未分類
11 9 月 2020

一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链

一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链

資深大佬 : matrix67 4

https://mp.weixin.qq.com/s/3UeZzw2LmPsM3cU7Rhmb8w
大佬有話說 (100)

  • 資深大佬 : swulling

    看了,结论是买 iPhone 不买华为,也就华为才能把短信作为可信通道。

    iPhone 默认双重认证,就算没有其他设备也需要邮箱加密保问题,不依赖和手机一起丢的手机卡。

  • 資深大佬 : matrix67

    比较简单的方式是开启 pin 码

  • 資深大佬 : mitong3269

    @matrix67 对 我开启了 输错三次就锁卡

  • 資深大佬 : Carry0317

    能破解 apple ID 么

  • 資深大佬 : TypeError

    最恶心(手机号)实名制,韩国早就证明了是一条不归路

    当初忽悠的电信诈骗更少、骚扰电话消失,还真有韭菜信的,
    结果现在手机号是个人信息安全、金融安全最薄弱的环节

    各种伪基站、换卡攻击、社工、内鬼、买卖个人资料、SS7 漏洞层出不穷,推广实名制的该下地狱

  • 資深大佬 : TypeError

    短信验证和两步验证器 /硬件 Key 相比,泄漏的就和筛子一样

  • 資深大佬 : ByZHkc3

    pin 码可解

  • 資深大佬 : hoyixi

    @TypeError #5

    不归路是对草民立场来说的,对统治者爽歪歪,至于黑客、骗子、隐私贩卖者等等这些困扰,统治者感觉不到。
    和房价医疗等等问题类似,草民说好惨,食肉阶层:瞎说,没感觉到,明明爽歪歪

  • 資深大佬 : TypeError

    @hoyixi #8 反正苏州杭州文明码都出来了,韭菜继续欢呼

  • 資深大佬 : murmur

    @swulling 吹过了,丢了卡基本上就完了,很多软件太智障,无脑相信手机号,啥都可以短信找回密码

  • 資深大佬 : CRight

    看完全文,后面贷款这些操作,有 SIM 卡就行了,解不解锁都不影响

  • 資深大佬 : murmur

    这是不是以后定期要擦手机,防止犯罪分子通过指纹猜出可能的密码

  • 資深大佬 : TypeError

    继续说下现在手机的问题,手机就算换 iPhone,SIM 卡加 pin,还是很容易被套取 PUK 码,解锁 SIM 卡放其他设备。
    然后继续文中的诈骗过程

  • 資深大佬 : nuk

    我的手机上银行卡支付宝绑定的号码是另外一个开启密码保护的非智能手机号码
    就是为了避免丢失手机后损失惨重

    当然手机号码实名比注册所有账号要用身份证来的稍稍好一点,毕竟手机号码可以换不是
    不过也就好一点而已

  • 資深大佬 : TypeError

    @nuk #14 学习墙外最好,
    匿名邮箱 + 两步验证器 APP 或者硬件 U Key 最安全
    邮箱比手机号安全,当然网易邮箱就算了,就是金融业务需要实名制,但邮箱可以随便注册,一个业务一个邮箱

    两步验证、Ukey 安全性秒杀短信 (银行还是稍微懂安全的,大额都需要 U Key,我是不敢手机支付开高额度)

    实名制几年,全面倒退

  • 資深大佬 : xiangyuecn

    话说基站不能定位不到对方位置? 直接定点打击 发射核弹啊。

    虽然不是专业的,不过目测那些运营商定位手机位置+海拔高度的能力还是有的,精度目测可以至少 5 米内。在这个基础上,理论上民警也是,遇到这种,通过某些简单审批流程后去迅速拿到运营商定位信息,上门抓人。

    90 年代的电影里面不是非常常见的情节么。盗窃团伙吃了多少就得给我吐多少

  • 資深大佬 : SAGAN

    @TypeError puk 码怎么套取?

  • 資深大佬 : nuk

    @TypeError 国外能这么搞的前提是法治健全
    邮箱匿名性比手机好,但不意味比手机安全

  • 資深大佬 : murmur

    @SAGAN 似乎移动可以网上查询 puk,但是 puk 了说明短信也收不到了,那怎么骗到营业厅密码呢

  • 資深大佬 : wionlys

    @xiangyuecn 黑产都可以查到这种信息,还有你发布了 xx 信息,直接上门喝茶;所以说打击能力肯定有

  • 資深大佬 : des

    @murmur 不知道电话号码也没法查吧

  • 資深大佬 : locoz

    @xiangyuecn #16 基站定位通常只能做到百米级精度,如果连接的基站是广域宏基站的话(一般的城市内宏基站是 300 米覆盖,郊外那种一般都千米级覆盖),精度就更差了…5 米内都是有室分或者结合了其他位置信息才做得到的,一般单靠基站很难定位到精确位置。

  • 資深大佬 : TypeError

    @xiangyuecn #16 到处天网,发生各种案件摄像头都坏掉了呢

    @SAGAN #17 套取到个人资料后直接网上或者电话联系运营商索取 PUK,这个完全看运营商流程和客服是否是最薄弱环节了

  • 資深大佬 : Lucoie

    sim 卡设置了密码 iPhone 查找开启 输错密码清空数据开启

  • 資深大佬 : tankb52

    财付通也没有客服,哈哈哈哈。
    决定把钱转出来了。

  • 資深大佬 : watermeter

    @SAGAN # 17 PUK 你直接问客服都能问到

  • 資深大佬 : terence4444

    @xiangyuecn 这种定位是用来抓人的,但不是用来抓罪犯的。

  • 資深大佬 : mschultz

    @watermeter 但如果手上只有被害人的手机,而且是锁屏的,SIM 是加了 PIN 的,这种情况下直接去问客服就能问到一张卡的 PUK 吗?
    这样的话岂不是好像你捡了一张银行卡,可以直接去银行问「这张银行卡的密码是多少」

  • 資深大佬 : MrStark

    @xiangyuecn 除非搞个大新闻出来,否则相关部门根本懒得管你,就主这件事,如果上了头条的话,警察叔叔分分钟把那伙贼人的老窝找到你信不信。

  • 資深大佬 : MrStark

    @watermeter 如果直接问客服都能问到的话,这也太儿戏了吧,跟闹着玩似的。

  • 資深大佬 : tojike

    我电信卡移动卡刚才都试了一下,电信客服直接就把 puk 码的短信发我了。移动客服给了我一个网址 通过短信验证码登录也直接查到 puk 码,门槛真的很低

  • 資深大佬 : flowercoder

    其实第一步就是最大的问题,挂失 sim 卡至少 2 小时后才能解封,一天解封次数超过 3 次后不予解封。

  • 資深大佬 : LZSZ

    @tojike 顺序搞错了 你根本没有密码 怎么打电话给客服

  • 資深大佬 : swulling

    @murmur 有些人手机里有身份证照片,通讯录用来过电信运营商的认证。

    手机假如不被攻破,仅凭手机卡很难兴风作浪。

    要承认 iPhone 的安全做的好很难么

  • 資深大佬 : swulling

    @nuk 邮箱并不一定比手机安全,但是丢手机会同时丢手机和手机卡。那么两步认证就没价值了

    两步认证的核心思想就是两个认证设备在空间上是隔离的,不会同时丢失

  • 資深大佬 : tojike

    @LZSZ 文中有提到锁屏密码被解开了,别人可以直接打电话。而且有你的身份证信息,可以解除挂失

  • 資深大佬 : feikeq

    那也就是说不管理你用什么手机,只要 SIM 卡一丢不就一点办法也没有了么?只能不断的挂失?

  • 資深大佬 : musi

    @xiangyuecn 想想吧,别的不说今年疫情都做不到基站定位,还要到处发公告找人

  • 資深大佬 : ksssdh123

    看了文章总结如下
    1 、风控最好的:支付宝
    2 、态度最好的:银联
    3 、处理最差的:苏宁金融和京东
    4 、责任最大的:四川电信和四川人社

    源头都出在这两个庞然大物上-四川电信和四川人社,但凡这两个有一方信息安全做好一点,就不会出现后边那么多事儿了
    现实生活中,往往大部分人都没有安全意识的,也没那精力去查清这些事,甚至有些人还极度配合罪犯快速达到罪犯的目的,对于这些人,基本上钱应该是追不回来了

  • 資深大佬 : wildlynx

    开启 pin 码+关闭锁屏后短信内容显示+丢失手机后立即去停机补卡

  • 資深大佬 : mschultz

    @tojike #36 没太搞明白,原文中「锁屏密码被解开了」是可以纯暴力破解,还是说以「 SIM 卡换手机能收短信」作为前提,通过云服务之类的操作?
    如果是第一种情况,只能说手机厂商的锅消费者拯救不了;
    如果是第二种情况,那么如果我们提前给 SIM 卡加了 PIN,还是安全的,此时由于 SIM 卡不能用(原手机锁屏、换手机则有卡 PIN ),你在 #31 提到的获取 PUK 的方法也不行吧

  • 資深大佬 : lneoi

    可以一直解封这个很奇怪 这种文章多一点 让各个厂商也增强安全边界

  • 資深大佬 : hahaandyou001

    @TypeError 不实名怎么方便查水表

  • 資深大佬 : EIlenZe

    可怕 一个还算是专业的人士 遭遇了以后 都还“保不住” 更别提普通人了 网络信息安全任重道远啊

  • 資深大佬 : xiaochen3

    我有个疑问,不可以直接到移动厅挂失旧手机卡,然后申领新手机卡吗?那样旧手机卡就失效了吧

  • 資深大佬 : masker0817

    @xiaochen3 电信下班啦

  • 資深大佬 : LZSZ

    @tojike 那样还有 puk 码做什么?

  • 資深大佬 : leapV3

    我今天看到一条标语,知根知底,国之大计

  • 資深大佬 : xiaochen3

    @mschultz puk 看情况,之前我的 pin 数错三次锁卡了,去电信营业厅会检查身份证,去移动的直接就帮解了。

  • 資深大佬 : tojike

    @LZSZ 我也不是很懂啊,凭啥连锁屏密码都可以解,不过不关闭锁屏后短信内容显示得话,别人还是可以通过短信验证码登录拿到你的 puk 码的

  • 資深大佬 : imn1

    这位事主手机上太多东西了,丢失了还犯了两个致命(常识性的)逻辑错误
    1.没去营业厅办手机挂失
    2.没去银行柜台 /自助机办更换绑定手机号
    这两个都是要“当面确认”为准的事情,(自助机上的摄像头也起人脸识别作用),和大堂经理说一下应该可以优先的

    我用来支付的手机,里面的 sim 卡不是银行预设手机,简单说就是分开两台手机
    分离的好处是,三方难以使用“忘记密码”这种骚操作
    其实我几乎所有 APP,里面绑定的手机号,sim 卡都在另一台手机,不在同一台手机里面

    同理 2FA 的原则也是不同设备,同设备的 2FA 跟没有差不多,那个谁说得对,“用隐私换方便”,一切只为自己方便,殊不知也方便了“有心人”
    银行相关的 sim 卡一定要设 pin 码,这样不论关机或者换机,都要多一层 pin 码输入

    不要光骂什么 Z 策,自身也要有应对预案
    不是说不能骂,该骂就骂呗,没人拦你,但骂完就结束了?就为一时爽?
    所谓“上有 Z 策,下有对策”,没有对策,骂也浪费力气

  • 資深大佬 : murmur

    @swulling 可是这个文章里没说手机密码被解锁啊

    “8:51 对方把卡取出来插在其他手机开机”

  • 資深大佬 : murmur

    好吧 后面有解锁的

  • 資深大佬 : murmur

    这么大的事没看到华为的回应呢,提示信息只显示来自华为手机登录,不能说是同一台华为手机

  • 資深大佬 : 20015jjw

    只能说国内实名认证真的恐怖

  • 資深大佬 : mschultz

    @xiaochen3 #49 如果是真的没有任何验证,那这个移动营业厅绝对要问题了,就是不知道是营业厅的问题还是整个移动的问题。我的理解这事的性质,就相当于我捡了一张银行卡不知道密码,去银行直接就帮解了。

  • 資深大佬 : mschultz

    @mschultz 要问题 -> 有问题 sorry

  • 資深大佬 : youxiachai

    @imn1 营业厅下班了啊….

  • 資深大佬 : darmau

    @imn1 你犯了最致命的错误:不仔细看文章

  • 資深大佬 : est

    @hoyixi 还是能感觉到的。历史上几次轰轰烈烈打击电信诈骗、营销电话就是因为。。。。。某办公厅人士被骚扰得不行了。23333

  • 資深大佬 : yksoft1test

    @TypeError 国内 SS7 的案例还不多。最有名的公开案例是德意志银行和德国 Orange 还是沃达丰那个案例。

    碰上这种事情其实有些习惯还是不错的,比如一号一密,绑定银行、重要账号的手机号 SIM 卡放在专用的、干净的手机或功能机里,尽量少随身携带。现在国内 SIM 卡补卡还是门槛很高的,部分地方甚至本人拿真身份证去都不一定能补卡,还要验证 SIM 卡原卡(外卡板)或者通话记录。

  • 資深大佬 : paradoxs

    安卓手机的锁屏密码 和 windows 笔记本的登陆密码, 都是形同虚设的东西。

    一旦设备丢了,后果不堪设想。

  • 資深大佬 : swulling

    @murmur 9:24 家人发现被偷手机可以拨通,但我这边“查找我的手机”显示还未上线,但没两分钟我的手机收到提示手机在成华区上线了,瞬间再看找回手机界面,设备被解绑

    解绑证明华为账户已经登录进去,接下来解锁手机就不是什么问题了

  • 資深大佬 : murmur

    @paradoxs 我刚才试了,以前 miui 网上说可以通过云账号解锁(在手机上登录),新的 miui 提示只能通过清除所有资料解除锁屏密码

    能这样已经够了,所以华为为啥不出来回应两句

  • 資深大佬 : EricJia

    不懂就问, esim 卡 + iPhone 是不是可以避免?

  • 資深大佬 : R18

    我刚试了下,PUK 需要提供服务密码才会提供。已经给移动卡开了 PINl 了。

  • 資深大佬 : yksoft1test

    @EricJia 不一定,注册 Apple ID 的邮箱如果密码和 Apple ID 本身一样,就会出事。

  • 資深大佬 : alfchin

    @murmur 你让人家怎么回应?
    机器已经灭失,而且很明显就是靠短信重置了华为账户的密码

  • 資深大佬 : anaf

    @xiangyuecn 如果被偷的对象是 某高层官员等 那么久可以。

  • 資深大佬 : murmur

    @alfchin 那就是说只要 sim 卡没设置密码彻底就完了

  • 資深大佬 : quinaeus

    @R18 不需要,直接提供机主姓名+身份证号也能直接获得 PKU 码

  • 資深大佬 : cwbsw

    看完后感觉最薄弱的环节是电信运营商和电子社保卡。

  • 資深大佬 : misaka19000

    南京人都知道,苏宁的服务都不能用的,垃圾的一塌糊涂

  • 資深大佬 : barbery

    看完了,问题的点好像不是在开屏幕锁,任意一台手机被盗,sim 卡都能插拔到别的手机使用的,也就都具备收短信验证码的能力,然后就能为所欲为了

  • 資深大佬 : Delbert

    @feikeq PIN 码锁定就可以了。

  • 資深大佬 : CRight

    @barbery 对啊,上这么多纠结 iPhone 和华为有什么用,重要的环节都是在其他手机上完成的,有 sim 卡就行了。

  • 資深大佬 : murmur

    @CRight 那么重要的云服务,通过短信就可以登录,而且没有任何二次验证措施?

  • 資深大佬 : SakuraKuma

    自从各种网站开始忘记密码可以用短信就能改之后.
    sim 马上就锁 pin 了.

    这个电信解挂就离谱~

  • 資深大佬 : misaki321

    怎么还有人纠结是什么系统的
    这件事最大的问题是没设 pin 码,然后电信能无限电话解挂。加上从四川人社获取到的身份信息,之后想干什么就干什么

  • 資深大佬 : alfchin

    @murmur 还不是考虑国内用户国情。。。
    不长脑记不住密码和密保问题的用户居多

  • 資深大佬 : Bananana

    我粗略看了下,感觉就是手机加了开屏锁也没用啊,sim 卡一拔,然后插在别的手机上,就能收验证码登录大多数应用干坏事?
    我理解的对吗?

  • 資深大佬 : R18

    我试了下,小米忘记锁屏密码,只能擦除手机数据。没有办法通过验证码直接解锁。起码他的提示是这样提示的。

  • 資深大佬 : paradoxs

    抛开这篇文章不说,大家就不该用安卓手机。。

    路边手机店 50 元 , 不刷机就把锁屏密码 解开了。。 (看清楚了哦,不刷机解开,里面的资料,相册,短信什么的都是保留的)

  • 資深大佬 : ouqihang

    本来是二步验证的手机短信验证码,现在很多互联网服务硬是弄成了仅短信验证码。

  • 資深大佬 : AmItheRobot

    @paradoxs #83 求教怎么解?
    文章里用的是短信重置华为账户密码,再用华为账户密码解锁锁屏
    小米手机怎么不刷机解?

  • 資深大佬 : tojike

    @paradoxs 这就有点危言耸听了吧,大部分安卓机不会像你说的那样。路边 50 元随便解那还得了

  • 資深大佬 : imn1

    @darmau #59
    我看了,应该说我没写严谨才对,漏了“及时”二字
    去柜台挂失应该优先于其他,先电话挂失,然后马上跑银行、营业厅,然后才是其他的,其实就是跟时间(或黑产)赛跑

    APP 和卡分离实质只是时间延后,还是要去柜台做更改绑定这些操作的
    如果丢了 APP 的手机,己方可以用 sim 卡改密码,同时去银行改手机号
    如果丢了 sim 卡,对方不一定能迅速确定是哪家 APP,要逐个尝试,己方可以争取多一点时间去办改绑和挂失,损失是难以避免,只能尽量减少
    去银行是可以一次解绑全部 APP 的,不用逐个 APP 去单独解绑,这是重点

    事主电话挂失就安心到次日才去柜台,这个想法是误区

  • 資深大佬 : ouqihang

    PUK 码一直以为只是印在卡板上,想不到运营商还有留底,那么卡板上设计要刮开才能看到 PUK 是干嘛。这玩意用得上的时候一定是 pin 输错了 3 次了,理应马上锁卡,想再用卡?请去补卡。

  • 資深大佬 : terence4444

    @CRight 华为手机解锁 bug 提供了相册做人脸验证。不过最大的问题还是在电信反复解挂和社保局信息泄露。

  • 資深大佬 : CRight

    @paradoxs 四五年前可能还行,现在的 Android 手机很难相信还可以无损清楚锁屏密码。

  • 資深大佬 : lonelymarried

    如果拍成电影,一定惊心动魄

  • 資深大佬 : ouqihang

    哪怕运营商能直接查,也应该给个缓冲时间比如申请 24 小时之后。

  • 資深大佬 : darmau

    @imn1 所以说你没看啊,手机是 4 号晚上丢的,营业厅早就下班。他老婆 5 号一早就去蹲营业厅开门了。黑产也正是利用了这一点。

  • 資深大佬 : xiaochen3

    @CRight 不是啊,后面他用 sim 短信重置华为账号的密码,然后解锁掉 p40 的开机密码,然后因为 p40 是常用设备支付宝顶掉其他号了,也可以发现你有用四川人社 app 。上面是说 iPhone 不单单靠短信就解锁掉开机密码。这个还是很重要的。

  • 資深大佬 : Bananana

    @lonelymarried 感觉是个好题材,脑补了下有画面了

  • 資深大佬 : xiaochen3

    @imn1 他是晚上 19 点多丢的,21 点多才开始处理这事的。不是拖到次日

  • 資深大佬 : Bananana

    @xiaochen3 有一点不懂,开机密码是怎么解锁的?难道华为重制了华为账号就能解锁手机的开屏密码?

  • 資深大佬 : zyu0090

    @tojike 31# 你是用自己手机号打过去要的自己的 puk 码吧? sim 卡如果锁了,没办法自己号码打过去啊

  • 資深大佬 : imn1

    @Bananana #81
    前面有人回复加 pin,就是为了应对 sim 卡插到其他手机

    不过,一切客户端操作只是为了争取时间,让自己可以赶得及去柜台处理,盲信客户端操作不可取
    盲信客户端操作,实际上就是“个人攻防技术比拼”,我不认为自己能胜黑产技术

  • 資深大佬 : imn1

    @darmau #93
    @xiaochen3 #96
    就算半夜三点我也去办的

    有 24 小时的自助银行的(如果他当地银行没有这个,我只能说“节哀顺变”了),这些机器虽然权限低于柜台但也高于 APP,而且上面有人脸识别
    关键是银行卡没丢吧?自助机不是用手机登录的,是银行卡和身份证,登入解绑

    最快速的操作是“冻结账户”、“解除电子银行”等等,等去柜台才慢慢重新开通