手機被盜,30分鐘後你可能傾家蕩產_風聞
IT时报-《IT时报》官方账号-2020-09-30 16:27
30秒快讀
1
丟失一部手機,你將失去什麼?
2
記者調查發現,30分鐘,你的手機就能被解鎖。接着,可怕的事情發生了,對方能輕鬆通過驗證碼,登錄你的銀行App、支付寶,甚至用你的名義去借網貸……
3
而這類手機解鎖服務在電商平台上堂而皇之地售賣,最後一道安全防線就握在電信運營商手裏,手機丟失後,記得第一時間掛失手機SIM卡。
某種程度,手機號碼已經成為個人的移動“身份證”,而幾乎所有App都支持手機號碼+驗證碼輸入登錄。一條驗證碼背後,你的整個移動互聯網痕跡將被“敞開”,姓名、身份證號、家庭住址、銀行卡號,甚至家人聯繫方式。
或許,你會説,不用擔心,手機有屏保密碼,拿到手機的人無法進一步操作。如果你真這麼以為,那隻能説“太天真”。
《IT時報》記者實測,刷機破屏保密碼,已經在網上有成熟產業鏈,30分鐘後,原本被鎖屏的手機“煥然一新”,恢復出廠設置,可以進行任何操作。包括用你的手機號獲取驗證碼後,登錄支付寶、銀行App、網貸平台……
這不是危言聳聽。一名在安全行業浸淫10多年的“白帽子”,在妻子手機丟失之後,與黑產鬥爭了一天一夜,卻依然損失數千元,在手機鎖屏密碼被破的那一刻,他其實已經輸了。
值得深思的是,當越來越多的個人隱私和資產與手機相關時,“手機屏幕解鎖”竟然堂而皇之地在不少電商平台銷售,而且不需要購買者提供任何資質,這幾乎相當於一個鎖匠公開在網上吆喝:想開哪的門?來,我給你解鎖!
實測視頻:手機被盜,30分鐘後可能讓你傾家蕩產
01
手機丟失後……
“白帽子”與黑產的深夜纏鬥
不久前,一篇《一部手機失竊而揭露的竊取個人信息實現資金盜取的黑色產業鏈》被刷屏,作者是一位從事10多年網絡攻防工作的人士老駱駝(網名),文中,他講述了家人手機丟失後,經歷的一場盜刷事件。
當晚7點30分,得知妻子手機丟失後,老駱駝並未在第一時間掛失手機SIM卡,而是與偷盜者展開了一場“搏鬥”。
手機被盜後的45分鐘內,犯罪分子將其手機卡拔出,插在其他手機上開機,通過發送短信的方式獲取了老駱駝妻子的手機號、通過手機賬號+短信驗證碼登錄App的方式獲得其身份證信息,成功修改了手機SIM卡的服務密碼。
在此期間,對方成功破解了鎖屏密碼,解除了手機定位功能。
由於沒有第一時間掛失手機SIM卡,老駱駝不得不通過向通信運營商提供身份證號碼以及上個月聯繫過的三個電話號碼的方式,才成功將妻子已經被修改密碼的手機卡掛失。
弔詭的是,幾分鐘後,對方又解掛了老駱駝的掛失,並開始利用手機號和短信驗證碼盜刷老駱駝妻子的銀行卡。整整一晚在掛失、解掛的循環操作中度過,但智者千慮終有一失,他最終還是損失了數千元。
老駱駝的案例並非個案。文章被大量轉發後,他收到了幾位網友留言,對方表示,與他的經歷相同,損失最嚴重的一位,被人通過線上貸款的方式“盜刷”了68萬元。
2019年9月,上海黃浦警方也曾對外披露過一起新型信用卡盜刷案。受害人均系手機在四川成都被盜後,於短時間內被實施了支付盜刷。
期間,嫌疑人曾偽裝成信用卡用户撥打銀行客服電話,在報出受害人個人身份信息、預留信息後,重置銀行App登錄密碼實施犯罪。
警方層層追查之後才發現,儘管所有受害人手機均設有密碼鎖,且身份證也未曾有過被盜的情況,但由於手機鎖屏密碼被破解,犯罪嫌疑人利用手機加驗證碼的方式登錄某些出行App後,獲得受害人詳細信息,然後利用這些信息通過了銀行驗證,實現了盜刷。
而據民警介紹,2019年3月份首起接報案件中,嫌疑人完成一套上述操作需要2小時,後期幾起案件中甚至僅僅只需半小時。
02
記者實測
手機被盜刷究竟需幾步?
通過老駱駝的描述和此前警方披露的案例,記者發現,手機SIM卡掛失解掛、鎖屏密碼被破解,是盜刷成功至關重要的因素。於是,記者做了一番測試。
“去哪兒”個人信息未加密
手機SIM卡到底如何掛失、解掛?
9月22日,《IT時報》記者撥打了三大電信運營商客服電話。
上海移動10086客服告訴記者,如果用户的手機號碼丟失,需要做停機保號處理,用户可直接提供自己的服務密碼或者身份證號和姓名進行辦理,之後用户攜帶身份證前往營業廳補卡,原卡將自動作廢;如果需要解掛,向客服提供身份證號碼和姓名即可。
上海聯通的用户掛失,則要提供服務密碼或者機主姓名、身份證號碼和身份證地址等信息。如果需要解掛,同樣需要上述信息。
上海電信方面,用户需要提供手機號、身份證號碼以及手機服務密碼進行掛失,解掛則需要本人攜帶身份證至營業廳補卡。
在警方披露的新型信用卡盜刷案中提到,為了成功實施犯罪,犯罪嫌疑人第一時間會致電運營商要求更改手機服務密碼,取得手機控制權,即便等到失主補辦好手機卡號時,才發現手機已經遭遇盜刷。
至於更改手機密碼,三大運營商客服均表示:需要使用本機號碼撥打客服電話,提供姓名、身份證號碼進行重置。
問題是,身份證信息在很多網站都是明文存儲,犯罪嫌疑人在獲得用户手機和SIM卡後,想獲得身份證信息並不難。多位從事網絡安全的人士告訴記者,如果使用過去哪兒、攜程等App,都可以查看到自己的名字和身份證號碼。
9月23日,記者通過短信驗證碼的方式登錄去哪兒App,在“常用信息”中看到,記者的手機號碼、身份證號碼、郵箱號碼直接呈現在眼前,App並未對此做加密處理。
30分鐘成功破解安卓手機屏鎖
梳理老駱駝被盜刷的經歷,另一個關鍵點在於,犯罪分子成功破解了手機屏幕鎖,並解除了老駱駝手機的安全定位。
令人擔憂的是,由於很多銀行App、金融App考慮的主要風控因子之一便是“常用設備登錄”,如果是本機登錄操作,一般會默認是機主本人,簡單手機號碼+驗證碼便可一路暢通無阻。
記者發現,解鎖手機屏幕鎖的操作早已有成熟的鏈條,在電商平台上花費幾十至幾百元,半小時內就能破解手機鎖屏密碼,將手機恢復出廠狀態。
在某主流電商平台搜索關鍵字“手機屏幕解鎖”,會跳出不少賣家。蘋果系統、安卓系統、Win系統,解鎖服務費用大多在50元-200元之間。
9月23日,記者通過某電商平台購買了解鎖華為手機屏幕的服務。賣家告訴記者:“(解鎖)大約需要1小時,賬户、ID全包,做好了可升級、刷機、可登錄賬户、數據清空。”
花了160元之後,只用了30分鐘,對方便順利解開了記者手中的一部華為Mate20 X,將其恢復至出廠狀態。
通過商品詳情信息可見,上述解鎖安卓手機的賣家是一個10人團隊,幾乎可以為所有安卓手機提供“刷機救磚ROOT”“賬户屏幕鎖”“保留資料解鎖”等服務,已經合作了上萬家維修店鋪。
在其商品界面的用户評價中,買家給予“性價比高”的評價,有圖/視頻的評價達5502條,追加評價達1174條。
一位從事網絡安全工作的內部人士告訴記者:“此類人士大多都是手機產業內部人士,之所以能夠提供手機解鎖服務,不排除手機廠商有內線泄密。”
手機“鎖匠”可以隨便做?
鎖,匡護的是安全,尤其是資產安全。
在現實世界裏,開鎖是一門技術活,提供開鎖服務屬於特種行業,需向所在地縣級公安機關提出申請,取得《特種行業許可證》後才可經營。
《特種行業管理條例》第二十五條規定,經營開鎖業的,承接開鎖業務,應當確認委託人擁有閉鎖物的所有權或者使用權,不能確認的應當拒絕;現場開鎖時,應當如實填寫《開鎖服務記錄單》,由委託開鎖人、開鎖技術人員分別簽名、註明聯繫方式並留存備查。
商務部電子商務專家諮詢委員會委員、上海段和段律師事務所合夥人劉春泉表示,開鎖業屬於特種行業,必須到公安部門備案,無證經營會受到處罰。
但在互聯網的世界裏,儘管手機與每個人的移動財產安全息息相關,但似乎很少有人同樣把它看作“一把鎖”,一把關聯“網絡身份”的鎖。
同理,在互聯網上銷售“手機屏幕解鎖服務”,也並沒有被認為是需要特別監管的行業。
“在電商平台上提供相應服務應當受到監管”。劉春泉認為,電商平台也應當對提供手機解鎖服務的商家驗證,出台相應的管理措施,否則不排除這一漏洞被人惡意利用的可能。
目前,政府部門尚未對這一行業出台相應的管理辦法,在電商平台上搜索關鍵字,也能夠直接檢索出與之匹配的服務。
儘管賣家會在商品銷售頁面備註“偷搶機器贓機不解”,但卻沒有任何措施確認買家身份和手機來源。
淘寶客服表示,平台只能處理買賣雙方錢款交易,但無法保證商家開店後是否會做違法犯罪的事情。只有消費者向平台進行反饋,並提供相應的憑證,平台才會針對反饋內容對店鋪進行處理。
相關鏈接
手機丟失後,
第一時間要做這些!
手機丟失後,很多人會更在意手機的價值而忽略SIM卡的重要性,而正因為人們對SIM卡重視程度不高,才給犯罪分子留下了可乘之機。
因此,如果手機丟失,第一時間一定要做的是,掛失號碼,補辦新卡,同時掛失所有的銀行卡。
“破解手機後,除了進行上述盜刷操作,有經驗的騙子還會打印出手機話費詳單,通過手機號碼來分辨哪些可能是家人,再進行電話詐騙。”
一位從事網絡安全工作的人士表示:“如果機主不掛失SIM卡,一旦手機卡流入黑市,犯罪分子還會用來註冊微信號進行詐騙,後果不堪設想。
只有新的手機、新SIM卡到手,成功登錄微信、支付寶等重要App後,才能確保萬無一失。”
另外,除了給手機屏幕上鎖之外,手機卡也需要上密碼。
這樣,換了手機便無法正常使用手機卡,具體的設置根據手機型號不同有所區別。
以華為手機為例,打開設置-安全-更多安全設置-加密和憑據-設置卡鎖,選定手機卡後,啓用密碼(通常初始密碼為1234或者0000),用户只需重置密碼後便能完成對手機SIM卡的密碼設置。
蘋果手機的這一操作需要打開設置-蜂窩網絡-SIM卡PIN碼-更改PIN碼-輸入初始密碼(通常為1234或0000)後,進行重置即可。
作者/IT時報記者 李丹琦
編輯/挨踢妹
排版/黃建
圖片/IT時報、Unsplash、網絡
來源/《IT時報》公眾號vittimes