(接上文)
后续进展
9月9日——
在经历了与一个专业黑产团伙的几天对抗之后,新建了这个微信公众号,根据自己搜集整理分析的结果发表了《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文,这篇文章发表后引起的轰动效果,完全超出了我的预期。不想原本只是写给小区业主群的案件记录分析结果一夜间成了网络热文,也答应过网友,事件有了新的进展就汇报给大家。
在今天下午,事件中涉及的几家支付公司都积极联系到我,美团的贷款记录消除了,苏宁金融把我们损失的几千都赔付了。由于美团贷款的记录消除,实际上还导致苏宁金融赔付金融比他造成的损失多了300元,已经联系苏宁金融进行退款。银联云闪付的赔付也已打电话通知取消。对于赔付金额,该还我们的一分都不能少,但多的我们也一分不多要。
发上一篇文章的时候,黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息推论判断出来的,文章的发表也引来了各方注意,提出了个别文章中推论出错的地方。
例如人脸识别的绕过,支付宝在进行业务设计时,对在原手机上创建并登陆的子账号,在实名认证时匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的。
这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此,人脸识别的绕过确实错怪他们了,这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录,推测是为了不触发支付宝的风控规则。至于四川电信,今天也主动联系到我老婆,对那晚的事件进行道歉,也解释了说对方当时跟他们的客服说是男女朋友闹矛盾,只能说犯罪分子很狡猾,但对于四川电信的远程挂失和解挂的业务流程设计,站在安全的角度上考虑,我还是不能认可。中间有个小插曲,我为了调查案发时我的短信详单中一条未知的短信记录,再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司,客服拒绝了我。虽然未能查成,但说实话我反而是高兴的,至少说明对客户信息保密的业务原则还是有效的。
再说下盗取手机进而实现银行卡盗刷这个案件,自从文章发布后,也有几个网友在微信公众号上留言,说自己经历过一模一样的场景,只是受损金额都比较大,最严重的一位有68万的线上贷款,目前还在索赔中。
在网上找类似案例的时候,发现2019年9月有一篇新闻——《凭SIM卡登陆各软件!上海警方披露最新型盗刷手法》,大家有兴趣可以搜一下,看新闻介绍的犯罪手法,基本上和我遇到的这个案件是一致的,只是获取身份信息的途径不一样。
前面也提到,犯罪分子精心设计的这么一套犯罪脚本,在身份信息获取这种比较容易的环节上,一定是会有备用方案的,目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP(如华住、锦江)、商旅订票类(如去哪儿),这些包含身份证信息的APP和网站,对于身份证号码信息的泄露风险并不是说不知道,只是在业务的“用户体验”面前,安全已经不算个问题了,毕竟我这种案件的数量还是不多。以去哪儿为例,在常用旅客列表中,对身份证信息进行了屏蔽显示,但点击进入信息编辑界面时就明文展示了:对敏感数据加个保护的实现技术有难度么?再看看携程的处理方式:我不知道在编辑界面明文展示身份证号码能提升多少百分比的用户使用体验友好度,但安全性的差别就是0%和100%。
今天在朋友圈看到一篇文章《央行科技司司长李伟:金融科技发展应重视个人信息保护》,我的案子刚好与文章里提到的部分内容应景。李司长在9月8日的发布会上提了三块内容:
其中第三部分提到:部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时,一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质,这给金融监管提出新挑战。
回看现在各大支付APP热推的”快捷绑卡”业务,相比之前的银行卡绑定流程,是简单快捷了一些,但金融业务,是越简单快捷越好么?昨天我的文章火了后,很多邻居说忘记了自己在哪家银行开过银行卡,想找出来注销掉,问有什么办法。最后再谈下我上篇文章中提到的让大家设置手机SIM卡密码,主要有几点考虑:
- 未解锁手机的情况下加上SIM卡加锁,对方无法知道你的手机号码,这样断了获取身份信息的路。
当然,这样一个安全闭环里也还是有些风险,例如利用GSM中间人攻击获取到号码,但这类一般人遇不到,对普通民众来说可以不用考虑。第一时间挂失手机卡,这一点还是必要的行动,也希望运营商在我这个案件之后,会作出相应的改变。
俗话说“靠人人跑,靠树树倒”,还是靠自己靠谱些,按现在移动金融业务的发展趋势,将来会面临更加严峻的安全挑战;而且金融业务用到的部分关键要素信息,如手机号码、身份证号码在常规移动互联网业务中的交叉使用,数据泄露的风险将越来越大。虽然部分金融机构都给出了被盗刷后的赔付承诺,案件发生在自己身上后你能否符合赔付的标准条件不好说,耗费大量时间精力在这件事上面,也是很心累的。
此外,上篇文章中我按我自己手机的操作流程步骤作为SIM卡设置密码的例子,后来发现很多网友可能由于手机品牌型号差异导致操作失误而锁住SIM卡,对此给大家造成的不便给大家道个歉,考虑不周啊。大家还是在网上搜索自己的手机对应品牌的SIM卡密码设置然后按照详细教程一步一步操作,如遇到SIM卡密码验证失败后出现PUK码输入要求,可联系运营商获取PUK码。请一定小心谨慎,必要时可到运营商营业厅设置。
自己长期从事金融行业信息系统的安全漏洞检测,也曾多次被自己发现的可直接影响账户资金安全的漏洞而震惊,但经历了这次盗刷事件之后我才发现,相比黑客利用各种高深的技术漏洞攻击金融信息系统,更可怕的是这种把每一项看似没问题的问题组合而成的犯罪,让人防不胜防。也希望今后在工作之余,能有时间把自己在金融信息安全行业的专业知识,用大家都能看得懂的方式写出来,提高大家的安全防范意识。作者简介:
信息安全老骆驼,10多年网络攻防工作经验,多年金融信息安全服务从业经历。理工直男,不擅文字,一直在信息安全行业默默无闻。【链接】刚刚!黄梅地震街景(附视频)黄梅启动应急处置
黄梅中医院院长与周强的故事周强回老家黄梅余德超│故乡情----黄梅掠影
声明:
1、欢迎转发分享。未经本微信公众号后台许可,严禁以任何形式转载,违者必究。
2、广告为腾讯微信公众平台系统自动加入,各位可随意点击。
3、本文仅代表原作者观点,不代表本微信公众号立场。
4、本微信公众号所发表的内容均来自作者投稿、读者荐稿或已公开的网络资源,如若侵犯了您的合法权益(包括但不限于著作权、名誉权),请联系我们修改或删除。
5、本微信公众号已入驻百家号、头条号、企鹅号、搜狐号、网易号、大鱼号等平台,您的原创文章将全网发布。
征稿启事本微信公众号是由一群作家和文学爱好者主办,以发表原创作品为主的公益性平台,长期面向全球征集各类文章、书画、摄影等作品,要求原创首发,不限题材和体裁,文责自负。 投稿时请将文章、配图(如有)、作者简介(可附相片)等在同一封邮件内发送。请勿一稿多投。所有投稿,视作作者独家授权本微信公众号(“黄梅文教”)处理(包括但不限于修改、发表、出版等);如被其他媒体采用,该媒体应给作者相应稿费。编委会将视情况择优结集出书。投稿后,请关注本微信公众号,添加主编微信,以便及时沟通。
【投稿邮箱】1655281212@qq.com
(如无特殊情况,只接受电子邮件投稿。)
【稿酬说明】本微信公众号无任何经费来源,为了鼓励作者,特制定以下规则,聊表心意。
文章发表后24小时以内,读者留言2条及2条以上:阅读数达到500,赞赏金额的70%为作者稿酬;阅读数达到700,赞赏金额的80%为作者稿酬;阅读数达到900,赞赏金额的90%为作者稿酬;阅读数达到2000,赞赏金全额归作者所有;阅读数超过5000,视具体情况另行奖励。请关注本微信公众号,联系小编,以便编委会在每月15日前发放上月稿酬,逾期一周不领取者视为主动放弃。欢迎大家踊跃投稿、荐稿和爆料!