下载了短信和通话详单,开始仔细分析通话和短信记录。回忆从头到尾的细节,逐个分析对方的作案流程,过程太繁琐这里我直接给出分析结果:
获取身份信息修改了运营商服务密码
短信验证码修改华为密码
通过刷机或者抹掉数据的方式进入手机
用掌握的身份信息注册支付平台新账号
通过支付平台使用受害者原账号申请贷款
通过线上、线下完成消费
附加对这个过程的几点说明:
1. 获取身份信息的途径在9月7日的再次分析后才确认;
2.目前新版本的华为,未找到有绕过锁屏密码的漏洞,通过后期的分析推测对方更可能是通过抹掉数据后进入手机重装支付APP,因为这样更快捷。也只有进入原手机,才能绕过支付公司的风控规则做一些其他的操作。
3.根据其他相同遭遇网友的留言,在第五步申请贷款部分,有的是通过花呗,有的是通过白条,只是因为我发现对方支付宝把我挤下线后第一时间冻结支付宝,京东账号因为实名信息用的我自己的,因此这两部分没有遭受损失。
4. 美团贷款这块,一开始我以为美团是缺失贷款的人脸验证,后面上网查其他网友的经历,发现贷款申请是有需要人脸识别验证的情况。应该是风险检测这块检测到设备指纹是常用设备,所以就没要求人脸验证吧。
5.华为手机,密码找回功能过度依赖短信验证码,缺乏其他关键验证信息
目前遗留未确定的问题:建行银行卡卡号对方从何处获取的?
所有支付公司都绑定了建设银行的卡,其他支付公司可能是通过快捷绑卡完成的, 但云闪付的快捷绑卡列表上没有建设银行,也通过云闪付了解到对方是直接输入卡号完成绑卡的。
一开始未注意到“快捷绑卡”这个功能时,一度以为是建设银行泄露了我的卡号,但自己测试了客服电话、网银、手机银行、微信公众号,都没有发现在盗取到手机和身份信息后可直接查看的地方。后面甚至对建设银行的快捷绑卡页面做了技术检测,发现整个过程没有使用明文卡号,后台请求中代表卡号的参数都是加密的。只能说银行在个人信息保护、风险控制这块更加的严格,虽然动不动很多业务要去柜面办理,但直接保证了你的资金安全(我的损失锅其实不在银行,走快捷支付时资金安全只能依赖对应的支付公司了)。
说完他们,最后再来说说自己,心存侥幸未第一时间挂失手机卡、挂失银行卡时没找齐所有卡,这些都给犯罪分子留下了机会。但通过这几天的经历,不管中间情节有多少起伏,我作为一个有10多年信息安全从业经验的老骆驼,都要被折腾成这样,我实在是不想让大家有跟我相同的经历。提几个我个人认为比较简单有效的防护措施:
1. 给自己的手机sim卡上个密码,
2. 给手机设置屏幕锁
3. 确保手机锁屏状态下来短信无法看到短信验证码内容。
通过上面的措施就算手机丢了未能及时发现和挂失也不用担心别人拔下卡插其他手机里继续使用。
以华为手机为例:设置-安全-更多安全设置-加密和凭据-设置卡锁, 选定手机卡,启用密码(此时使用的为默认密码1234或者0000),再选择修改密码,输入原密码1234,再输入两次新密码,完成sim卡的密码设置。要注意的是设置了sim密码后手机重启或者把卡换到新手机上 都需要先输入sim卡密码后再输入锁屏密码,如果sim卡密码输入错误3次,就会要求输入puk码才能解锁,这时别再乱输,请联系运营商或者puk码进行解锁,否则10次错误后手机卡会失效必须去营业厅换卡。其他各型号手机的设置方法建议大家直接百度搜索。
案件发生后也有支付机构主动联系了我,对过程和细节问题进行了分析和讨论,借用风控专家的话:“其实你这个事情是个好事,在这种新型犯罪大量爆发前用较低的代价让大家都重视和关注起来,各机构采取有效的措施,避免后面造成更大损失后才去‘救火’的局面”。
第一篇文章发布后,有可疑号码打我电话进行嚣张的漫骂,只能送你们一句:“法网恢恢,疏而不漏!”
4. 以支付宝为例,子账号要开通花呗,可以通过向主账号发送申请来开通,所以对方需要登陆我原来的支付宝账号。
