[转]一部手机失窃而揭露的窃取个人信息实现资金盗取...

图床1. https://pic.baixiongz.com/uploads/2020/09/14/79a994d8a97bb.png
图床2. 
https://i.loli.net/2020/09/14/b4CHkiPDaKWNljq.png
图床3. 
http://sxeimg.com/u/2020/09/14/nuq40h.png图床4. https://www.privacypic.com/images/2020/09/14/LBPXSV.png

纯转载
原创:[email protected]信息安全老骆驼
转自:[email protected] News

刚刚看到一篇文章,感觉可以分享给大家。让大家遇到这类情况有点准备。

TG:http://r6a.cn/dbM2
WX:http://r6a.cn/dbM8

部分片段:

分析完犯罪分子,再来看下整个过程中参与的机构都有什么“罪”,实际上这个环节里的每一个点,放在对应的业务节点里都不是什么大问题,但手机丢失后,把所有这些点串起来,问题就大了:
1. 四川电信 :我认为整个过程责任最大的就是它了,这挂失、解挂的风骚业务规则简直让我无语,既然都挂失了,不应该考虑到手机已经不在失主身上了,解挂不应该有个时间限制或者要求营业厅办理么?就算前面的过错无视了,同一个手机号码在深夜来来回回挂失解挂几十次,包括机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪,要求停止解挂行为,话务员还是拿着业务话术来敷衍客户“对不起,我们的挂失解挂有固定的业务流程,只要对方能提供服务密码,正常就是可以解挂的”。我们全家人就这样抱着电话陪犯罪分子熬了一夜,到最后还是造成了经济损失。对于四川电信,后续该投诉投诉。
2. 四川人社 :它所起到的作用,大家也都看得懂。两条短信验证码,关键的资料全泄露出去了,但我不好说他有什么罪,毕竟他们本身也不是金融机构, 对个人信息的保护要做成什么样也没个标准。但这个事情没那么简单,把四川人社换成XX人社或者四川XX,也可能是一样的结果,这个黑产链设计的时候sfz号码的获取途径可以是多处的,至少我随便在网上下载几个地方社保APP,都能找到和四川人社一样登录和密码找回使用手机短信验证的。

[转]一部手机失窃而揭露的窃取个人信息实现资金盗取... - 收藏派

[转]一部手机失窃而揭露的窃取个人信息实现资金盗取... - 收藏派

    3. 华为 :其实把华为换成小米,结果也是一样。我只能说密码找回这个业务的验证太简单了,还有就是网上说的用emui 5.0的手机,可以远程解锁屏幕锁屏密码,这个我没验证过, 但从我支付宝被挤下线时提示对方使用的手机型号来判断,大概率是可以的。
    4. 支付宝:先不说为啥同一个身份信息,可以注册两个账号,你的快捷绑卡,是加快了绑卡的便捷性, 但考虑过安全性么?当然,支付宝的风控是强,确实识别到了异常交易,也追回了资金。但shi名认证的人脸识别被绕过,也是事实。
   5. 美团:你要发展业务,放宽贷款限制,这我不关心,但你能否做好该有的贷款审批风险控制,凌晨4点的贷款行为,这正常么?
   6. 苏宁金融:所有参与这个过程的支付机构中态度最恶劣的一家,出现案件,接到用户报案后第一时间想到的是推卸责任。“报案了么?如果警方有需要,我们会做好配合工作!哦你的经济损失啊,那只能你自己承担了”,中间来过两次电话,基本腔调就是这样。同样是支付公司, 支付宝的风控能识别异常盗刷,苏宁金融就一点察觉都没有,一个新注册的账号,凌晨三四点绑卡,然后购买各种虚拟卡、充值话费这些不容易被追查的商品,这不算高风险异常行为么?
   7. 银联云闪付: 和其他支付公司一样, 都存在绑卡验证不严的问题。但是,人家态度是好的啊,凌晨3、4点,客服人员都能用极好的态度和我们沟通,让我们放宽心。第二天有专员联系我们,告诉我们昨晚报的损失少报了,他们查出来我们还有其他损失,并给了详细的指引告诉我们怎么去申请理赔,第二天他们内部调查有新的进展也都第一时间联系并告知我们。
  8. 财付通:人工客服太难找了,不过风控也还是有效的,这两天在没有通知我们的情况下,陆陆续续追回了几笔交易金额。
  9. 京东:不想说了,反正就是“交易已经发生了,损失你自己承担”,但还好就一笔100元的游戏充值卡。
  10. 百度 对方刚好操作到它的时候短信功能已经被我关了,对方也只是绑定了银行卡,还没来得及消费,就不用找它理论了。
多数支付机构基本都有一个现象:允许用不同的手机号码注册相同shi名认证的支付账号,允许两个账号绑定相同的银行卡,shi名认证有人脸活体识别技术的都被绕过了。支付机构都在推“快捷绑卡”,是快捷了,点几下鼠标就绑卡了。除了短信验证码,支付宝的快捷绑卡还验证了下支付密码,但好像意义也不大,比如我这种情况,支付账号都是别人用我的信息新建的,支付密码也是他设置的。

[email protected] News给出一些预留方案:

-1.建议设置锁屏状态下不显示任何通知

0.丢失手机后应尽量及时挂失手机卡和银行卡

1.建议设置 SIM PIN,即使黑产有能力搞到 PUK,也可以起到给挂失争取时间的作用

2.有备用机的朋友们可以按需考虑将绑定重要账号(如支付宝、京东、银行等)的手机卡放家里,然后弄个短信转发