手机丢失导致个人信息泄漏,以及实现盗取资金的一条龙犯罪,太可怕了

https://mp.weixin.qq.com/s/3UeZzw2LmPsM3cU7Rhmb8w

推荐各位看完,这玩意太可怕了…摘录一下:


最后我们再来总结分析一波:

这条黑产链的全貌如下:

  1. 一线扒手特定时间选定目标:年轻人、移动支付频率高,在对方注意力分散的情况下出手,运营商营业厅下班后,失主没法当晚立即补卡,给团队预留了一晚上的作案时间;
  2. 拿到手机后迅速送到团队窝点,迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改,一下子让受害者陷入被动;
  3. 获取所有银行卡信息,使用技术手段绕过活体人脸识别验证,在各个平台上创建新账号,绑定受害者银行卡
  4. 选好几家风控不严的支付公司,开始申请在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账,将钱转走
  5. 保留新建的支付账号权限, 如果未被发现,后期还可以继续窃取资金

在这一系列过程中,对方有几点还是让我比较服的:

  1. 全程用的都是正常的业务操作,只是把各个机构的“弱验证”的相关业务链接起来,形成巨大的破坏;
  2. 应该是使用了技术手段通过的人脸验证,用图片处理技术来绕过活体人脸识别验证;
  3. 团队分工协作能力太强,在处理过程中我感觉自己已经用了最快的速度,但总还是晚一步。
  4. 注重隐蔽,留好后路,包括删掉我云闪付上的一些卡来防止我查明细,通过新建账号的方式,如果我没发现,贸然去解冻银行卡,后续还有第二波的攻击;包括赶在我补卡后改服务密码前,设置了呼叫转移

本来,我以为设置个 SIM 卡密码就能解决这个问题,然后有朋友就测试了打 10086,只提供了姓名、手机号码、身份证号,客服就提供了 PUK 码…

基本上,罪犯可以利用各个正规机构的正规流程,用你的手机卡,用你的钱…

推荐各位仔细看完文章再来回复。

身份证 手机卡 支付 三大件 懂的都懂 老瓶装新酒

1 Like

手机号注册的漏洞确实是这样的。。。记得当年人人网还没倒闭的时候,就看到过类似的事件。。。没想到过了几年产业链都进化到这么成熟了

这么多年过去了,互联网厂商一个身份能注册多个账号的陋习还是没纠正过来

我今天电话咨询了一下中国电信, 的确可以在挂失sim卡后,通过电话解除挂失。

那就没话说了,我之前的写了一堆的反驳,在这个点上被击溃了。

三件套 地位太重要了

黑产必需品…

所以根据三件套来偷手机,基本上这个人就死定了

我ios开了iCloud锁定 然后sim卡设置了pin锁 手机锁屏密码是 英文数字符号的密码。这样有效果吗?

感觉几乎能算防不胜防,就得指望支付机构信誉好能赔付一点。

有人提出说把绑定关键服务的手机 (卡) 放家里,然后靠短信转发之类的方法收验证码。这样似乎有点用,但挺扭曲的 :joy:

个人不牺牲一定的便利性的前提下没办法做到安全,因为不影响厂商机构赚钱的安全问题那不叫问题。比起安全,他们更重视怎么方便用户消费。
比如我一直没开的免密支付。他们盼不得你掏钱的时候快如闪电,不留下一丁点的思考时间(免得你反悔撤销订单)。

短信验证码权重太高了。再强的密码都敌不过"忘记密码"……

1、文章里是通过SIM换手机使用得到手机号码,再去发重置密码短信获取身份证,所以你锁了PIN码对方无法获取手机号码,也无法发短信重置社保APP获取身份证,结论就是即使向营业厅提供手机号、身份证能获得PUK,但是你没有手机号、没有身份证无法获取PUK。上文的流程没法继续走下去;
2、身份证等个人信息确实要注意看管好,SIM卡锁PIN码不代表就万事大吉了。

想起来今年春天遇到的一件怪事

有人盗了我的金山账号注册了一个金山旗下网游还往里充了五块钱,好像还用他自己的身份实名认证了…

但问题是我的金山账号除了用过已经删库跑路的金山快盘…里面啥都没有啊……

文章已被作者删除

作者又新写了一篇文章, 解释说有些环节是个人推测, 与事实不符.

由于文章影响很大, 很多公司都主动退还并做了处理.

我之前对作者写的某些环节有怀疑, 写了很多字, 但是由于我核实了电信的确可以远程解锁挂失. 一下子就郁闷了, 删了写的质疑.

不过事件本身的真实性是没问题的. 有些安全隐患的确值得警惕.

要我说,这事的源头就是手机验证实名制。怎么就那么喜欢用手机号来注册、验证、找回密码呢?

我感觉现在查个谁的身份证号完全不是问题了,日常生活中没几次是通过可靠的手段提交给足够可信的收集方。

看来把接收短信和安装 APP 的手机分开是刚需了

现在微信上买个东西都需要输入手机号,身份证和姓名…

有些黑产的某个链条就是内部人员.

比如我之前的apple id 资金被人盗充, 就是苹果内部人员干的.

这个事情新闻早就登了 ,我 半年之后看到这个新闻, 才发现并找回的.