有个作者最近发文,揭秘了手机被盗窃后,团伙盗刷资金的内幕,作者是一名有 10 多年信息安全从业经验的大牛,整个过程依然战战兢兢,如履薄冰,整个过程大概如下:
- 一线扒手特定时间选定目标:年轻人、移动支付频率高,在对方注意力分散的情况下出手,运营商营业厅下班后,失主没法当晚立即补卡,给团队预留了一晚上的作案时间;
- 拿到手机后迅速送到团队窝点,迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改,一下子让受害者陷入被动;
- 获取所有银行卡信息,使用技术手段绕过活体人脸识别验证,在各个平台上创建新账号,绑定受害者银行卡;
- 选好几家风控不严的支付公司,开始申请在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账,将钱转走;
- 保留新建的支付账号权限, 如果未被发现,后期还可以继续窃取资金。
详情可以自行搜索《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》以及后续《盗窃手机盗刷银行卡黑色产业链案件之后续进展》
并且作者身为一个资深安全行业专家,也第一时间发现了问题所在,也依然没有办法阻止对方执行犯罪操作,可见这个操作是多么的精妙和有效。
这个流程设计最巧妙的就是手机短信验证,在没有高级风控系统的前提下,很容易就直接通行了,注意是直接通行,而不是绕过,再加上一些保管个人身份资料的机构的安全级别并没有很高,导致了一些个人资料泄露,然后通过简单的社会工程学就可以进行反转利用了。
人都会有趋利避害的心理,尤其发生在自己身边,或者可能将要发生在自己身上,就特别敏感,特别紧张,
一时之间身边各种怀疑和担心的声音就出现了:
好可怕哦,怎么办?
以后不能用那么多手机支付了,我得赶紧把移动支付的卡注销了或者改密码了。
我赶紧把移动支付去掉,不开了。
老实说,我关注了这个事件很久,并且也进行了深刻整理和反思,我觉得这个事情的发生确确实实是因为我们的移动支付流程设计上出了一点问题,在风控管理上存在不足,但是对于我们个人自己本身,个人安全意识薄弱的问题却更大!
就好像再厉害的技术,再牛逼的设备,也抵不过身边的猪队友,而我们自己本身,恰恰有可能不知不觉成为了猪队友。
其实早在之前的一些时候,也发生过类似的事件,也有报道出来,但是并没有像此次事件发酵得这么猛烈,或者说,可能现在的人开始注意安全问题了,