综合整理自:TOP互联网(hulianwang-top)
信息安全老骆驼、东方网
最近,一个叫“老骆驼”的信息安全专家手机丢失,揭开了移动支付的很大漏洞!
短短两天,他的银行卡、信用卡、支付宝、微信支付、美团支付……全部遭受破解,损失惨重。
盗窃团伙的速度之快、手法之专业,就连安防专家都被摁在地上摩擦!普通人,那就没法作为砧板上的鱼肉了。
然而说,现在手机一丢,不仅倾家荡产,而且也有可能背负一身巨债。
我们赶紧来见识一下犯罪分子登峰造极的作案手法。
教科书般洗劫存款,丢啥不能丢手机!
第一,窃取手机号码
小偷偷到手机后,会以迅雷不及掩耳的速度转移给总部的科技专家。
这是由于小偷通常不会立刻挂失手机号,而是会先打电话给被盗手机,试图挽回。盗窃惯犯就是利用这个空档,第一时间把手机卡拔下来插到自己手机上,随便打个电话发个邮件,就窃取到了小偷的电脑号码。
这是顺利的第一步。
第二,套取失主全部身份信息
失主的身份证信息就成了关键的第二步。怎么操作呢?
犯罪分子充分证明了人们的专业素养。他们打开社保局的APP,点击忘记密码,选择邮件验证码登录,这就开启了失主的电子社保卡账户。
账户里面,身份证号码、社保金融卡等银行卡信息一应俱全。手机号+身份证信息在手,从此一路绿灯。
第三,反挂失
失主“老骆驼”意识到手机丢失后,很快就挂失了电脑号码,并起初了一系列挽救措施。但随后他就看到遇到高手了。当天下午,犯罪嫌犯偷偷把手机号解挂了。
在我们认知里,解挂需要本人拿着身份证去营业厅。事实上,一个电话能够解决。
第四,解锁手机,登陆微信支付宝
我们里面讲到,有了手机号+身份证信息能够一路绿灯,下一步就是解锁手机了。
犯罪团伙先打电话给移动运营商客服,修改服务密码,然后配合短信验证码,就能把电脑厂商的密码改掉,最后解锁屏幕,进入电脑。很多人以为的钢铁防线,就这么被轻松突破。
打开手机后,他们能够登陆微信、支付宝,把失主挤下线。
第五,瞒天过海移动手机号服务密码怎么查,成功套现
上面看到过,失主“老骆驼”是一位工作了十几年的安防专家,他第一时间把手机APP上面的钱转了出来,而且还解除了和银行卡的绑定。
然而,道高一尺魔高一丈,犯罪分子已经看穿了一切。
我们都清楚,一个人可以有两个支付宝,犯罪分子正是把握这一点,用失主的手机号和身份证登录了一个新支付宝。支付宝要绑定银行卡或信用卡,此时失主已经冻结银行卡了,怎么办?
智者千虑,必有一失。我们都有这种的历程,早年办了这些银行卡,有的丢了,有的找不到了,被遗忘的这种卡自然想不到去冻结。另外,失主的信用卡绑定了ETC,如果冻结,高速都上不了,所以他保留了这张信用卡。
恰好,这两个漏洞全部被犯罪分子抓到了。他们只应该手机号+身份证号码,在卡类管家等工具上一查,就能查到失主所有借记卡、信用卡帐号。他们用漏掉的信用卡绑定新登录的支付宝,设置一个连失主都不清楚的支付密码,就能把你的卡刷爆。
其实,在“老骆驼”这起案件中,支付宝风控平台自动识别犯罪团伙异常操作,阻断了交易。
然而,第三方支付可不止支付宝一家,还有国美白条、美团支付、百度钱包、苏宁金融、360借条……几十家支付机构。
银行卡没钱没关系,网络借贷一大堆。
事实上,犯罪分子就是借助第三方APP绑卡,用失主名义办理借贷,再借助购买虚拟卡币和网络充值成功套现。
这意味着如果你把钱转回来了,但依然逃不掉从天而降的债务。
新一轮财产安全隐患来了!
“老骆驼”只是抢劫手机、盗刷银行卡受害者中的冰山一角。目前,全国手机网民接近10亿,丢失手机造成的盗刷现象正在变成新一轮的财产安全隐患。
2019年9月,上海破获全国首起抢劫手机盗刷银行卡大案,从此以后,这种新型犯罪正式浮出水面。
跟以前的信用卡盗刷案件不同,本案犯罪技巧的关键用科技方式破解手机及SIM卡,其后借助电脑接收验证码注册,获取受害人留存在OTA(在线旅游代理商)应用工具完整呈现的身份证、银行卡等信息,冒充持卡人重置信用卡密码,进行盗刷,可谓防不胜防。
犯罪分子李某等人交代,他们在抢劫手机后,先破解手机,不顺利就获得SIM卡,插入"工作手机",其后借助电脑内的OTA软件,利用电脑号码和验证码注册后,套取受害人身份人信息,伪装成持卡人拨打银行客服,以获得被害人完整的身份、银行卡等信息,绑定第三方支付软件,实施盗刷。
本身便借助户生活的APP,反而变成了嫌疑人解锁的"帮凶"。嫌疑人控有对方SIM卡后,插入工作机进行使用。再借此手机号为用户名,仅需借助短信验证码的方法,便能在携程、去那里等多个OTA平台,尝试登陆。成功登录后移动手机号服务密码怎么查,只要被害人曾借助一款出行工具订购过火车票、机票,嫌疑人便能通过重新"预定"车票的形式,轻易获得被害人的姓名、身份证号码。
其后,犯罪嫌疑人再借助"恢复大师""51信用卡软件",从受害人手机中获得信用卡信息。"即使你在手机里保存有信用卡的截图,那犯罪分子迅速就能获得你的信用卡信息。"这时,犯罪分子运用身份证信息和卡的信息,冒充持卡人拨打银行信用卡客服,修改密码。
另外,凭借身份证号,嫌疑人还能修改被害人第三方支付软件的登录密码,此时虽未能进行资金结算,但却能借助"已绑银行卡"来认识被害人已在这些银行办理办卡。掌握上述信息后,嫌疑人随后拨通银行客服电话,在线核验身份证号码、银行卡预留注册信息、短信验证码后,便能重置银行APP的登录密码。最后借助输入短信验证码的方法,便能获得此银行卡完整的密码。
握有机主的身份证号、名下银行账号,并控制着电脑号码通讯权利后,嫌疑人便能对移动支付APP的支付密码进行重置。由此,受害人绑定的所有银行卡及零钱,都将被嫌疑人所控制,进而实施盗刷。
360有一份统计数据,仅在2020年上半年,360就接到1561起手机盗刷举报,人均损失达到10000元。
毫无问题,在移动支付高度便捷的现今,手机在作为财产柜的同时,也作为了犯罪分子最垂涎的肥肉。
这说明了哪些?说明了手机支付、移动支付里面暗藏了很大的漏洞,比如解锁屏幕、便捷绑卡、验证码登录等等,这些非常重要的屏障和操作,只要手机一丢,立马全部沦陷。
那普通人要注意哪些呢?
“老骆驼”认为个人能做的最简单最有效的防护机制:
给自己的电脑卡上个密码,给电脑设定个键盘锁。这样电脑丢了也不用怀疑对方拔下卡插其他手机里再次使用。
以华为手机为例:设置-安全-更多安全设置-加密和凭据-修改卡锁,选定手机卡,启用密码(此时使用的为默认密码1234或者0000),再选取修改密码,输入原密码1234,再输入两次新密码,完成sim卡的密码更改。
手机被盗不要心存幻想——第一时间挂失手机卡。我们开头说过,手机丢了可以再买,但是身份信息泄露,全部家当裸奔。
同时,如果有见到和我一样状况的,除了冻结所有银行卡后,还必须把银行卡的预留手机号码全换掉,同时可以借助登陆网银或者电脑银行,用快捷支付管理用途,查看都绑了这些支付公司,然后可以尝试用自己的电脑号码去登陆这些APP,有也许就会有意外收获,万一支付公司不给投保,还能自己追回一点。比如我就在别人注册的苏宁账号上找到还没来得及消费的购物卡。
此外,手机里面千万不要留身份证和银行卡图片,手机里面千万不要留身份证和银行卡图片。手机里面千万不要留身份证和银行卡图片。重要的事情说三遍!
最终,希望国家相关部门赶紧完善手机支付的风控监管规则,这涉及到10亿人数以万亿的财产,绝不是开玩笑的!
-END-
犀牛有深度!扫码先进来!
▲
"],[20,"今天为大家精心挑选的7个公众号,依然在坚持用心写好文、分享有趣有料的内容。很多朋友圈里刷屏的文章,也许都是出自它们。","27:"12""]]" style="-webkit-tap-highlight-color: rgba(0, 0, 0, 0); max-width: 100%; font-family: -apple-system-font, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif; font-weight: 700; white-space: pre-wrap; letter-spacing: 0.544px; line-height: 22.4px; color: rgb(127, 127, 127); font-size: 12px; box-sizing: border-box !important; overflow-wrap: break-word !important;">长按上方二维码识别关注
看对方已撤回的微信消息,后台回复:撤回
矩阵更多精彩文章
点赞↓在看↓越赞越好看!