圖 by:石頭朋友圈的趙學弟@清華web
文章來源:信息安全老駱駝,石頭經受權轉載
面試
背景
你們好,以前網上的這篇文章《一部手機失竊而揭露的竊取我的信息實現資金盜取的黑色產業鏈》引發了你們極大的關注,若是你還沒看到過,正好能夠看看這篇,你們必定要引發重視。算法
原做者老駱駝交代因爲以前事發忽然,文章寫得倉促,裏面的分析也有草率不許確的地方,因此原文已經被刪了(早於 10.13 號的各大媒體和公衆號轉載的都不是最新的)。爲了不給你們傳導錯誤的信息,對原文按照目前最新分析獲得的結論從新整理一下,刪掉部分廢話和已證明當初推論不正確的內容。後端
同時老駱駝也但願讓你們知道,這個事件確屬個案,事件涉及的機構也已對關鍵環節作出了有效的調整和應對,在打擊金融犯罪方面,相關監管部門也是很是重視,咱們也沒必要過分恐慌。
安全
01.手機被盜當天(9月4日)
。
02. 手機補卡、清點損失、分析過程(9月5日)
獲取身份信息修改了運營商服務密碼微信
短信驗證碼修改華爲密碼app
經過刷機或者抹掉數據的方式進入手機編輯器
用掌握的身份信息註冊支付平臺新帳號
經過支付平臺使用受害者原帳號申請貸款
經過線上、線下完成消費
附加對這個過程的幾點說明:
獲取身份信息的途徑在9月7日的再次分析後才確認;
目前新版本的華爲,未找到有繞過鎖屏密碼的漏洞,經過後期的分析推測對方更多是經過抹掉數據後進入手機重裝支付APP,由於這樣更快捷。也只有進入原手機,才能繞過支付公司的風控規則作一些其餘的操做。
根據其餘相同遭遇網友的留言,在第五步申請貸款部分,有的是經過花唄,有的是經過白條,只是由於我發現對方支付寶把我擠下線後第一時間凍結支付寶,京東帳號由於實名信息用的我本身的,所以這兩部分沒有遭受損失。
以支付寶爲例,子帳號要開通花唄,能夠經過向主帳號發送申請來開通,因此對方須要登錄我原來的支付寶帳號。
03. 派出所報案,再次分析過程(9月6日)
04. 整個事件分析總結
在這一系列過程當中,犯罪團伙的特色:
全程用的都是正常的業務操做,只是把各個機構的「弱驗證」的相關業務連接起來,造成巨大的破壞;
團隊分工協做,有成熟的做案腳本(後臺網友留言也證明了這一點,而且關鍵環節是有多個備用方案的)。
分析完犯罪團伙,再來看下涉及的各個相關機構的「弱點」環節,實際上任何一家機構在過程當中所涉及的業務,在不關聯在一塊兒的角度上看,都是小問題甚至不算問題:
四川電信:電話掛失和解掛的業務未考慮到手機被盜後身份信息泄露的狀況,(四川電信目前也已經對這一環節進行了調整);
支付機構,每家支付機構都有本身的風險控制策略,部分風控策略對我這種狀況沒有識別並加強驗證;實際上若是犯罪分子是經過抹掉數據或者刷機進入的手機,不管是 android 仍是蘋果手機,相比正常使用的狀況下,手機是有一些特徵能夠定位並應用到風控策略的,檢測到這種異常的狀況下能夠在登陸、密碼重置等關鍵步驟就經過加強的身份驗證,例如關鍵步驟採用人臉識別技術,能夠起到阻斷的效果。
涉及身份信息泄露的移動APP,主要是密碼找回功能對短信驗證碼過分依賴,缺少其餘要素驗證,其次就是涉及金融的敏感信息的保護不足,目前這個問題也已經進行了修復。但這一塊也是我目前最擔憂的,互聯網上以手機短信驗證碼可進行登陸並查看身份信息的網站和APP仍是比較多。
美團貸款這塊,一開始我覺得美團是缺失貸款的人臉驗證,後面上網查其餘網友的經歷,發現貸款申請是有須要人臉識別驗證的狀況。應該是風險檢測這塊檢測到設備指紋是經常使用設備,因此就沒要求人臉驗證吧。(石頭哥友情提醒,網貸有風險,不少宣傳的利率其實很高的,關於真實利率計算能夠看看這篇文章,請保持良好徵信)
華爲手機,密碼找回功能過分依賴短信驗證碼,缺少其餘關鍵驗證信息。
目前遺留未肯定的問題:建行銀行卡卡號對方從何處獲取的?
全部支付公司都綁定了建設銀行的卡,其餘支付公司多是經過快捷綁卡完成的, 但云閃付的快捷綁卡列表上沒有建設銀行,也經過雲閃付了解到對方是直接輸入卡號完成綁卡的。
一開始未注意到「快捷綁卡」這個功能時,一度覺得是建設銀行泄露了個人卡號,但本身測試了客服電話、網銀、手機銀行、微信公衆號,都沒有發如今盜取到手機和身份信息後可直接查看的地方。
後面甚至對建設銀行的快捷綁卡頁面作了技術檢測,發現整個過程沒有使用明文卡號,後臺請求中表明卡號的參數都是加密的。只能說銀行在我的信息保護、風險控制這塊更加的嚴格,雖然動不動不少業務要去櫃面辦理,但直接保證了你的資金安全(個人損失鍋其實不在銀行,走快捷支付時資金安全只能依賴對應的支付公司了)。
給本身的手機sim卡上個密碼
給手機設置屏幕鎖
確保手機鎖屏狀態下來短信沒法看到短信驗證碼內容
經過上面的措施就算手機丟了未能及時發現和掛失也不用擔憂別人拔下卡插其餘手機裏繼續使用。
以華爲手機爲例:設置-安全-更多安全設置-加密和憑據-設置卡鎖,選定手機卡,啓用密碼(此時使用的爲默認密碼1234或者0000),再選擇修改密碼,輸入原密碼1234,再輸入兩次新密碼,完成sim卡的密碼設置。
要注意的是設置了sim密碼後手機重啓或者把卡換到新手機上都須要先輸入sim卡密碼後再輸入鎖屏密碼,若是sim卡密碼輸入錯誤3次,就會要求輸入puk碼才能解鎖,這時別再亂輸,請聯繫運營商或者puk碼進行解鎖,不然10次錯誤後手機卡會失效必須去營業廳換卡。其餘各型號手機的設置方法建議你們直接百度搜索。
案件發生後也有支付機構主動聯繫了我,對過程和細節問題進行了分析和討論,借用風控專家的話:「其實你這個事情是個好事,在這種新型犯罪大量爆發前用較低的代價讓你們都重視和關注起來,各機構採起有效的措施,避免後面形成更大損失後纔去‘救火’的局面」。
第一篇文章發佈後,有可疑號碼打我電話進行囂張的漫罵,只能送大家一句:「法網恢恢,疏而不漏!」
常見問題解答
回答廣大網友比較關注的幾個問題:
1. 相比 Android 手機,若是使用的是蘋果手機遇到相同的狀況,是否是更安全一些?
犯罪分子目的是手機卡,固然抹除數據或者刷機後進入原手機也是其避開支付軟件風險控制策略的一個手段。但蘋果手機若是在可越獄的版本下,也是能夠經過隱藏ID的方式刷機後進入再安裝APP進行操做。因此「哪一種手機更安全」能夠忽視,設置sim卡密碼纔是關鍵。
2. 事件的後續進展?
我我的的損失都已追回。四川電信修改了電話掛失、解掛的業務規則;文中身份信息泄露來源的APP也進行了對應安全升級;支付機構也積極聯繫了我,探討如何增強這方面的安全防禦;
3. 以前的文章爲什麼刪除?
本來只是爲了分享給小區業主的警示文,但習慣了「技術漏洞分析報告」的風格,不少沒必要要寫的東西寫得太細,加上第一篇文章當時不少推測是有誤的;因爲網上如今一大堆對以前文章的轉載,仍是但願把事情說清楚更嚴謹一些,不要給你們形成誤會和恐慌,因此從新整理後上線了這篇文章。
後記
信息安全問題真的不容忽視,文中提到的點,你們趕忙操做起來,無論大家信不信,反正石頭是信了。這篇文章的內容石頭以爲至關重要呀,必定要有安全意識,你們趕忙轉給周圍的親戚朋友吧。
以爲本號分享的文章有價值,記得添加星標哦。周更很累,不要白 piao,須要來點正反饋,安排個 「一鍵三連」(點贊、在看、分享)如何?😝 這將是我持續輸出優質文章的最強動力。
程序猿石頭
程序猿石頭(ID: tangleithu),現任阿里巴巴技術專家,清華學渣,前大疆後端 Leader。用不一樣的視角分享高質量技術文章,以每篇文章都讓人有收穫爲目的,歡迎關注,交流和指導!掃碼回覆關鍵字 「1024」 獲取程序員大廠面試指南。
本文分享自微信公衆號 - 程序猿石頭(tangleithu)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。