近期,有名为“信息安全老骆驼”(以下简称:老骆驼)的网友将手机失窃后的遭遇写成了文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》,引发了广泛关注,并获得了支付宝等机构的回应。
10月12日,老骆驼发布了该文章的修订版,并表示,其个人的损失都已追回。
老骆驼介绍,四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的APP也进行了对应安全升级;支付机构也积极联系了我,探讨如何加强这方面的安全防护。
老骆驼在文章中提出了几条建议:1. 给自己的手机sim卡上个密码,2. 给手机设置屏幕锁,3. 确保手机锁屏状态下来短信无法看到短信验证码内容。
事件的起因是9月4日下午7时30分,老骆驼家人的华为手机被盗, 对方把卡取出来放在其他手机,利用短信验证码从某APP上获取到身份证、银行卡号信息;同时用获取的信息修改了电信服务密码、华为云密码。
在老骆驼拨打四川电信(致电10000号)挂失手机卡后,遭到了手机偷盗方的解挂,通过电信10000号挂失解挂的攻防来回数十次,暴露出四川电信在手机卡挂失流程上的问题。
根据老骆驼的自述,手机偷盗方利用获得的个人信息,在美团、苏宁金融、云闪付等平台,申请贷款,购买虚拟卡充值,对其造成了经济损失。手机偷盗方甚至用被盗的手机号码注册了新的支付宝。
老骆驼认为,手机偷盗方完成这一整套偷盗、申请贷款、转移资金的动作,核心是需要拿到手机主人的身份证信息。
在《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》最初的原文中,老骆驼判断这与某政务机构的产品有关。
在此次修订版的文章中,老骆驼称,文中身份信息泄露来源的APP也进行了对应安全升级。“但这一块也是我目前最担心的,互联网上以手机短信验证码可进行登录并查看身份信息的网站和APP还是比较多。”
老骆驼自述自己长期从事金融行业信息系统的安全漏洞检测。“但经历了这次盗刷事件之后我才发现,相比黑客利用各种高深的技术漏洞攻击金融信息系统,更可怕的是这种把每一项看似没问题的问题组合而成的犯罪,让人防不胜防。也希望今后在工作之余,能有时间把自己在金融信息安全行业的专业知识,用大家都能看得懂的方式写出来,提高大家的安全防范意识。”
以下为:微信公众号信息安全老骆驼10月12日发布的文章《一部手机失窃而揭露的黑色产业链—完整修订版》
“大家好,之前一篇文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》发布后,引起了大家极大的关注,但由于之前事发突然,文章写得仓促,自己的分析也有草率不准确的地方,在公众号后台广大网友也提出各种疑问。为了避免给大家传导错误的信息,这里我将事件情况按我目前分析得到的结论重新整理一下,删掉部分废话和已证实当初推论不正确的内容。同时也希望大家知道,我的这个事件确属个案,事件涉及的机构也已对关键环节做出了有效的调整和应对,在打击金融犯罪方面,相关监管部门也是非常重视,我们也不必过度恐慌。”
文章开始前,先回答广大网友比较关注的几个问题:
1.相比android手机,如果使用的是苹果手机遇到相同的情况,是不是更安全一些?
答:犯罪分子目的是手机卡,当然抹除数据或者刷机后进入原手机也是其避开支付软件风险控制策略的一个手段。但苹果手机如果在可越狱的版本下,也是可以通过隐藏ID的方式刷机后进入再安装APP进行操作。所以“哪种手机更安全”可以忽视,设置sim卡密码才是关键。
2.事件的后续进展?
答:我个人的损失都已追回。四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的APP也进行了对应安全升级;支付机构也积极联系了我,探讨如何加强这方面的安全防护;
3.之前的文章为何删除?
答:原本只是为了分享给小区业主的警示文,但习惯了“技术漏洞分析报告”的风格,很多不必要写的东西写得太细,加上第一篇文章当时很多推测是有误的;由于网上现在一大堆对之前文章的转载,还是希望把事情说清楚更严谨一些,不要给大家造成误会和恐慌,所以重新整理后上线了这篇文章。
