为手机男子勇斗黑产 纵有十数年网安经验也被盗刷 败在哪?
近日,成都骆先生(化名)发布的《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》在网络安全圈引起关注。
文章讲述了他与专业黑产分子斗智斗勇的故事,披露了黑产分子利用手机、电话卡等窃取个人信息,盗取银行账户资金、申请网贷并转移资产的手法。
虽然骆先生拥有十数年的网络攻防工作经验,可还是“败下阵来”。他在复盘时感慨:黑产分子全程利用正常的业务操作,只是把各个机构的“弱验证”关联起来,就形成了巨大破坏。
隐私护卫队注意到,某些“正常业务”如短信验证码机制等已多次被黑产分子利用,理应引起全行业的重视。
编辑|石莹
黑产分子反复对手机号“解除挂失”
妻子手机丢失后,骆先生心存侥幸,并未第一时间挂失手机号,而是设置了“找回手机”的上线通知。正是这一操作埋下了隐患。
“找回手机”功能没有提示,手机号却能打通,原来黑产分子将手机卡安装到了其他手机里。
“突然有种不好的感觉,一般的小偷不会这么干。”意识到危险后,文章显示骆先生当即通过电信运营商客服挂失手机号,并采取紧急措施,联系银行冻结信用卡,把支付宝、微信的钱转走等。
而令他想不到的是,没过多久手机号居然被打通了,应该是黑产分子进行了“解除挂失”操作。
隐私护卫队从电信客服处得知,只需提供特定的信息,被挂失的手机号可线上“解除挂失”。且电信客服24小时在线。
“来来回回几十次,看不透对方想干什么。不过既然对方这么执着地解挂手机号,肯定有其迫切的原因。”骆先生在文章中称,他抱着“凡是敌人想要的就坚决不能给”的信念,晚上躺在床上不停拨打丢失的手机号,一打通就立即进行挂失操作。
将短信验证码作为唯一身份认证要素有风险
为什么黑产分子要反复将手机号“解除挂失”呢?
据中国互联网络信息中心于今年4月发布的《中国互联网络发展状况统计报告》显示,截至 2020 年 3 月,我国手机网民规模达 8.97 亿。2019年12月,15-19岁手机网民人均手机App数量最多,达 84 个。其次为20-29岁手机网民群体,人均手机App数量为65 个。
如今,手机已不再是简单的通讯工具,承载了更多的功能,如购物、出行、理财等。其中,手机提供的身份认证功能或许是上述黑产分子最在意的功能。
免密快捷登录、“密码重置”......只需提供一个短信验证码,上述操作便可实现。
此前,有受害者在手机、银行卡均未丢失的情况下,却被黑产人员利用“短信嗅探”技术截获验证码“刷爆”银行卡。
“如果手机号挂失不及时或者平台只采用短信验证码认证身份,肯定存在风险。”芯盾时代研发副总裁王在方强调。
“现在许多企业重度依赖短信验证码,且仅提供这一种验证方式。”小米业务风控专家徐炳镇建议,为避免用户因短信验证码带来损失,企业还应根据风控判断是否需要进行二次验证。
当App出现在其他设备登录、突然在异地登录等情况时,即便有短信验证,也需要结合用户历史使用行为和其它安全信息,进行额外验证,如校验银行的UKey、回答密保问题、邮箱验证等。
保护意识不够:App默认明文展示个人敏感信息
据文章披露,骆先生的妻子最终被黑产分子注册了多个网贷App,完成实名认证,成功贷款并转移资产上千元。
“整个环节的起点,都需要身份证号。”起初,骆先生在文章中表示,他猜测黑产分子通过社工库获取了妻子的身份证信息。但考虑到黑产团队的攻击手法——利用各个机构的正常业务获取有用信息,骆先生认为黑产分子大概率也是通过正常业务获取了妻子的身份证号。
翻看通话和短信记录时,两条某行政单位发来的短信引起骆先生的注意。
“打开此行政单位App的瞬间就明白了。”骆先生在文章中指出,该App的快捷登录方式只需要用户提供手机号和验证码。登录之后,如果选择忘记“电子**卡密码”,再次通过短信验证码验证方式,即可重置密码。如此“电子**卡”便显示出来,包括个人的姓名、身份证号、照片、社保卡绑定的银行卡信息。
类似上述行政App,隐私护卫队发现,某城市统一政务App的登录、“密码找回”方式也只需要一条短信验证码便可完成。此外,登录后无需任何身份验证过程,该政务App便可显示个人的姓名、身份证号、手机号等信息。
这些App除了存在“弱验证”问题,还暴露出“对重要数据保护意识不够”的问题。王在方强调。
小米业务风控专家谢晟廷建议,默认情况下,App中展示的邮箱、银行卡、身份证等敏感信息应打码处理,完全显示前需用户进行二次验证。
整个环境的安全取决于防控最薄弱的企业
其实,类似骆先生遭遇的情况早有先例。
据《东方网》报道,2019年上半年,上海黄浦警方接到某银行信用卡中心报案,称该行有多名用户遭遇信用卡盗刷。有受害者在手机丢失仅两小时后,名下的五张银行卡被刷爆。
经警方调查,这些受害人均系手机在四川成都丢失后被黑产分子盗刷。黑产分子曾伪装成信用卡用户拨打银行客服电话,在报出受害人个人身份信息、预留信息后,重置银行App登录密码实施犯罪。
而之所以能掌握受害者完整的个人信息,黑产分子也是利用了多个App中明文显示的用户信息。
“黑产全程利用正常的业务操作,只是把各个机构的‘弱验证’连接起来,便形成了巨大破坏。”骆先生在文章中总结道,被黑产利用的每个环节放在对应的业务节点里都不是什么大问题,但手机丢失后,把所有环节串起来,问题就大了。
随着移动网络深入人们的日常生活,越来越多的App收集了民众的个人信息。“而一旦一家企业失手,其他企业恐怕也难以幸免。”王在方表示,就整个环境的安全而言,黑产往往会寻找“木桶最短的地方”,也就是安全最薄弱的企业进行攻击。
谢晟廷称,对于一个企业来说,安全建设取决于自身内部业务;但对于整个环境而言,安全取决于防控最薄弱的企业。所以,一个企业在建设安全体系时不仅需要关注自身业务,还要避免成为二次攻击的跳板。
王在方认为,改善全行业的安全环境,不仅需要政府部门制定规章制度,各行业也要自查自审,还可聘请专业机构进行安全评估。