|
來源:TOP互聯(lián)網(wǎng)(hulianwang-top) 現(xiàn)在,手機一丟�,不僅可能傾家蕩產(chǎn),而且還有可能背負一身巨債�����。 對小偷來說�,手機不再是目的,手機里的移動支付才價值連城�����。最近����,一個叫“老駱駝”的信息安全專家手機被偷,揭開了移動支付的巨大漏洞�����! 短短一天����,他的銀行卡、信用卡��、支付寶��、微信支付���、美團支付�����、蘇寧金融……全部遭到破解�����,損失慘重�。 你能想象嗎?盜竊團伙的速度之快�、手法之專業(yè),就連安防專家都被摁在地上摩擦���! 我們趕緊來見識一下犯罪分子登峰造極的作案手法�����。 按理說����,我們手機都有指紋解鎖�,移動支付更是密碼重重,他們是怎樣撬開這一扇扇安全門的呢��? 小偷只是盜竊團伙最基層的一環(huán)��,他們偷到手機后會以迅雷不及掩耳的速度轉移給總部的技術專家���。 第一,竊取手機號碼 這是因為失主一般不會立即掛失手機號���,而是會先打電話給被盜手機����,試圖挽救�����。 盜竊團伙就是利用這個稍縱即逝的空檔��,第一時間把手機卡拔出來插到自己手機上���,隨便打個電話發(fā)個短信�,就竊取到了失主的手機號碼�����。 僅僅拿到手機卡,并不能直接打開移動支付里的錢包����。而且,萬一失主掛失手機號���,豈不是竹籃打水一場空�? 所以�����,失主的身份證信息就成了關鍵的第二步���。 他們打開社保局的APP�,點擊忘記密碼���,選擇短信驗證碼登陸�����,這就打開了失主的電子社??ㄙ~戶。 賬戶里面�����,身份證號碼���、社保金融卡等銀行卡信息一應俱全����。 手機號 身份證信息在手�����,從此一路綠燈�����。 失主“老駱駝”意識到手機被偷后�����,很快就掛失了手機號碼��,并開始了一系列挽救措施��,比如: 把手機銀行里活期余額全部轉出來���,聯(lián)系多家銀行凍結借記卡�、信用卡�����,把支付寶�、微信上的資金轉走,綁定的信用卡全刪掉…… 但是�,很快他就發(fā)現(xiàn)遇到高手了。 當天晚上���,犯罪團伙偷偷把手機號解掛了����。 在我們思維里�,解掛需要本人拿著身份證去營業(yè)廳。 因為犯罪分子拿到手機號與身份證號后��,隨便編個“夫妻吵架”的理由�����,就能解除掛失狀態(tài)���。 這說明犯罪分子在作案前�,已經(jīng)把電信業(yè)務流程摸得一清二楚���。我們上面說過����,有了手機號 身份證信息就能一路綠燈,下一步就是解鎖手機了���。犯罪團伙先打電話給移動運營商客服�,修改服務密碼,然后配合短信驗證碼�,就能把手機廠商的密碼改掉,最后解鎖屏幕���,進入手機�。 第五�����,瞞天過海��,成功套現(xiàn) 打開手機后�,他們就能登陸微信、支付寶�,把失主擠下線。
上面提到過���,失主“老駱駝”是一位工作了十幾年的安防專家����,他第一時間把手機APP里面的錢轉了出去�����,而且還解除了和銀行卡的綁定���。 但是���,道高一尺魔高一丈,犯罪分子早已看穿了一切���。 我們都知道����,一個人可以有兩個支付寶���,犯罪分子正是抓住這一點�,用失主的手機號和身份證注冊了一個新支付寶����。 支付寶要綁定銀行卡或信用卡���,此時失主已經(jīng)凍結銀行卡了,怎么辦�? 我們都有這樣的經(jīng)歷��,早年辦了很多銀行卡���,有的丟了,有的找不到了�,被遺忘的這些卡自然想不到去凍結。 另外���,失主的信用卡綁定了ETC���,如果凍結,高速都上不了���,所以他保留了這張信用卡����。 他們只需要手機號 身份證號碼���,在卡類管家等軟件上一查�����,就能查到失主所有借記卡��、信用卡賬戶�。 他們用漏掉的信用卡綁定新注冊的支付寶,設置一個連失主都不知道的支付密碼���,就能把你的卡刷爆�。 當然����,在“老駱駝”這起案件中,支付寶風控系統(tǒng)自動識別犯罪團伙異常操作��,阻斷了交易���。 但是����,第三方支付可不止支付寶一家,還有京東白條�、美團支付、百度錢包�、蘇寧金融、360借條……幾十家支付機構�����。為了方便拉新���,他們全部推出快速綁卡����,只需一個身份證號 短信驗證碼����,就能輕松綁定你的銀行卡。 銀行卡沒錢沒關系�����,網(wǎng)絡借貸一大堆。 事實上����,犯罪分子就是通過第三方APP綁卡,用失主名義申請貸款����,再通過購買虛擬卡幣和網(wǎng)絡充值成功套現(xiàn)。這意味著即使你把錢轉出來了���,仍然逃不掉從天而降的債務。有個事實大家可能不知道��,“老駱駝”只是偷竊手機�、盜刷銀行卡受害者中的冰山一角。 目前��,全國手機網(wǎng)民接近10億��,丟失手機引發(fā)的盜刷現(xiàn)象正在成為新一輪的財產(chǎn)安全隱患���。 2019年9月���,上海破獲全國首起偷竊手機盜刷銀行卡大案����,從此之后����,這種新型犯罪正式浮出水面。當時�,警方突然接到多起信用卡被盜刷的報案,一查����,原來所有受害者手機都曾在四川被偷過。 犯罪團伙偷盜手機后首先解鎖�,再利用SIM卡在攜程上找到失主身份證和銀行卡信息,然后用身份信息致電運營商更改手機服務密碼�����,取得了手機控制權���。 等到失主補辦手機號后�����,才發(fā)現(xiàn)銀行卡被洗劫一空��。 對比“老駱駝”案�����,真的是一樣的手法�����,一樣的配方�����。 今年國慶節(jié)����,廣西一名男子手機被盜�,半天時間12萬不翼而飛。犯罪分子用同樣方法破解了他的手機密碼和支付密碼���,然后在京東買了25臺蘋果和華為手機���,全部使用極速達。 360有一份統(tǒng)計數(shù)據(jù)����,僅在2020年上半年,360就接到1561起手機盜刷舉報�����,人均損失超過10000元����。 毫無疑問,在移動支付高度便利的當下�,手機在成為財產(chǎn)柜的同時,也成為了犯罪分子最垂涎的肥肉����。復盤:10億人的財產(chǎn)安全戰(zhàn)爭 首先�,一線小偷蹲點,挑選特定人群盜取手機���,轉交技術專員�。 他們選擇營業(yè)廳下班后��,失主無法補卡的空檔期電話解掛手機號�����,這就給團隊爭取到了一整晚的作案時間�����。 其次����,技術專員負責竊取身份證、銀行卡���,修改手機廠商密碼,解鎖失主手機�����,全面奪取主動權。 緊接著����,他們進入手機,轉走銀行卡�����、微信�、支付寶所有余額。最后����,如果手機里面沒有錢,那就用失主身份注冊網(wǎng)貸賬號�,綁定銀行卡。 成功貸款后��,他們或者通過購買虛擬卡幣套現(xiàn)�����,或者直接走手機銀行轉賬�����。 各位發(fā)現(xiàn)沒有,在這個過程中�����,犯罪團伙并沒有拿槍指著誰�,他們全程使用的都是正常業(yè)務操作。
說明了手機支付��、移動支付里面隱藏了巨大的漏洞��,比如解鎖屏幕�、便捷綁卡、驗證碼登陸等等����,這些極其重要的屏障和操作,只要手機一丟����,立馬全部淪陷。這說明了什么�����? 在設計移動支付時���,到底是安全重要����,還是便捷第一位��? 第一�����,手機不僅要設屏保密碼���,而且還要設SIM卡密碼����,這樣犯罪團伙就沒辦法把卡拔下來繼續(xù)用了���。 第二���,手機被盜不要心存幻想——第一時間掛失手機卡�。我們開頭說過��,手機丟了可以再買����,但是身份信息泄露,全部家當裸奔�����。 第三����,手機里面千萬不要留身份證和銀行卡照片。 第四�����,平時不用的銀行卡盡量注銷�,凍結銀行卡的時候,一定要全部凍結,不給犯罪分子留任何機會��。
|
