21世纪经济报道|触目惊心!一部手机丢失后有多可怕?多平台中招,支付宝、银联紧急回应( 七 )


选一家银行点进去后 , 该银行下我的所有银行卡列表直接出来了 , 选上信用卡 , 绑卡 。 CVV 、有效期 这些都是浮云 , 人家就一个简单的短信验证码验证 , 这样的话通过支付宝查看你所有银行卡的卡号就简单了 。
最后我们再来总结分析一波 , 这条黑产链的全貌如下:
1、一线扒手特定时间选定目标:年轻人、移动支付频率高 , 在对方注意力分散的情况下出手 , 运营商营业厅下班后 , 失主没法当晚立即补卡 , 给团队预留了一晚上的作案时间;
2、拿到手机后迅速送到团队窝点 , 迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改 , 一下子让受害者陷入被动;
3、获取所有银行卡信息 , 使用技术手段绕过活体人脸识别验证 , 在各个平台上创建新账号 , 绑定受害者银行卡 。
4、选好几家风控不严的支付公司 , 开始申请在线贷款 , 贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账 , 将钱转走 。
5、保留新建的支付账号权限 ,如果未被发现 , 后期还可以继续窃取资金 。
在这一系列过程中 , 对方有几点还是让我比较服的:
1、全程用的都是正常的业务操作 , 只是把各个机构的“弱验证”的相关业务链接起来 , 形成巨大的破坏;
2、应该是使用了技术手段通过的人脸验证 , 用图片处理技术来绕过活体人脸识别验证;
3、团队分工协作能力太强 , 在处理过程中我感觉自己已经用了最快的速度 , 但总还是晚一步;
4、注重隐蔽 , 留好后路 , 包括删掉我云闪付上的一些卡来防止我查明细 , 通过新建账号的方式 , 如果我没发现 , 贸然去解冻银行卡 , 后续还有第二波的攻击;包括赶在我补卡后改服务密码前 , 设置了呼叫转移 。
分析完犯罪分子 , 再来看下整个过程中参与的机构都有什么“问题” , 实际上这个环节里的每一个点 , 放在对应的业务节点里都不是什么大问题 , 但手机丢失后 , 把所有这些点串起来 , 问题就大了:
1、四川电信:我认为整个过程责任最大的就是它了 , 这挂失、解挂的风骚业务规则简直让我无语 , 既然都挂失了 , 不应该考虑到手机已经不在失主身上了 , 解挂不应该有个时间限制或者要求营业厅办理么?就算前面的过错无视了 , 同一个手机号码在深夜来来回回挂失解挂几十次 , 包括机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪 , 要求停止解挂行为 , 话务员还是拿着业务话术来敷衍客户“对不起 , 我们的挂失解挂有固定的业务流程 , 只要对方能提供服务密码 , 正常就是可以解挂的” 。 我们全家人就这样抱着电话陪犯罪分子熬了一夜 , 到最后还是造成了经济损失 。 对于四川电信 , 后续该投诉投诉 。
2、四川人社:它所起到的作用 , 大家也都看得懂 。 两条短信验证码 , 关键的资料全泄露出去了 , 但我不好说他有什么罪 , 毕竟他们本身也不是金融机构 ,对个人信息的保护要做成什么样也没个标准 。
但这个事情没那么简单 , 把四川人社换成XX人社或者四川XX , 也可能是一样的结果 , 这个黑产链设计的时候身份证号码的获取途径可以是多处的 , 至少我随便在网上下载几个地方社保APP , 都能找到和四川人社一样登录和密码找回使用手机短信验证的 。 ??
3. 华为:其实把华为换成小米 , 结果也是一样 。 我只能说密码找回这个业务的验证太简单了 。
还有就是网上说的用emui 5.0的手机 , 可以远程解锁屏幕锁屏密码 , 这个我没验证过 ,但从我支付宝被挤下线时提示对方使用的手机型号来判断 , 大概率是可以的 。
4. 支付宝:先不说为啥同一个身份信息 , 可以注册两个账号 , 你的快捷绑卡 , 是加快了绑卡的便捷性 ,但考虑过安全性么?当然 , 支付宝的风控是强 , 确实识别到了异常交易 , 也追回了资金 。


推荐阅读