支付宝|警察都没听过的黑色产业链:偷手机后盗取全部银行卡、支付宝、微信( 五 )


总结下来就是 , 需要有一个地方 , 通过手机号码和接收到的短信验证码 ,能获取到姓名、身份证号码、以及一张银行卡的卡号
感觉这几天自己都有点病态了 , 遇到这种盗刷的倒霉事 , 不愤怒、不沮丧、不慌乱 , 而是出奇的亢奋 , 几天下来没睡几个小时 , 不停的研究和分析 , 快把对方的运作模式研究出来了 , 把IT男追根刨底的特质发挥的淋漓尽致 。
来 , 继续冷静分析 , 手头能跟犯罪分子行为步骤关联最紧密的就是电信营业厅获取的短信和电话记录了 , 翻出短信记录 , 除了第一条犯罪分子发给自己手机号的记录 , 紧接着就是收到两条12333社保局的短信 。 最开始两天都没注意到 , 以为是老婆公司给缴纳的社保的通知短信 , 但再仔细分析就发现不对劲了 。 一是短信发送时间可疑 , 非工作时间内发送社保缴纳通知是不正常的 , 连发两条也是不正常的 , 那突破点就是它了 , 社保系统里肯定是有身份证信息 。
打开四川省人社厅的网站 , 看到一个四川人社的APP下载二维码 , 下载打开APP的瞬间就明白了 ,“快捷登录”、“短信验证码”、“电子社保卡”   这几个关键字明晃晃的扎我眼 。

发送短信验证码 , 登录进去 。 点开 “电子社保卡” , 发现需要社保密码 , 继续忘记社保密码 , 短信验证码重置社保密码 , 这一切刚好是两条12333的短信验证码 , 随后展示在眼前的内容 , 直接解释了上面三条疑惑 。 身份证信息、证件照片、社保金融卡的银行卡信息 , 有了这些东西 , 干啥都一路畅通了 。
再返回去之前的支付宝绑卡流程 , “无需手动输入卡号 , 快速绑卡” , 几年没用绑卡功能 , 现在都这么高端了 。 选一家银行点进去后 , 该银行下我的所有银行卡列表直接出来了 , 选上信用卡 , 绑卡 。 CVV 、有效期 这些都是浮云 , 人家就一个简单的短信验证码验证 , 这样的话通过支付宝查看你所有银行卡的卡号就简单了 。

最后我们再来总结分析一波:
这条黑产链的全貌如下:

  1. 一线扒手特定时间选定目标:年轻人、移动支付频率高 , 在对方注意力分散的情况下出手 , 运营商营业厅下班后 , 失主没法当晚立即补卡 , 给团队预留了一晚上的作案时间;
  2. 拿到手机后迅速送到团队窝点 , 迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改 , 一下子让受害者陷入被动;
  3. 获取所有银行卡信息 , 使用技术手段绕过活体人脸识别验证 , 在各个平台上创建新账号 , 绑定受害者银行卡
  4. 选好几家风控不严的支付公司 , 开始申请在线贷款 , 贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账 , 将钱转走
  5. 保留新建的支付账号权限 ,如果未被发现 , 后期还可以继续窃取资金
在这一系列过程中 , 对方有几点还是让我比较服的:
  1. 全程用的都是正常的业务操作 , 只是把各个机构的“弱验证”的相关业务链接起来 , 形成巨大的破坏;
  2. 应该是使用了技术手段通过的人脸验证 , 用图片处理技术来绕过活体人脸识别验证;
  3. 团队分工协作能力太强 , 在处理过程中我感觉自己已经用了最快的速度 , 但总还是晚一步 。
  4. 注重隐蔽 , 留好后路 , 包括删掉我云闪付上的一些卡来防止我查明细 , 通过新建账号的方式 , 如果我没发现 , 贸然去解冻银行卡 , 后续还有第二波的攻击;包括赶在我补卡后改服务密码前 , 设置了呼叫转移
分析完犯罪分子 , 再来看下整个过程中参与的机构都有什么“罪” , 实际上这个环节里的每一个点 , 放在对应的业务节点里都不是什么大问题 , 但手机丢失后 , 把所有这些点串起来 , 问题就大了:


推荐阅读