@谨防黑产犯罪利用多个“弱验证”漏洞获取重要个人信息要素
根据当事人描述,其发现手机失窃后,立即采取了挂失手机号、解绑银行卡的紧急措施,但由于黑产团伙掌握了当事人手机号、银行卡号、身份证号等个人信息,依然遭遇了经济损失。
据当事人叙述,其多个互联网金融平台遭遇盗刷或产生了冒用身份贷款、消费等行为,其中黑产利用手机号、身份证号和一张被他们遗漏忘记解绑的银行储蓄卡在美团平台借贷产生了 5000 元贷款,还在一张ETC 信用卡上产生了各种买卡、充值等消费记录上千元。在当事人透露的后续进展中,仅有支付宝和财付通算是风控过关,其中支付宝检测到异常交易,未有资金损失,而财付通损失陆续被系统追回。
这位当事人事后总结称:“黑产全程利用正常的业务操作,只是把各个机构的‘弱验证’连接起来,便形成了巨大破坏。”所谓各个机构的“弱验证”,是指由于手机号码、身份证号码在常规移动互联网业务中的交叉使用,数据泄露的风险很大,很多非金融类的平台可能并未使用金融App级别的安全等级保护措施,从而导致泄露了金融业务用到的部分关键要素信息。多个平台的漏洞串连起来,为黑产团伙提供了多个事主的个人信息要素,最终导致了损失。
比如在本次事件中,黑产团伙通过发送短信给其他手机获取到本机手机号码,然后联系电信改了服务密码。而四川电信的远程挂失和解挂的业务流程设置存在问题,仅凭手机服务密码,就可以解挂。所以在当事人挂失手机号后,黑产又顺利解挂。
随后用手机号码配合短信验证码改了华为密码,把原设备上的账号注销了,解锁了华为锁屏密码,进入了手机。由于未能及时挂失手机卡,导致后续黑产通过四川人社App快速获取到了姓名、手机号码、身份证号、银行卡号失主关键信息。又利用原手机号和关键个人信息注册支付软件新账号,绕过京东、苏宁等平台漏洞完成贷款申请、资金转移,最后导致美团借贷产生5000元贷款,ETC信用卡产生各类买卡、充值等消费记录。
@仅凭SIM卡,个人信息半小时内悉数被盗
实际上,一些商旅出行类App对于用户敏感信息和数据的保护漏洞早就存在,为了提升服务效率、改善用户体验,简化了应该有的保护措施。早在2019年,上海警方破获的一起新型信用卡盗刷案中,就已经出现过这种现象,与本次当事人被盗刷的套路如出一辙。
根据上海警方披露,犯罪团伙窃得手机之后,会在短时间内破解手机解锁码,或者直接利用SIM卡,窥探受害人手机中的个人身份信息,以及银行卡卡号。分为以下三步操作,最快半小时完成,等到失主补办好手机卡号时,发现手机已经遭遇盗刷。
第一步获取身份证信息:通过破解手机密码,或通过盗窃来的手机SIM卡登录商旅出行类软件。这些出行软件中一般都保存着SIM卡主人的常用旅客信息,包含身份证、护照号、手机号等内容。
第二步获取银行卡信息:通过手机恢复软件、信用卡管理软件或是一些未做好银行卡信息遮蔽处理的App等途径,以获取被害人完整的银行卡等信息。
第三步利用上述信息实施盗刷。据警方介绍,嫌疑人团伙成员分工合作,仅需半小时就可以完成上述操作。
SIM卡在某种意义上代表着公民的另一张“身份证”,作为一名从业多年的信息安全专家,当事人建议要设置好手机SIM密码以防万一。
@重要提醒:设置SIM卡密码,手机失窃后第一时间挂失
根据类似事件总结,南都记者梳理了以下注意事项:
日常注意:
1、手机设置屏锁、手机SIM卡设置密码:
手机锁屏状态下对方无法使用短信功能,如果更换手机卡至新手机则需要输入SIM卡密码。要解锁SIM,需要从运营商处获取PUK码,而此过程需要提供身份信息进行验证。未解锁手机的情况下加上SIM卡加锁,对方无法知道你的手机号码,这样断了获取身份信息的路。
2、勿在手机备忘录、相册等容易获取的地方,地方备份存放身份证、银行卡、社保卡账号信息。
手机失窃后,可进行以下步骤:
1、善用查找手机功能
若锁屏密码被破解,失主可以通过定位功能尽可能的找到丢失的手机,并可锁定设备,追踪设备移动轨迹;可以擦除数据,防止个人信息泄露。
2、挂失、冻结SIM卡,冻结手机网银并更改预留手机号
手机被盗后,除冻结所有银行卡以外,还需要把银行卡的预留手机号码全换掉。同时可以通过登陆网银或者手机银行,用快捷支付管理功能,查看绑定了哪些支付公司,尝试用自己的手机号码去登陆。
3、挂失支付宝账户
可拨打95188挂失,解除支付宝绑定;也可借用亲友手机登录支付宝账号,修改密码并通过“安全中心”快速挂失。可以用亲友的手机登录支付宝,点击我的-设置-安全设置-安全中心-挂失账号-立即挂失,即可锁定当前账户,锁定后账户暂时无法使用,没办法进行资金往来,解除挂失前其他人无法进行登录。当登录环境安全时,即可进行解除挂失。
4、冻结微信账户
当发现手机丢失后,尽快在亲友的手机上登录你的微信账号进行挂失。一般可以采取两种方法:方法一:点击我-设置-账号与安全-微信安全中心-冻结账号,开始冻结。这样,你的微信账号就会被冻结,其他任何人既不能冒用你的身份进行诈骗,也不能窃取你的个人隐私。等你换了新手机,可以登录微信账号,通过相同的步骤,在页面中找到“解冻账号”把你的微信账号解冻,恢复正常使用。方法二:登录微信安全中心网页(https://weixin110.qq.com)找到帐号冻结功能,接下来仅需要完成2个步骤即可成功冻结微信。
5、小心后续的网络钓鱼、和电话诈骗
收到有可疑的钓鱼短信不予理会。
二维码