{NINGBOCAT}从后面的情况看,如果客服第一时间把问题转给后台技术人员分析,很容易发现是不同的手机在不断切换,如果坏人不是在同一个小区做坏事,极有可能手机的基站信息或是系统版本信息等很多信息会是不一样的。

如果基站信息一个在宁波,一个在福州那明显就一定是有问题了,技术人员可以直接解决。

当然,也可能我想简单了.



5:00:发现才注意到 网厅有关闭短信的业务,想着如果对方是高手,我关闭后也可能对方会立马发现,但也可能对方只是流水线的犯罪脚本操作工人,可以赌一赌,反正对我没损失,对他们还增加开通短信的步骤。

(后面查短信详单时发现,正是关闭短信功能这个操作,中断了他们后续的犯罪行为,不然损失肯定更严重)

熬到9月5日9点:开车送老婆蹲守营业厅开门,9点8分完成补卡,丈母娘来电话说老婆电话打通了,但接电话的是个男的,我回答说可能是营业厅的营业员接的。几分钟后老婆办卡归来,问到刚才丈母娘电话什么情况, 她说没接到电话啊,手机一直在自己手上。看了下确实没有通话记录,手机外拨也是正常的,短信发送接收也正常。继续打10000号,询问手机是否被开通了呼叫转移,得到确认的答复,验证身份证后关闭业务。关闭之前从话务员那边问到被转移的电话号码(准备后续万一要报警就提交过去)

开始收复阵地,检查损失。找回支付宝、微信、云闪付,发现除了支付宝手机号被改了,但由于账户本身冻结状态,就没管了。从云闪付上管理的银行卡里交易记录基本没什么异常,只有一张工商银行卡多了280元(诡异吧),一看是从一个钱袋宝转过来的, 觉得蹊跷下了个APP想用手机号码登录钱袋宝看下:APP异常,登录不上,暂时就没管了。

约了朋友一起峨眉山泡温泉,喝下一瓶乐虎、一瓶红牛、一瓶咖啡,出发去峨眉山,途中继续检查了了下各个支付账户,好像没什么异常。下午到了峨眉山,在温泉池子里休息,恢复体力。准备晚上从电信营业厅查下详单,看对方都干了什么。

晚上查详单前老婆登录支付宝结果习惯性输入手机号码,发现密码错误, 赶紧用手机找回,突然想起自己支付宝账号不是手机号,一看才发现是 对方新建的支付宝账号,还绑定了那张被我们遗忘的建行卡,以及一张建行ETC信用卡(办好etc后就一直在抽屉里吃灰),而且账单里有充值消费记录,以及被支付宝风控阻断后的充值退回记录,这时候才发现这张 原本绑在云闪付上的信用卡被对方从云闪付解绑了,所以我们才没发现异常。

登陆建行网银,发现9月5日4点多时美团转进 5000元的记录,跪了,再看etc信用卡有各种买卡、充值 的记录 几大千,银联转账记录几大千,最坏的情况还是发生了。

下载了短信和通话详单,开始分析通话和短信记录,挨个查询,基本上通话的都是各家银行、银联,短信记录能查的到源号码的也就是 社保局、华为、腾讯、银联、翼支付、微信、支付宝,其他106开头的服务号不知道是哪个机构的,分析没什么结果。

两人开始回忆从头到尾的细节,开始逐个分析,一个资深渗透测试工程师的优势这时候展示体现出来了。

  • 对方第一次上线时已经 把卡拔出来插到其他手机 ,从短信发送记录上看是给一个手机发了条短信, 获取到本机手机号码。

  • 然后 联系电信改了服务密码 ,用手机号码配合短信验证码 改了华为密码 , 把原设备上的账号注销 了 。

  • 然后 解锁了华为锁屏密码 ,进入了手机。

这中间有几个说不通的地方:

1. 修改电信服务密码需要身份证号码

2. 有华为密码从网站上也没有解锁锁屏密码的功能。

第一个我想的是可能从社工库查到了身份证号码,第二个根据百度结果说是华为老版本的emui 账号登录后可以远程锁机,设置一个新密码,然后用新密码解锁屏幕进入手机(这个操作未实际验证) 。

  • 然后对方还 修改了支付宝登录和支付密码、微信密码 ,

  • 中间还 修改了支付宝手机号码 (为什么这么操作到9月7日晚上的分析才知道),

  • 并且 绑定了被我们遗漏的银行卡至支付平台账号上进行消费 。

这里又有说不通的地方:

1、支付绑卡需要银行完整的卡号,如何得到的?一开始以为打银行客服就可以问到,后面试了下是不行的;

但当我查看支付宝的银行卡管理功能时,发现有支付密码的话,可以 用支付宝自带的查看卡号功能获取银行卡完整卡号,太长时间没用这个功能了。

但这样的话就还有个说不通的:

2、支付密码的重置需要的条件(人脸 、短信+安全问题 、短信+银行卡信息、银行卡+安全问题),没照片的情况下,人脸应该不行,我们设置的安全问题基本上不会被猜到,那只有短信加银行卡了

(实际上最后发现,对方 既可以人脸验证,也可以短信加银行卡验证,甚至连支付宝都是自己新建了一个,支付密码也是自己设置的)。

然后剩下的步骤就比较清晰了,

  • 通过绑了卡的美团,申请贷款,放款到建行储蓄卡

  • 再通过支付APP之前的绑卡结果,通过 购买虚拟卡和网络充值消费掉 。

剩下就是苏宁金融的信用卡消费了,还是抱着怀疑的态度,他们如何搞到我的信用卡cvv的,这一点我们是比较肯定的,etc信用卡从申请下来就没离开过抽屉。从银行客服那边能获取到的最多也就是信用卡有效期。

(后面才发现支付公司现在 绑信用卡根本不验证有效日期和CVV,都是简单粗暴的身份信息+卡号+预留手机号码,甚至有些连预留手机号都不用)。

整理完所有的情况后,就准备联系各个支付公司,准备讨要说法了。一圈下来后,得出的结果是:

  1. 银联云闪付态度极好,说第二天会有专人联系 ;

  2. 财付通 联系不上 ;

  3. 美团借贷 态度模糊 ,问他为何只是简单验证了身份证就放款了,只说这种贷款产品很多其他公司也有的,嗯好像很有道理,大家都做的就是正确的。

  4. 苏宁金融未回应。

准备好一些材料,包括通话、短信记录、银行账单,以及其他零散资料,准备赶回去报警。毕竟事情发生在小区门口,而且团伙作案,极有可能还会再犯,把事情整理下发到业主群,让大家小心防范,提醒大家设置好sim卡密码。大家也都被震惊了,但一致对于怎么获取身份证号码、银行卡号表示疑惑。中间手机陆续还收到几条财付通的支付验证码,但登陆自己账号,没发现有绑卡,留着疑惑后面再处理,反正不给验证码也付不出去。

思路理清楚了,已经凌晨4点多了。一早赶紧往成都赶。路上云闪付主动联系我们,让我们报警后提供报案回执单等一些材料提交过去,看样子有可能要赔付。美团也打电话过来了,想推卸责任,但还是让我们提供证据资料提交给他们。

派出所民警听说了我们的遭遇都表示惊奇,说之前从没遇到过这种偷手机的。我应该是第一个来报这种案件的 。老婆进去做笔录,耗时几个小时, 出来后说了里面的情况,警察大叔们都表示“这不可能”、“肯定是你手机里放银行卡信息泄露了”、“你是不是放身份证照片在手机里了”,做完笔录竟然又要我们去打印银行流水,跑了几家建行 都是关门的,只能等第二天再来取报案回执单了。

晚上回去两口子在电脑前继续回想所有细节,把整个过程串一遍,必要时用我的各种APP和账号进行实验,验证自己的分析判断。虽然补了手机卡, 银行卡都冻结了,带支付功能的软件都找回来各种修改密码了,但总觉得哪里就是不对劲。

突然又收到了财付通的支付验证码请求,再关联起前面的几个可疑点,一下子想通了。他用其他支付账号绑了我们的银行卡, 包括之前用手机号登陆苏宁时发现登陆的是别人新创建的苏宁账号、包括支付宝也是新建的,至于他们新建的的账号怎么通过的人脸实名认证,这个留在后面讨论。

说明除了这些APP,肯定还 在其他一大堆APP上用我的信息新建了账号,绑了银行卡、通过了实名认证,并自己设置了支付密码

挨个APP检查, 发现 用我们的手机号码新建了支付宝、苏宁、京东且包含有消费记录,这个操作隐蔽性强,如果我们没发现的话,解冻了银行卡,他们还可以用自己创建的支付账号进行消费。

问题又来了,他们用我的手机号新建的账号 我们可以挨个试出来, 但用其他手机号新建的账号我们猜不到,比如云闪付、财付通、苏宁金融 ,这几个从银行流水里查到有转账消费记录,但我们没找到对应的账号。

再回到上面有疑惑的几个问题上:

  1. 要在支付宝上查看我绑定的银行卡信息或者绑新的卡,需要支付密码而支付密码的重置,需要短信+一张银行卡信息的验证;

  2. 一开始整个环节的起点,都需要我的身份证号码,起初我判断是通过社工库,但这一番操作分析下来,整个黑产团队的手法,基本都是利用的各个银行、支付公司的正常业务流程来处理的,那么身份证的获取大概率也不会采用社工库去查询;

  3. 部分支付APP新建账号后的实名认证,需要活体人脸验证,这个如果可以从手机自拍照或者华为云里之前存过的照片,用技术处理手段处理照片绕过人脸识别(参考2020年的新闻《利用照片伪造动画头像“骗过”支付宝人脸识别,一犯罪团伙薅支付宝“羊毛”超4万元》)

总结下来就是,需要有一个地方,通过手机号码和接收到的短信验证码, 能获取到姓名、身份证号码、以及一张银行卡的卡号。

感觉这几天自己都有点病态了,遇到这种盗刷的倒霉事,不愤怒、不沮丧、不慌乱,而是出奇的亢奋,几天下来没睡几个小时,不停的研究和分析,快把对方的运作模式研究出来了,把IT男追根刨底的特质发挥的淋漓尽致。

来,继续冷静分析,手头能跟犯罪分子行为步骤关联最紧密的就是电信营业厅获取的短信和电话记录了,

翻出短信记录,除了第一条犯罪分子发给自己手机号的记录,紧接着就是收到两条12333社保局的短信。最开始两天都没注意到,以为是老婆公司给缴纳的社保的通知短信,但再仔细分析就发现不对劲了。

一是短信发送时间可疑,非工作时间内发送社保缴纳通知是不正常的,连发两条也是不正常的,那突破点就是它了,社保系统里肯定是有身份证信息。

打开四川省人社厅的网站,看到一个四川人社的APP下载二维码,下载打开APP的瞬间就明白了, “快捷登录”、“短信验证码”、“电子社保卡” 这几个关键字明晃晃的扎我眼。

发送短信验证码,登录进去。点开 “电子社保卡”,发现需要社保密码,继续忘记社保密码,短信验证码重置社保密码,这一切刚好是两条12333的短信验证码,随后展示在眼前的内容,直接解释了上面三条疑惑。

身份证信息、证件照片、社保金融卡的银行卡信息,有了这些东西,干啥都一路畅通了。

再返回去之前的支付宝绑卡流程,“无需手动输入卡号,快速绑卡”,几年没用绑卡功能,现在都这么高端了。

选一家银行点进去后,该银行下我的所有银行卡列表直接出来了,选上信用卡,绑卡。CVV 、有效期 这些都是浮云,人家就一个简单的短信验证码验证,这样的话通过支付宝查看你所有银行卡的卡号就简单了。

最后我们再来总结分析一波,这条黑产链的全貌如下:

  1. 一线扒手特定时间选定目标:年轻人、移动支付频率高,在对方注意力分散的情况下出手,运营商营业厅下班后,失主没法当晚立即补卡,给团队预留了一晚上的作案时间;

  2. 拿到手机后迅速送到团队窝点,迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改,一下子让受害者陷入被动;

  3. 获取所有银行卡信息,使用技术手段绕过活体人脸识别验证,在各个平台上创建新账号,绑定受害者银行卡。

  4. 选好几家风控不严的支付公司,开始申请在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账,将钱转走。

  5. 保留新建的支付账号权限, 如果未被发现,后期还可以继续窃取资金。

在这一系列过程中,对方有几点还是让我比较服的:

  1. 全程用的都是正常的业务操作,只是把各个机构的“弱验证”的相关业务链接起来,形成巨大的破坏;

  2. 应该是使用了技术手段通过的人脸验证,用图片处理技术来绕过活体人脸识别验证;

  3. 团队分工协作能力太强,在处理过程中我感觉自己已经用了最快的速度,但总还是晚一步;

  4. 注重隐蔽,留好后路,包括删掉我云闪付上的一些卡来防止我查明细,通过新建账号的方式,如果我没发现,贸然去解冻银行卡,后续还有第二波的攻击;包括赶在我补卡后改服务密码前,设置了呼叫转移。