分析完犯罪分子,再来看下整个过程中参与的机构都有什么“问题”,实际上这个环节里的每一个点,放在对应的业务节点里都不是什么大问题,但手机丢失后,把所有这些点串起来,问题就大了:

1、四川电信 :我认为整个过程责任最大的就是它了,这挂失、解挂的风骚业务规则简直让我无语,既然都挂失了,不应该考虑到手机已经不在失主身上了,解挂不应该有个时间限制或者要求营业厅办理么?就算前面的过错无视了,同一个手机号码在深夜来来回回挂失解挂几十次,包括机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪,要求停止解挂行为,话务员还是拿着业务话术来敷衍客户“对不起,我们的挂失解挂有固定的业务流程,只要对方能提供服务密码,正常就是可以解挂的”。我们全家人就这样抱着电话陪犯罪分子熬了一夜,到最后还是造成了经济损失。对于四川电信,后续该投诉投诉。

2、四川人社 :它所起到的作用,大家也都看得懂。两条短信验证码,关键的资料全泄露出去了

但我不好说他有什么罪,毕竟他们本身也不是金融机构, 对个人信息的保护要做成什么样也没个标准。

但这个事情没那么简单,把四川人社换成XX人社或者四川XX,也可能是一样的结果,这个黑产链设计的时候身份证号码的获取途径可以是多处的,至少我随便在网上下载几个地方社保APP,都能找到和四川人社一样登录和密码找回使用手机短信验证的。

3. 华为 :其实把华为换成小米,结果也是一样。我只能说密码找回这个业务的验证太简单了,

还有就是网上说的用emui 5.0的手机,可以远程解锁屏幕锁屏密码,这个我没验证过, 但从我支付宝被挤下线时提示对方使用的手机型号来判断,大概率是可以的。

4. 支付宝:先不说为啥同一个身份信息,可以注册两个账号,你的快捷绑卡,是加快了绑卡的便捷性, 但考虑过安全性么?当然,支付宝的风控是强,确实识别到了异常交易,也追回了资金。

实名认证的人脸识别被绕过,也是事实。

5. 美团:你要发展业务,放宽贷款限制,这我不关心,但你能否做好该有的贷款审批风险控制,凌晨4点的贷款行为,这正常么?

6. 苏宁金融:所有参与这个过程的支付机构中态度最恶劣的一家,出现案件,接到用户报案后第一时间想到的是推卸责任。“报案了么?如果警方有需要,我们会做好配合工作!哦你的经济损失啊,那只能你自己承担了”,中间来过两次电话,基本腔调就是这样。同样是支付公司, 支付宝的风控能识别异常盗刷,苏宁金融就一点察觉都没有,一个新注册的账号,凌晨三四点绑卡,然后购买各种虚拟卡、充值话费这些不容易被追查的商品,这不算高风险异常行为么?

7. 银联云闪付: 和其他支付公司一样, 都存在绑卡验证不严的问题。但是,人家态度是好的啊,凌晨3、4点,客服人员都能用极好的态度和我们沟通,让我们放宽心。第二天有专员联系我们,告诉我们昨晚报的损失少报了,他们查出来我们还有其他损失,并给了详细的指引告诉我们怎么去申请理赔,第二天他们内部调查有新的进展也都第一时间联系并告知我们。

8. 财付通:人工客服太难找了,不过风控也还是有效的,这两天在没有通知我们的情况下,陆陆续续追回了几笔交易金额。

9. 京东:不想说了,反正就是“交易已经发生了,损失你自己承担”,但还好就一笔100元的游戏充值卡。

10. 百度:对方刚好操作到它的时候短信功能已经被我关了,对方也只是绑定了银行卡,还没来得及消费,就不用找它理论了。

多数支付机构基本都有一个现象:

  • 允许用不同的手机号码注册相同实名认证的支付账号,

  • 允许两个账号绑定相同的银行卡,


支付机构都在推“快捷绑卡”,是快捷了,点几下鼠标就绑卡了。除了短信验证码,支付宝的快捷绑卡还验证了下支付密码,但好像意义也不大,比如我这种情况,支付账号都是别人用我的信息新建的,支付密码也是他设置的。

说完他们,最后再来说说咱们吧。

通过这几天的经历,不管中间情节有多少起伏,我作为一个有10多年信息安全从业经验的老骆驼,都要被折腾成这样,我实在是不想让大家有跟我相同的经历。提个我认为我们个人能做的最简单最有效的防护措施:

给自己的手机卡上个密码,给手机设置个屏幕锁。这样手机丢了也不用担心别人拔下卡插其他手机里继续使用。

以华为手机为例:设置-安全-更多安全设置-加密和凭据-设置卡锁 , 选定手机卡,启用密码(此时使用的为默认密码1234或者0000),再选择修改密码,输入原密码1234,再输入两次新密码,完成sim卡的密码设置。

同时,如果有遇到和我一样情况的,除了 冻结所有银行卡后,还需要 把银行卡的预留手机号码全换掉,同时可以通过 登陆网银或者手机银行,用快捷支付管理功能,查看都绑了那些支付公司,然后可以 尝试用自己的手机号码去登陆那些APP,有可能还会有意外收获,万一支付公司不给理赔,还能自己追回一点。比如我就在对方注册的苏宁账号上找到还没来得及消费的购物卡。

然后这个事情是不是就这样结束了?也不一定哈,9月5日我们补办完手机卡时我就和我老婆说了,后面这段时间内要小心陌生的电话和短信、微信。对方快吃进嘴的肉被硬扯下去一大块,手里又有你的一些信息,肯定不会甘心的,要小心后续的网络钓鱼、和电话诈骗。这两天她手机就开始收到有可疑的短信了,什么套路也懒得去猜了,反正不理会就是了。

我所经历的这个案件,其实和前两年新闻上报道过的钱包丢失,对方用偷到的身份证去营业厅补了卡,然后导致银行账户损失其实是差不多的,目标都是手机卡。移动互联网的发展给我们的生活带来了巨大的改变,手机的地位也越来越高,希望大家吸取我的这次经验教训,提前做好防范,出事别学我,第一时间挂失手机卡、所有银行卡。

后续进展

9月9日——

在经历了与一个专业黑产团伙的几天对抗之后,新建了这个微信公众号,根据自己搜集整理分析的结果发表了《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文,这篇文章发表后引起的轰动效果,完全超出了我的预期。不想原本只是写给小区业主群的案件记录分析结果一夜间成了网络热文,也答应过网友,事件有了新的进展就汇报给大家。

在今天下午,事件中涉及的几家支付公司都积极联系到我,美团的贷款记录消除了,苏宁金融把我们损失的几千都赔付了。由于美团贷款的记录消除,实际上还导致苏宁金融赔付金融比他造成的损失多了300元,已经联系苏宁金融进行退款。银联云闪付的赔付也已打电话通知取消。对于赔付金额,该还我们的一分都不能少,但多的我们也一分不多要。

发上一篇文章的时候,黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息推论判断出来的,文章的发表也引来了各方注意,提出了个别文章中推论出错的地方。

例如人脸识别的绕过,支付宝在进行业务设计时,对在原手机上创建并登陆的子账号,在实名认证时匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的,

这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此,人脸识别的绕过确实错怪他们了,这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录,推测是为了不触发支付宝的风控规则。

至于四川电信,今天也主动联系到我老婆,对那晚的事件进行道歉,也解释了说对方当时跟他们的客服说是男女朋友闹矛盾,只能说犯罪分子很狡猾,但对于四川电信的远程挂失和解挂的业务流程设计,站在安全的角度上考虑,我还是不能认可。中间有个小插曲,我为了调查案发时我的短信详单中一条未知的短信记录,再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司,客服拒绝了我。虽然未能查成,但说实话我反而是高兴的,至少说明对客户信息保密的业务原则还是有效的。

再说下盗取手机进而实现银行卡盗刷这个案件,自从文章发布后,也有几个网友在微信公众号上留言,说自己经历过一模一样的场景,只是受损金额都比较大,最严重的一位有68万的线上贷款,目前还在索赔中。

在网上找类似案例的时候,发现2019年9月有一篇新闻——《凭SIM卡登陆各软件!上海警方披露最新型盗刷手法》,大家有兴趣可以搜一下,看新闻介绍的犯罪手法,基本上和我遇到的这个案件是一致的,只是获取身份信息的途径不一样。

前面也提到,犯罪分子精心设计的这么一套犯罪脚本,在身份信息获取这种比较容易的环节上,一定是会有备用方案的,目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP(如华住、锦江)、商旅订票类(如去哪儿),这些包含身份证信息的APP和网站,对于身份证号码信息的泄露风险并不是说不知道,只是在业务的“用户体验”面前,安全已经不算个问题了,毕竟我这种案件的数量还是不多。以去哪儿为例,在常用旅客列表中,对身份证信息进行了屏蔽显示,但点击进入信息编辑界面时就明文展示了:

对敏感数据加个保护的实现技术有难度么?再看看携程的处理方式: