一部手机被盗揭露的黑色产业链——全面改版

》大家好，上一篇文章《手机被盗揭露的一条窃取个人信息实现资金窃取的黑色产业链》发布后，引起了大家的高度关注，但由于上一篇事件的突然性，文章写的仓促，自己的分析也仓促不准确，很多公众号后台的网友也提出了各种问题，为了避免给大家传递错误的信息，这里我把事件重新梳理一下情况根据我目前分析得到的结论，删除一些废话和已被证实不正确的内容。同时也希望大家知道，我的事件确实是个案，涉及的机构对事件中的关键环节也做出了有效的调整和应对，在打击金融犯罪方面，相关监管部门也高度重视它很重要，我们不必过度恐慌。”

在文章开始之前，先回答一下广大网友比较关心的几个问题：

1、和安卓手机相比，如果你用苹果手机遇到同样的情况，是不是更安全？

答：不法分子的目的是手机卡。 当然，刷机后擦除数据或访问原手机也是他们规避支付软件风控策略的一种手段。 不过如果苹果手机是可以越狱的版本，也可以通过隐藏ID刷机然后安装APP的方式操作。 所以，“哪款手机更安全”可以忽略，设置SIM卡密码才是关键。

2、事件的后续进展？

A：我的个人损失已经全部追回。 四川电信修订电话挂失解锁业务规则； 文中身份信息泄露源头APP也进行了相应的安全升级； 支付机构也主动联系我，商讨如何加强这方面的安全防护；

3、为什么之前的文章被删了？

A：本来只是一个警告，分享给社区站长，但是习惯了“技术漏洞分析报告”的风格，很多没必要的东西写的太详细了，第一篇的很多推测都是错误的当时; 由于之前的文章网上转载很多，还是希望把事情讲得严谨一些，以免给大家造成误解和恐慌，所以重新整理推出了这篇文章。

01

—

手机被盗那天（9月4日）

19时30分，手机在小区门口水果店被盗。 家属拨了一次手机就接通了对方，随即立即关机。 侥幸的是，我只是用了“找我手机”中的锁定设备功能，想着能不能通过手机的位置找到手机，并没有马上挂失（如果挂失的话电话卡当时就挂了，以后就不会了）。

20:51 对方取出卡放在另一部手机上，通过短信验证码从某APP获取身份证和银行卡号信息； 同时，他利用获取的信息修改了电信服务和华为云的密码。 （后来通过分析短信详情才知道的）

21:24 家人发现被盗手机可以拨打，随后手机收到成华区手机上线通知，但手机关联的华为账号很快被注销。 现在看这一步，对方应该是华为账号。 数据擦除功能，用华为账号重新登录手机并解绑。 意识到对方不是普通的手机窃贼，我立即拨打10000号手机卡挂失，但此时电信业务密码错误。 我通过验证身份证号码并提供了我上个月联系的三个电话号码挂失。 开始采取应急措施，手机银行转活期余额，联系多家银行冻结信用卡，支付宝和微信转账，删除所有绑定的信用卡。

21时48分，家属称电话还能接通，再次拨打10000电话询问为何不挂失，对方回复卡正常，要求继续挂失。挂失。

21:55 越想越觉得不对劲。 第一次挂失后，打电话确认打不通。 然后打了10000的电话，问之前挂失失败的原因是什么。 收到回复说第一次挂失成功，后来又取消了。 我真的没想到这一点。 挂失后，您仍可通过服务密码或身份信息、通话记录进行理赔。 （现四川电信对此业务流程进行了调整）

根据银联云闪付上的卡绑定信息，继续打电话给银行，一张一张冻结储蓄卡。 由于ETC信用卡没有绑定APP，我有把握相信微信etc解绑了怎么重新绑定，如果没有信用卡的CVV等信息，对方是无法盗卡的。 如果你在高速公路上旅行，你不关心它。 有两张银行卡因办理时间较早遗失而遗漏。 （后面的骗刷基本都集中在这几张卡上，反面教材警告）

0时23分，发现支付宝被推送下线，登录设备与丢失手机同型​​号。 我方立即申请冻结支付宝和微信，随后登录京东、苏宁、国美等常用APP更改关联手机号。 过了一会儿，手机收到一条京东的短信验证码，感觉接下来的几个app应该都省了（小蜜信心满满，结果还是被打脸了）。 其实后来查看短信详情发现，手机卡从22:00开始就一直在接收来自支付宝、微信等支付APP和各家银行的短信。 这里猜测一下对方是在哪个时间段在各个平台上注册的新账号。

第二天晚上，我挂失，对方取消挂失。 我在10000号上来回了几十次（对方有手机卡和服务密码，目前四川电信已经调整了业务微信etc解绑了怎么重新绑定，不再支持这样的多次。来回掉话，不挂机）。

5:00左右发现互联网大厅有禁用短信的服务，于是尝试禁用短信功能。 （后来查看短信详情时，发现是关闭短信功能的操作打断了他们后续的犯罪行为，否则损失会更严重，庆幸对方没有注意到我的手术）

02

—

手机补卡、库存损耗、分析过程（9月5日）

9:00，电信营业厅开门营业。 9点08分，换卡完成，却发现换手机卡已经办理了呼叫转移。 目前尚不清楚对方此次行动的目的是什么。 号码10000关闭呼叫转移。

我开始清点损失，调取各个支付平台的账户，发现除了支付宝手机号被换了，没有其他异常记录。

22:00，我还在担心。 当晚再次查看时，无意中发现对方用盗用的手机号新建了支付宝，还绑定了我们忘记的建行卡，一张ETC信用卡（这张卡已经激活了。其他地方没用过），账单里面有充值消费记录，还有支付宝的充值返还记录。 登录建行网银发现，9月5日凌晨4点，美团转账记录为5000元。 然后看了ETC信用卡，各种刷卡充值记录，银联转账记录。 起初，我担心被申请贷款。 心里虽然这么想，但还是没法阻止。

下载了短信和通话明细，开始仔细分析通话和短信记录。 从头到尾回忆细节，一一分析对方的作案过程。 过程太繁琐。 这里我直接给出分析结果：

获取身份信息和修改运营商服务密码

修改华为密码的短信验证码

通过刷机或擦除数据访问手机

使用您已有的身份信息在支付平台注册新账户

使用受害人原账户通过支付平台申请贷款

线上线下完成消费

关于此过程的一些附加说明：

1. 9月7日重新分析确认身份信息获取方式；

2、目前华为新版本还没有发现绕过锁屏密码的漏洞。 通过后期分析，推测对方更有可能是抹掉数据后进入手机重新安装支付APP，因为速度更快。 只有输入原手机才能绕过支付公司的风控规则，进行其他操作。

3.根据其他遇到同样情况的网友的评论，贷款申请的第五步，有的是通过花呗，有的是通过IOU，就是因为我发现对方的支付宝把我推下线了并立即冻结了支付宝。 京东账号因为实名信息我用的是自己的，所以两部分都没有吃亏。

4、以支付宝为例，如果子账号需要开通花呗，可以通过向主账号发送申请的方式开通，所以对方需要登录我原来的支付宝账号。

整理完所有的资料，时间已经是凌晨两三点了。 虽然已经很晚了，但我还是试着给支付机构打电话，告知他们被骗了。 银联云闪付客服态度很好，向他们反映了损失金额，并告诉我们第二天会有专人联系我们处理后续事宜。 准备一些材料，包括电话、短信记录、银行对账单等零散的材料。 因为当天离开成都，第二天就得赶回来报警。

03

—

派出所报告，再分析过程（9月6日）

8:00 一大早，赶往成都。 在路上，云闪付主动联系我们，告诉我们昨晚提交的挂失报告很短，要求我们提供报案回执等材料，报警后提交。 派出所的民警听了我们的经历后很惊讶，说从来没有遇到过这种人偷手机。 根据以往常规案例的经验，他们怀疑是不是我们泄露证件照之类的造成的。 我应该是第一个来这个派出所报案的。 派出所民警的反应其实是可以理解的。 我的一些家人也在警队工作，我从未听说过类似的案例。

晚上在电脑前继续思考所有的细节，贯穿整个过程，必要时用自己的APP和账号进行实验，验证自己的分析判断。 虽然充了手机卡，冻结了银行卡，找了有支付功能的软件改了密码，但总觉得哪里不对。 突然收到了财付通的支付验证码请求，结合之前的可疑点，可以肯定的是我的银行卡绑定了其他支付账户。 由于对方是用支付宝创建的小账户，所以大概率还有其他平台。 一个一个查看APP，发现支付宝、苏宁、京东都是用我们的手机号创建的，里面有消费记录。 一些小消费。 但也有用自己的手机号+我的身份信息创建的账号，比如微信。 只能收到支付短信，无法登录对方账户解绑银行卡。 后面分别登录银行的网银和手机银行，在快捷支付菜单中勾选关闭。

再次分析时发现，对方要想顺利进行这一系列操作，需要获取手机机主的身份证信息，通过分析短信接收记录成功定位到对方的获取方式。 （目前已修复相应问题，此处不再赘述）

.

04

—

整个事件分析总结

在这一系列过程中，犯罪团伙具有以下特点：

1、全程使用正常业务操作，但各机构“弱验证”相关业务串连在一起，造成巨大损失；

2、团队分工协作，犯罪剧本成熟（这一点也得到了后台网友评论的印证，关键环节有多个备份方案）。

分析完犯罪团伙，再来看看涉事相关机构的“软肋”。 事实上，任何一个机构流程中涉及的业务，从无关的角度来看都是小问题，甚至不是问题。 :

1、四川电信：手机挂失不挂失业务不考虑手机被盗后身份信息泄露（四川电信也对这个环节进行了调整）；

2.每个支付机构，每个支付机构都有自己的风控策略，部分风控策略没有识别并加强对本人情况的验证； 事实上，如果不法分子通过擦除数据或刷机的方式进入手机，无论是安卓手机还是苹果手机，与正常使用相比，手机都有一些可以定位并应用于风控策略的特征. 身份验证，比如在关键步骤使用人脸识别技术，可以起到阻断作用。

3、涉及身份信息泄露的手机APP，主要原因是密码找回功能过于依赖短信验证码，缺乏其他验证要素，其次是金融敏感信息保护不够。 这个问题也已经修复。 但这也是我目前最担心的。 网上还有很多网站和APP可以通过短信验证码登录查看身份信息。

4.关于美团贷款，一开始我以为美团贷款没有刷脸。 后来上网查了其他网友的经验，发现贷款申请需要人脸识别验证。 应该是风险检测检测到的设备指纹是普通设备，不需要人脸验证。

5、华为手机密码找回功能过于依赖短信验证码，缺乏其他关键验证信息

未决问题：交易对方从哪里获得建行银行卡号？

所有的支付公司都绑定了建行卡，其他支付公司可能是通过快捷卡绑定的，但是银联的快捷卡绑定列表里没有建行，通过银联也知道对方是直接入卡的number 卡片绑定完成。

一开始没注意到“快捷绑定卡”功能的时候，还以为我的卡号被建行泄露了，结果测试了客服电话、网银、手机银行、微信公众号，发现我的电话和手机都被偷了。 身份信息后可以直接查看的地方。 后来，我什至在建行的快捷卡绑定页面做了技术检查，发现整个过程都没有使用明文卡号，后台请求中代表卡号的参数都是加密的。 只能说银行在个人信息保护和风险控制方面更加严格。 虽然很多业务要到柜台办理，但直接保证了你的资金安全（我的损失其实不在银行，快速支付资金安全，只能靠相应的支付公司）。

说完他们，最后说说我自己。 幸好没有第一时间挂失手机卡，挂失银行卡的时候也没有找回所有的卡。 这些都给犯罪分子留下了可乘之机。 但是通过这几天的经历，不管中间的剧情有多少波折，作为一个有着10多年信息安全经验的老骆驼，我都会被这样折腾。 我真的不希望每个人都有和我一样的经历。 下面介绍几个个人认为比较简单有效的防护措施：

1.给手机sim卡设置密码，

2.为手机设置屏幕锁定

3、确保手机锁屏状态下，短信中看不到短信验证码的内容。

通过以上措施，即使手机丢失无法及时找到并报告，也无需担心他人拔卡插入另一部手机继续使用。

以华为手机为例：设置-安全-更多安全设置-加密和凭证-设置卡锁，选择手机卡，启用密码（此时默认密码为1234或0000），然后选择修改密码，输入原密码1234，再输入两次新密码，完成sim卡密码设置。 需要注意的是，设置SIM密码后，手机重启或换卡到新手机。 需要先输入SIM卡密码，再输入锁屏密码。 SIM卡密码3次输入错误，需要输入puk码解锁。 ，此时不要再打字，请联系运营商或puk码解锁，否则手机卡输错10次后将失效，必须到营业厅换卡。 其他型号手机的设置方法，建议大家直接百度搜索。

案发后，某支付机构也主动联系我，分析讨论过程和细节，借用风控专家的话：“其实你的事是好事，在这种新型犯罪大爆发之前号码，你可以用更低的价格使用它。每个人都关注并关注它，各机构采取了有效措施，避免了以后造成更大损失后'救火'的情况。

第一篇文章发表后，一个可疑号码给我打电话，对我进行狂妄的诽谤。 只能送你一句话：“法网回来了，没缺！”