2020-11-24 如何用一张sim卡让你损失几百万?

一、引子:工信部的突发通知

新浪科技发了一条简短的新闻,“工信部于10月12日约谈了涉事电信企业相关负责人,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,在方便用户办理业务的同时强化安全防护,加强客服人员风险防范意识培训,警惕业务异常办理行为……

二、你的钱包给回你,我只要你的sim卡

这条产业链上的人可以算是2020年新一代团伙盗窃犯,他们根本不在乎现金和实物,只在意我们的SIM卡。只要搞到了SIM卡,就可以盗走所有的资产。普通人因为对各种App和平台的风险控制规则不熟悉,即便以最快的速度换掉SIM卡,冻结银行卡、信用卡,也往往赶不上盗窃犯的速度,于是几十万的资金嗖嗖嗖就在30分钟到2个小时的时间内没有了。
由于盗窃犯是利用现有的规则漏洞操作的,也就是说,他的一切动作都是合规的,不摸清所有相关App的金融信息安全系统,就两眼一抹黑,所以这类案件办理难度极高,后续索赔难度极大。很多人中招后,经历长达半年之久的索赔,也只能补回部分资金。

三、黑客(渗透工程师)的妻子的一张sim卡

1.什么是渗透工程师

渗透工程师,就是官方的黑客,被官方专门聘请去找到系统的漏洞:他们的工作就是研究各类安全防控体系,利用系统规则漏洞、木马、后门技术、密码破解技术等一切可用的手段破解系统防护,然后再把这些漏洞写成报告,提交给公司,公司再去优化。国外,他们之前可能是著名的黑客。

2. 营业厅下班后的丢失

晚上7点半,工程师妻子华为手机被偷,回家后发现,立刻给手机打电话,电话接通后,但随后马上关机。然后,机主(老公工程师未高度参与)利用电脑登陆华为手机账号,使用“查找我的手机”功能锁定手机;

晚上9点左右,机主发现“查找我的手机”不能登陆——丈夫意识到,这个不是普通的盗窃犯——他们登陆了他们的华为手机账号!!

3.不只华为的账号,还有你的其他账号

立刻想到的是,这批罪犯可能想利用手机账号漏洞——打10000号挂失,但是在提示“请输入服务密码”时发现,原来的密码已经被人改了。于是,马上按流程报上身份证号和过去联系过的3个电话号码,这才终于挂失成功。

作为渗透工程师的老公,立刻想到最坏的情况。他警惕性很高,马上转移了所有的资金,主要是三部分:一,所有银行卡的活期余额都转到家人卡里;二,支付宝、微信的余额也转到家人卡里;三,所有绑定的信用卡全部解绑,最后再把所有信用卡冻结。

其实,绝大部分人都不会做这些,以为挂失后就安全了。

4.你的手机号挂失可以解挂,而且可以申请其他账号

不出所料,晚上9:50,妻子给失窃的手机打电话,竟然拨通了,不过没人接。按说,手机号挂失后不应该能拨通。妻子就打电话询问10000这是怎么回事,对方回复说,一小时前执行的那次挂失确实成功了,但随后又解除了挂失。

原来,挂失和解挂的操作是一样的,只要知道手机卡的身份证号和三个曾经拨打过的号码就行。而手机就在盗窃犯那里,已经通过华为新账号解开了锁屏,于是通话记录就可以看到了。而他又知道身份证号,所以无论机主如何挂失号码,总会在几分钟后被盗窃犯解除挂失。又因为这个时段营业厅不上班,总是不能拿到一张新的实体SIM卡,于是老SIM卡就总能在盗窃犯手里原地复活。
机主的老公发现对方不好对付,就根据银联云闪付上的记录把所有储蓄卡都冻结了。但谁都难免有些长久不用的、记不起来的卡,所以难免有遗漏。而这些卡,就是在这次事故中最后被盗刷的。

夜里00:30,支付宝提示“在其他设备上已登录”,机主只能继续扩大防御范围,把所有带支付功能的App全部冻结,然后更换这些App绑定的手机号。

但他不知道,盗窃团伙在晚上10:00-12:00这两个小时里已经完成了大部分的操作。他们的方法非常独特,利用盗来的手机号在各个App上注册新用户,然后和他们分析出的那张银行卡绑定。

5.挂失与反挂失的大战

接下来,就是从夜里00:30到第二天05:00,机主几十次的挂失,盗窃犯又几十次的解除挂失。因为次数太多,客服还劝机主说:“你们自己的私事,不要再占用公共资源了”。客服之所以这么说,是因为盗窃犯拨打客服电话时说,他们是男女朋友吵架,女方要冻结男朋友的手机号。
到了05:00,机主发现网上营业厅还有一个功能——关闭短信业务,就抱着试一试的心态执行了关闭。这一点是盗窃犯也没有想到的。因为关闭了短信业务,他们就再也收不到验证码这个关键短信了,于是犯罪行为就停了下来。

6.事故的真相【一晚的凶险】

早上9:00,营业厅一开门,夫妻俩就进去补办了SIM卡,然后清点损失。
结果发现了奇怪的事,除了支付宝绑定的手机号被改过,并且又注册了一个同样身份信息的小号之外,其他账号都没有异常。
但在之后更详细的清点中发现,盗窃犯根本不对机主手机里那些App的账户下手,而是利用身份证和银行卡,在很多个App里另外注册新账户,然后用这些新账户,在花呗、京东白条、美团贷款等一切你知道和不知道的网贷平台申请贷款。有些贷款,批了以后直接转走,更多的是购买虚拟商品、充值卡、游戏装备,然后转走。因为机主夫妻俩防范及时,大平台的网贷只成功了一个。
虽然机主老公的本职是渗透工程师,但还是有好几处疑惑,不知道盗窃犯是怎么绕过去的。比如,华为锁屏密码是怎么绕过去的,美团贷款人脸识别是怎么绕过去来的,遗弃十多年的一张建行卡号是怎么被知道的……
也幸好机主老公是渗透工程师,把证据和线索保留得很完整,支付公司、网贷公司、金融平台都承担了相关的责任,赔偿了损失。
如果是普通人想找回损失,那简直太难了,一是很难封住资金外流的所有通道,二是很难说清到底损失了什么。因为那些消费都是用他们根本不知道的账号操作的,大概率下,只有等贷款逾期后、追债的找上门来,才能意识到和几个月前手机被偷有关。等到那时候再报案,当初的所有细节基本都想不起来了。

7.如何守护网上资产的安全

当这一切极为专业的盗窃操作第一次比较透明的公布出来以后,就出现了我开头给你念的工信部约谈涉事电信企业相关负责人,目的就是要在刚刚几个薄弱点上堵住漏洞。工信部对这个事件的反应这么迅速,确实要点赞。
现在,我来说说哪些方面已经堵上了。
首先是各省的社保官网。它们会陆续把短信找回密码登录后,身份证号、银行卡号全部数位可见改为部分字段可见。这样一来,最关键的三个信息中的两个就减少了被看到的可能性。虽然还有其他渠道可以看到,但起码给盗窃犯增加了困难。其次是电信部门对异常时段,比如夜里2-3点,异常频繁的挂失、解除挂失设置了限制。
这两个机构的改进,会在不久后马上见效。
而还有一些,是见效比较慢的。比如有些网站和App,仅仅使用手机短信验证码就可以登录,还能查看身份信息、银行卡信息;还有一些网贷平台,对注册不到一天的用户就同意借钱。这些短期内不会有改变。因为这类有瑕疵的App实在太多了,具体情况要挨个摸排。在它们没有主动改进意愿的情况下,全都增加多重验证、提高风险评级是比较慢的。
最后,就是我们自己能加强的保护。有一招是绝妙的,答案可私下再交流,或者参考本资料原始出处:得到,卓克科学思维课的11月24日期,这里本文是作为关键的新闻进行向各位朋友提示参考,非本人相关朋友可忽略,本人不想涉及侵权,也请不要赞赏,收到赞赏如无法退回会按得到途径给回卓克。

你可能感兴趣的:(2020-11-24 如何用一张sim卡让你损失几百万?)