[返回信息市场首页]·[所有跟帖]·[ 回复本帖 ]·[分区新闻]·[繁體閱讀]·[坛主管理]

以前,手机丢了顶多损失一部手机钱; 现在,手机一丢,

送交者: nowhere1[♂☆★★✦娱乐人生✦★★☆♂] 于 2020-10-15 17:40  

nowhere1的个人频道

+关注
不仅倾家荡产,而且还有可能背负一身巨债。

对小偷来说,手机不再是目的,手机里的移动支付才价值连城。


1.
教科书般洗劫存款,丢啥不能丢手机!

最近,一个叫“老骆驼”的信息安全专家手机被偷,揭开了移动支付的巨大漏洞!

短短一天,他的银行卡、信用卡、支付宝、微信支付、美团支付、苏宁金融……全部遭到破解,损失惨重。

你能想象吗?盗窃团伙的速度之快、手法之专业,就连安防专家都被摁在地上摩擦!

普通人,那就只能成为砧板上的鱼肉了。

我们赶紧来见识一下犯罪分子登峰造极的作案手法。

按理说,我们手机都有指纹解锁,移动支付更是密码重重,他们是怎样撬开这一扇扇安全门的呢?

进入正题!

第一,窃取手机号码

小偷只是盗窃团伙最基层的一环,他们偷到手机后会以迅雷不及掩耳的速度转移给总部的技术专家。

这是因为失主一般不会立即挂失手机号,而是会先打电话给被盗手机,试图挽救。

盗窃团伙就是利用这个稍纵即逝的空档,第一时间把手机卡拔出来插到自己手机上,随便打个电话发个短信,就窃取到了失主的手机号码。

这是成功的第一步。


第二,套取失主全部身份信息

仅仅拿到手机卡,并不能直接打开移动支付里的钱包。

而且,万一失主挂失手机号,岂不是竹篮打水一场空?

所以,失主的身份证信息就成了关键的第二步。

怎么操作呢?

犯罪分子充分证明了他们的专业能力。

他们打开社保局的APP,点击忘记密码,选择短信验证码登陆,这就打开了失主的电子社保卡账户。

账户里面,身份证号码、社保金融卡等银行卡信息一应俱全。

手机号+身份证信息在手,从此一路绿灯。

第三,反挂失

失主“老骆驼”意识到手机被偷后,很快就挂失了手机号码,并开始了一系列挽救措施,比如:

把手机银行里活期余额全部转出来,联系多家银行冻结借记卡、信用卡,把支付宝、微信上的资金转走,绑定的信用卡全删掉……

但是,很快他就发现遇到高手了。

当天晚上,犯罪团伙偷偷把手机号解挂了。

在我们思维里,解挂需要本人拿着身份证去营业厅。

事实上,一个电话就能解决。

因为犯罪分子拿到手机号与身份证号后,随便编个“夫妻吵架”的理由,就能解除挂失状态。

这说明犯罪分子在作案前,已经把电信业务流程摸得一清二楚。

第四,解锁手机,登陆微信支付宝

我们上面说过,有了手机号+身份证信息就能一路绿灯,下一步就是解锁手机了。

犯罪团伙先打电话给移动运营商客服,修改服务密码,然后配合短信验证码,就能把手机厂商的密码改掉,最后解锁屏幕,进入手机。

很多人以为的钢铁防线,就这样被轻松突破。


打开手机后,他们就能登陆微信、支付宝,把失主挤下线。

第五,瞒天过海,成功套现

上面提到过,失主“老骆驼”是一位工作了十几年的安防专家,他第一时间把手机APP里面的钱转了出去,而且还解除了和银行卡的绑定。

但是,道高一尺魔高一丈,犯罪分子早已看穿了一切。

我们都知道,一个人可以有两个支付宝,犯罪分子正是抓住这一点,用失主的手机号和身份证注册了一个新支付宝。

支付宝要绑定银行卡或信用卡,此时失主已经冻结银行卡了,怎么办?

智者千虑,必有一失。

我们都有这样的经历,早年办了很多银行卡,有的丢了,有的找不到了,被遗忘的这些卡自然想不到去冻结。

另外,失主的信用卡绑定了ETC,如果冻结,高速都上不了,所以他保留了这张信用卡。

恰好,这两个漏洞全部被犯罪分子抓到了。

他们只需要手机号+身份证号码,在卡类管家等软件上一查,就能查到失主所有借记卡、信用卡账户。

他们用漏掉的信用卡绑定新注册的支付宝,设置一个连失主都不知道的支付密码,就能把你的卡刷爆。

当然,在“老骆驼”这起案件中,支付宝风控系统自动识别犯罪团伙异常操作,阻断了交易。

但是,第三方支付可不止支付宝一家,还有京东白条、美团支付、百度钱包、苏宁金融、360借条……几十家支付机构。

为了方便拉新,他们全部推出快速绑卡,只需一个身份证号+短信验证码,就能轻松绑定你的银行卡。

银行卡没钱没关系,网络借贷一大堆。

事实上,犯罪分子就是通过第三方APP绑卡,用失主名义申请贷款,再通过购买虚拟卡币和网络充值成功套现。


这意味着即使你把钱转出来了,但仍然逃不掉从天而降的债务。


2.
新一轮财产安全隐患来了!

有个事实大家可能不知道,“老骆驼”只是偷窃手机、盗刷银行卡受害者中的冰山一角。

目前,全国手机网民接近10亿,丢失手机引发的盗刷现象正在成为新一轮的财产安全隐患。

2019年9月,上海破获全国首起偷窃手机盗刷银行卡大案,从此之后,这种新型犯罪正式浮出水面。


当时,警方突然接到多起信用卡被盗刷的报案,一查,原来所有受害者手机都曾在四川被偷过。

犯罪团伙偷盗手机后首先解锁,再利用SIM卡在携程上找到失主身份证和银行卡信息,然后用身份信息致电运营商更改手机服务密码,取得了手机控制权。

等到失主补办手机号后,才发现银行卡被洗劫一空。

对比“老骆驼”案,真的是一样的手法,一样的配方。

今年国庆节,广西一名男子手机被盗,半天时间12万不翼而飞。

犯罪分子用同样方法破解了他的手机密码和支付密码,然后在京东买了25台苹果和华为手机,全部使用极速达。

当警察赶到收货地址,早已人去楼空。

360有一份统计数据,仅在2020年上半年,360就接到1561起手机盗刷举报,人均损失超过10000元。

毫无疑问,在移动支付高度便利的当下,手机在成为财产柜的同时,也成为了犯罪分子最垂涎的肥肉。

3.
复盘:10亿人的财产安全战争

犯罪团伙的专业手法让人细思恐极。

回过头,我们来复盘一下他们教科书般的手段:

首先,一线小偷蹲点,挑选特定人群盗取手机,转交技术专员。

他们选择营业厅下班后,失主无法补卡的空档期电话解挂手机号,这就给团队争取到了一整晚的作案时间。

其次,技术专员负责窃取身份证、银行卡,修改手机厂商密码,解锁失主手机,全面夺取主动权。

紧接着,他们进入手机,转走银行卡、微信、支付宝所有余额。

最后,如果手机里面没有钱,那就用失主身份注册网贷账号,绑定银行卡。

成功贷款后,他们或者通过购买虚拟卡币套现,或者直接走手机银行转账。

各位发现没有,在这个过程中,犯罪团伙并没有拿枪指着谁,他们全程使用的都是正常业务操作。

这说明了什么?

说明了手机支付、移动支付里面隐藏了巨大的漏洞,比如解锁屏幕、便捷绑卡、验证码登陆等等,这些极其重要的屏障和操作,只要手机一丢,立马全部沦陷。

这就抛给了规则制定者一个问题:

在设计移动支付时,到底是安全重要,还是便捷第一位?

对他们来说,这值得反思,再反思。

那普通人要注意什么呢?

第一,手机不仅要设屏保密码,而且还要设SIM卡密码,这样犯罪团伙就没办法把卡拔下来继续用了。

第二,手机被盗不要心存幻想——第一时间挂失手机卡。我们开头说过,手机丢了可以再买,但是身份信息泄露,全部家当裸奔。

第三,手机里面千万不要留身份证和银行卡照片。

第四,平时不用的银行卡尽量注销,冻结银行卡的时候,一定要全部冻结,不给犯罪分子留任何机会。

最后,希望国家相关部门赶紧完善手机支付的风控监管规则,这涉及到10亿人数以万亿的财产,绝不是开玩笑的!

【参考资料】
信息安全老骆驼:《真实记录:一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》
广西电视台新闻中心:《男子酒后昏睡路边被盗刷12万:小偷买25台手机》
东方网:《全国首起利用被盗手机盗刷信用卡案破获,你的飞猪、携程不安全!》

-----全文到此为止,如
喜欢nowhere1朋友的这个贴子的话, 请点这里投票,“赞”助支持!

信息为网友自主发布,留园网及坛主不对其内容的真实性负责,请自行谨慎判断,审慎交易风险!

所有跟帖:   ( 贴主有权设置个人黑名单,谢绝回复,被多名网友拉黑ID的社区信誉度降可能会下降。 )


用户名: 密码: [--注册ID--]

标 题:

粗体 斜体 下划线 居中 插入图片插入图片 插入Flash插入Flash动画


     图片上传  Youtube代码器  预览辅助



[ 留园条例 ] [ 广告服务 ] [ 联系我们 ] [ 个人帐户 ] [ 创建您的定制新论坛频道 ] [ Contact us ]