手机丢失导致个人信息泄漏,以及实现盗取资金的一条龙犯罪,太可怕了

https://mp.weixin.qq.com/s/3UeZzw2LmPsM3cU7Rhmb8w

推荐各位看完,这玩意太可怕了…摘录一下:


最后我们再来总结分析一波:

这条黑产链的全貌如下:

  1. 一线扒手特定时间选定目标:年轻人、移动支付频率高,在对方注意力分散的情况下出手,运营商营业厅下班后,失主没法当晚立即补卡,给团队预留了一晚上的作案时间;
  2. 拿到手机后迅速送到团队窝点,迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改,一下子让受害者陷入被动;
  3. 获取所有银行卡信息,使用技术手段绕过活体人脸识别验证,在各个平台上创建新账号,绑定受害者银行卡
  4. 选好几家风控不严的支付公司,开始申请在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账,将钱转走
  5. 保留新建的支付账号权限, 如果未被发现,后期还可以继续窃取资金

在这一系列过程中,对方有几点还是让我比较服的:

  1. 全程用的都是正常的业务操作,只是把各个机构的“弱验证”的相关业务链接起来,形成巨大的破坏;
  2. 应该是使用了技术手段通过的人脸验证,用图片处理技术来绕过活体人脸识别验证;
  3. 团队分工协作能力太强,在处理过程中我感觉自己已经用了最快的速度,但总还是晚一步。
  4. 注重隐蔽,留好后路,包括删掉我云闪付上的一些卡来防止我查明细,通过新建账号的方式,如果我没发现,贸然去解冻银行卡,后续还有第二波的攻击;包括赶在我补卡后改服务密码前,设置了呼叫转移

本来,我以为设置个 SIM 卡密码就能解决这个问题,然后有朋友就测试了打 10086,只提供了姓名、手机号码、身份证号,客服就提供了 PUK 码…

基本上,罪犯可以利用各个正规机构的正规流程,用你的手机卡,用你的钱…

推荐各位仔细看完文章再来回复。

1 Like

身份证 手机卡 支付 三大件 懂的都懂 老瓶装新酒

1 Like

手机号注册的漏洞确实是这样的。。。记得当年人人网还没倒闭的时候,就看到过类似的事件。。。没想到过了几年产业链都进化到这么成熟了

这么多年过去了,互联网厂商一个身份能注册多个账号的陋习还是没纠正过来

我今天电话咨询了一下中国电信, 的确可以在挂失sim卡后,通过电话解除挂失。

那就没话说了,我之前的写了一堆的反驳,在这个点上被击溃了。

三件套 地位太重要了

黑产必需品…

所以根据三件套来偷手机,基本上这个人就死定了

我ios开了iCloud锁定 然后sim卡设置了pin锁 手机锁屏密码是 英文数字符号的密码。这样有效果吗?

感觉几乎能算防不胜防,就得指望支付机构信誉好能赔付一点。

有人提出说把绑定关键服务的手机 (卡) 放家里,然后靠短信转发之类的方法收验证码。这样似乎有点用,但挺扭曲的 :joy:

个人不牺牲一定的便利性的前提下没办法做到安全,因为不影响厂商机构赚钱的安全问题那不叫问题。比起安全,他们更重视怎么方便用户消费。
比如我一直没开的免密支付。他们盼不得你掏钱的时候快如闪电,不留下一丁点的思考时间(免得你反悔撤销订单)。

短信验证码权重太高了。再强的密码都敌不过"忘记密码"……

1 Like

1、文章里是通过SIM换手机使用得到手机号码,再去发重置密码短信获取身份证,所以你锁了PIN码对方无法获取手机号码,也无法发短信重置社保APP获取身份证,结论就是即使向营业厅提供手机号、身份证能获得PUK,但是你没有手机号、没有身份证无法获取PUK。上文的流程没法继续走下去;
2、身份证等个人信息确实要注意看管好,SIM卡锁PIN码不代表就万事大吉了。

想起来今年春天遇到的一件怪事

有人盗了我的金山账号注册了一个金山旗下网游还往里充了五块钱,好像还用他自己的身份实名认证了…

但问题是我的金山账号除了用过已经删库跑路的金山快盘…里面啥都没有啊……

文章已被作者删除

作者又新写了一篇文章, 解释说有些环节是个人推测, 与事实不符.

由于文章影响很大, 很多公司都主动退还并做了处理.

我之前对作者写的某些环节有怀疑, 写了很多字, 但是由于我核实了电信的确可以远程解锁挂失. 一下子就郁闷了, 删了写的质疑.

不过事件本身的真实性是没问题的. 有些安全隐患的确值得警惕.

1 Like

要我说,这事的源头就是手机验证实名制。怎么就那么喜欢用手机号来注册、验证、找回密码呢?

我还感觉写文章揭发黑产的人至少也是伸手探过浑水的

如果你手机被盗…转发短信不还是会发过来么 绑定服务的手机收到消息后还不能只是简单转发,还得保存到加密云端,然后自己手机再去云端读取这样才能防范 :joy:

解锁挂失 不用本人携带身份证原件去柜面也可以办理的!?!?!?

可否给下新文章地址,看看有没有用户侧的应对方法。

这个用户是没有太多选择的,自从网站一定要手机号后,用户就只能选择用和不用。
比如豆瓣,我用了十多年的邮箱没问题,最近一定要每次登录都通过短信,我要么不登,要么上手机号,没有其他选择。

已经很早之前的事情了. 用户侧应对办法其实很简单:

开启手机pin码就行了.

由于我自己的手机pin码只剩下最后一次错误机会了, 我一直没有开启.

另外这个方法手机每次重启都会要求输入pin码. 如果是搞机用户, 可能会觉得繁琐.