的一环,他们偷到手机后会以迅雷不及掩耳的速度转移给总部的技术专家。+ v# _* G2 d) G. u6 F

    6 z+ ^* R5 W- [3 @/ X& n& }1 w# Q这是因为失主一般不会立即挂失手机号,而是会先打电话给被盗手机,试图挽救。/ {: u; I# h: w4 w( z
    ! c! X  i8 j5 i5 s
    盗窃团伙就是利用这个稍纵即逝的空档,第一时间把手机卡拔出来插到自己手机上,随便打个电话发个短信,就窃取到了失主的手机号码。
    4 E! {2 P8 s! M9 R6 l( U% f2 Y  R   n3 `4 A0 m. l
    这是成功的第一步。: Y4 s+ Y  Y& w3 I

    % p- A8 ]+ K) H: i' U第二,套取失主全部身份信息
    0 S5 V) E% N  R" T/ _ 0 K6 p( k8 H6 b
    仅仅拿到手机卡,并不能直接打开移动支付里的钱包。
    4 \$ }, O$ _8 O
    - J+ F' t& k" Y: p* X" l' ~而且,万一失主挂失手机号,岂不是竹篮打水一场空?
    ' k3 B( \7 J- ]/ l! G" l$ s& | 7 Z7 I+ f  T& a1 u
    所以,失主的身份证信息就成了关键的第二步。8 h5 y+ {" Q) ^" S) B! u; r6 [

    7 L4 k7 ?+ `4 N/ R7 u怎么操作呢?& d  O+ y( |; N! I  ?9 B
    : Z% B' Y5 H& W2 C7 Q
    犯罪分子充分证明了他们的专业能力。: ~, J; Z5 i0 l+ p0 {- |: \

    : o2 g: j# B& Q& r他们打开社保局的APP,点击忘记密码,选择短信验证码登陆,这就打开了失主的电子社保卡账户。& b' @1 g' J, ^( ~" m

    % v, C0 q) F( S' Q账户里面,身份证号码、社保金融卡等银行卡信息一应俱全。  }) N: @1 y4 K5 b7 f) Q

    ' S* ~% s' q  j! B手机号+身份证信息在手,从此一路绿灯。
      U4 V6 M4 d) L1 F0 j( G5 M9 l0 q   M- M) ~/ [( c& |/ G
    第三,反挂失
    & ]$ ]4 A. k- w7 B# K
    4 v* g& O) V3 q. D+ u失主“老骆驼”意识到手机被偷后,很快就挂失了手机号码,并开始了一系列挽救措施,比如:
    , }. ^5 z( v: J7 F4 W) B& c
    ! n6 g# W3 x4 C0 R' r把手机银行里活期余额全部转出来,联系多家银行冻结借记卡、信用卡,把支付宝、微信上的资金转走,绑定的信用卡全删掉……# R8 m! a  G; e# `* d

      x1 }, F( m0 {7 w但是,很快他就发现遇到高手了。
    9 B+ f: X8 r9 o- }% t* m8 `$ B
    1 G# J0 t- n2 m当天晚上,犯罪团伙偷偷把手机号解挂了。
    % j$ U' h- u" X  t7 K" M1 O : d* L& a6 L0 J7 o
    在我们思维里,解挂需要本人拿着身份证去营业厅。8 M0 M  ]) T) n4 z/ Z

    * X2 F7 p) Q' e, P3 V  Z事实上,一个电话就能解决。! }) j: i- E# e. `$ X; l

    6 }: Y, h) x6 s% ~因为犯罪分子拿到手机号与身份证号后,随便编个“夫妻吵架”的理由,就能解除挂失状态。
    : ~1 Y; F! H$ a: |3 a) m" S& |
    ( v  s; c$ Y7 c4 x  U" U这说明犯罪分子在作案前,已经把电信业务流程摸得一清二楚。
    , e) G' n0 m( S5 l+ E2 ~2 Y0 n) T( y' {
    第四,解锁手机,登陆微信支付宝
    ' D5 H- c* d* r- o, A  Q6 ? 2 \/ Z& }+ U$ I2 \/ W% J1 V+ \, u
    我们上面说过,有了手机号+身份证信息就能一路绿灯,下一步就是解锁手机了。
    ! R# Q8 L# D$ s. I" t+ G0 H5 N' E. T0 w4 ~1 N
    犯罪团伙先打电话给移动运营商客服,修改服务密码,然后配合短信验证码,就能把手机厂商的密码改掉,最后解锁屏幕,进入手机。8 {: y& N9 o: @9 U$ w3 X

    % |2 _: ^" Z/ M8 H8 }很多人以为的钢铁防线,就这样被轻松突破。0 y( V7 L6 b" R0 M% a

    8 g, ]3 @& E! w打开手机后,他们就能登陆微信、支付宝,把失主挤下线。
    : J9 ~) u1 Q4 l6 G
    & V: {  Y- l& u: c- u第五,瞒天过海,成功套现
    9 w4 u, \- x, }9 J9 ~+ q - @& r% L1 K  @$ U( h! X: H- |: ~. B' n
    上面提到过,失主“老骆驼”是一位工作了十几年的安防专家,他第一时间把手机APP里面的钱转了出去,而且还解除了和银行卡的绑定。- r/ b9 N: e% W/ V5 e$ ?
    9 ~  P- ]# k) F1 |, \3 T
    但是,道高一尺魔高一丈,犯罪分子早已看穿了一切。! Q( P6 }& x: k% ]9 W) u' B

    ; r# m# y) E. Z5 C$ V我们都知道,一个人可以有两个支付宝,犯罪分子正是抓住这一点,用失主的手机号和身份证注册了一个新支付宝。2 u7 q" @4 B$ D% q/ o0 u
    ' l5 c0 @+ k' k7 W
    支付宝要绑定银行卡或信用卡,此时失主已经冻结银行卡了,怎么办?/ U; N( t& w7 ?& Y, }; M

    ! g. |) Z- j( A+ I智者千虑,必有一失。
    & n) \- T5 y, _
    * y6 {% l7 T  O$ F9 s我们都有这样的经历,早年办了很多银行卡,有的丢了,有的找不到了,被遗忘的这些卡自然想不到去冻结。% L: f. C9 `. h- [

    % n. q# u* Y/ `8 ^$ P另外,失主的信用卡绑定了ETC,如果冻结,高速都上不了,所以他保留了这张信用卡。
    % t, |, v/ U& q+ H/ x& e
    * d& B# M, t; Y% {0 W3 b3 Y恰好,这两个漏洞全部被犯罪分子抓到了。
    2 L8 A2 q+ P& V, [1 ^" q4 k
    5 K, q* _0 |. K0 N他们只需要手机号+身份证号码,在卡类管家等软件上一查,就能查到失主所有借记卡、信用卡账户。
    0 y' {3 T6 @5 N4 J0 y % M, |, P+ u( v' k3 `& ]
    他们用漏掉的信用卡绑定新注册的支付宝,设置一个连失主都不知道的支付密码,就能把你的卡刷爆。$ k# X  Z; n4 P# i) n" ~# o0 Z1 R

    6 C" V" F4 I( m当然,在“老骆驼”这起案件中,支付宝风控系统自动识别犯罪团伙异常操作,阻断了交易。7 _! d) ~) \2 }8 I! r- L
    9 A9 g; J- M# D  L
    但是,第三方支付可不止支付宝一家,还有京东白条、美团支付、百度钱包、苏宁金融、360借条……几十家支付机构。9 s" v7 u% x/ n0 C9 b+ s
    : ^5 K; F. I$ @
    为了方便拉新,他们全部推出快速绑卡,只需一个身份证号+短信验证码,就能轻松绑定你的银行卡。$ F0 Z( w4 L+ O

    + Y7 h8 ~# W6 r& q9 L银行卡没钱没关系,网络借贷一大堆。
    & i3 M( A) c4 {5 N. Z
    7 U; W  Q; ~! n7 p* G2 Y# A事实上,犯罪分子就是通过第三方APP绑卡,用失主名义申请贷款,再通过购买虚拟卡币和网络充值成功套现。
    # w: D, h7 g8 t
    ( f1 Y! ?" K# |8 [& e! [" g2 L7 E这意味着即使你把钱转出来了,但仍然逃不掉从天而降的债务。# H! Y$ `8 l5 c$ D

    + K; g: j9 T) j* t- {, x+ w9 t+ j. [
    1 L' S: Z- C/ Y4 M6 \2.7 K% \* T+ u! M1 z' n4 E8 _6 _
    新一轮财产安全隐患来了!
    9 f' c8 j3 G  H0 q
    2 [9 M3 ?  |6 f0 P( b6 B% t有个事实大家可能不知道,“老骆驼”只是偷窃手机、盗刷银行卡受害者中的冰山一角。! v/ B. p3 q2 ^  S7 A
    6 C1 A5 {* R7 P1 r: v) ]# X7 S
    目前,全国手机网民接近10亿,丢失手机引发的盗刷现象正在成为新一轮的财产安全隐患。
    ! ?! k% }* G. r5 r3 X+ K+ i
    ) D" \' z% W6 z# x  w2019年9月,上海破获全国首起偷窃手机盗刷银行卡大案,从此之后,这种新型犯罪正式浮出水面。
    7 B+ m2 k+ _' t" r1 \" d
    - U+ l: E% r! Z: N' l- a4 F7 M当时,警方突然接到多起信用卡被盗刷的报案,一查,原来所有受害者手机都曾在四川被偷过。
    * U" [/ ~5 o& M# ` . o( }" v4 s4 {, @, e# @
    犯罪团伙偷盗手机后首先解锁,再利用SIM卡在携程上找到失主身份证和银行卡信息,然后用身份信息致电运营商更改手机服务密码,取得了手机控制权。( V+ T# o  e1 L- I: F- J
    # I' q6 T! W4 |
    等到失主补办手机号后,才发现银行卡被洗劫一空。
    ' t' T$ S6 x; s" f! n $ ?5 K' R& a/ D. o! o, G/ N/ u3 Q
    对比“老骆驼”案,真的是一样的手法,一样的配方。" s# p2 O' N1 T7 P$ O) Q* E
    % P! r/ e5 _3 e" B/ P
    今年国庆节,广西一名男子手机被盗,半天时间12万不翼而飞。
    ; L% i$ A' d7 v( V* S7 g/ o( J9 i$ W+ |; U# A! E
    犯罪分子用同样方法破解了他的手机密码和支付密码,然后在京东买了25台苹果和华为手机,全部使用极速达。7 a4 j1 \  v( R
    ( J, ^, J& B# |1 f
    当警察赶到收货地址,早已人去楼空。
    . W0 u# ?4 @. w; N& j2 O5 H1 \# `( U9 e8 s; D% U8 Q8 Y
    有一份统计数据,仅在2020年上半年,就接到1561起手机盗刷举报,人均损失超过10000元。
    ' _7 e; h9 y8 i# N2 N + ]( T+ |; F  ?( F% f
    毫无疑问,在移动支付高度便利的当下,手机在成为财产柜的同时,也成为了犯罪分子最垂涎的肥肉。
    + N$ ~0 w3 j; @# ?* }: C) q# i
    2 ^( J& A9 X6 Q! q5 H! z, \# t3.
    2 G$ R6 {2 t* J% W% ?# C8 o复盘:10亿人的财产安全战争5 a0 u* n9 A9 U9 W- ^- v
    " J, c& ?  S1 k& ?3 a! p( h0 n7 f+ P  A
    犯罪团伙的专业手法让人细思恐极。9 e  W/ B7 i6 g

    6 a' d  K- c8 V$ C  ?回过头,我们来复盘一下他们教科书般的手段:
    4 o0 E# L, Z$ ^6 K- `& U + W6 ^* A& T* j  T
    首先,一线小偷蹲点,挑选特定人群盗取手机,转交技术专员。& Z8 g9 {4 h4 e5 X  ]* F

    7 I9 c  D- y0 l- n/ n他们选择营业厅下班后,失主无法补卡的空档期电话解挂手机号,这就给团队争取到了一整晚的作案时间。
    5 R; V( J: x' a% m3 l3 R* b 2 A, ?1 }  ]" u# `6 U2 G
    其次,技术专员负责窃取身份证、银行卡,修改手机厂商密码,解锁失主手机,全面夺取主动权。
    . K  b# X+ l9 t; q$ m8 x- f ! w7 T$ Z' `' q0 h2 a
    紧接着,他们进入手机,转走银行卡、微信、支付宝所有余额。  {( p! N9 p( N% L  t) l9 H3 a/ a

    ( r! m0 P# \* x, ?最后,如果手机里面没有钱,那就用失主身份注册网贷账号,绑定银行卡。/ \3 V% ?+ ~- ^; D1 v$ }( G+ F

    ' U7 }3 l) m+ F# E6 Y* \9 Q成功贷款后,他们或者通过购买虚拟卡币套现,或者直接走手机银行转账。
    ; R0 N, A3 D/ ~1 N* e, s' S , E; h; o# d5 f
    各位发现没有,在这个过程中,犯罪团伙并没有拿枪指着谁,他们全程使用的都是正常业务操作。/ Y+ E/ M  J# {4 B- r) K  G
    5 G: J4 u6 t2 `! j4 O2 ^  W' Q$ W
    这说明了什么?
    * g% j2 p7 V% H2 J9 P0 N. v) F ' K/ z# M; u6 z, P1 i1 l
    说明了手机支付、移动支付里面隐藏了巨大的漏洞,比如解锁屏幕、便捷绑卡、验证码登陆等等,这些极其重要的屏障和操作,只要手机一丢,立马全部沦陷。
    : F' S, p: T0 [# b) F
    0 ~: T: E2 o  s这就抛给了规则制定者一个问题:' ~0 A9 i! f, K6 m( b

    , L" b1 c8 a/ z9 H在设计移动支付时,到底是安全重要,还是便捷第一位?
    1 B4 |( }; v0 A- I0 H 5 L, G/ T! s. {7 ?  J8 f
    对他们来说,这值得反思,再反思。
    4 s) S2 C9 n- k . a: O, f% I/ c$ H, N
    那普通人要注意什么呢?
    3 U0 W' x+ C' c3 t3 I : t& A! e* i0 J) \
    第一,手机不仅要设屏保密码,而且还要设SIM卡密码,这样犯罪团伙就没办法把卡拔下来继续用了。
    ; S' n# t- w8 N9 n5 O
    . _6 P2 _7 m  L3 k" w# z) M第二,手机被盗不要心存幻想——第一时间挂失手机卡。我们开头说过,手机丢了可以再买,但是身份信息泄露,全部家当裸奔。9 O! W- V' V! T7 V6 ?

    " B: h! Q1 H$ B' p1 \+ p第三,手机里面千万不要留身份证和银行卡照片。* Q/ }" K8 v3 n. p  h: H& _
    0 p3 d6 g9 [7 @$ ^" S) \' I
    第四,平时不用的银行卡尽量注销,冻结银行卡的时候,一定要全部冻结,不给犯罪分子留任何机会。
    $ R% j# h9 p! s1 \- P- C 6 p" @7 K1 i" {% J8 n0 f1 ]
    最后,希望国家相关部门赶紧完善手机支付的风控监管规则,这涉及到10亿人数以万亿的财产,绝不是开玩笑的!+ }% ?9 D4 v3 ^

    楼主热帖
    学习撩妹技巧,助你抱得妹子归!关注我:开启你的撩妹之旅!
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    快速回复 返回顶部 返回列表