近期，有名為“信息安全老駱駝”（以下簡(jiǎn)稱：老駱駝）的網(wǎng)友將手機(jī)失竊后的遭遇寫成了文章《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》，引發(fā)了廣泛關(guān)注，并獲得了支付寶等機(jī)構(gòu)的回應(yīng)。

10月12日，老駱駝發(fā)布了該文章的修訂版，并表示，其個(gè)人的損失都已追回。

老駱駝介紹，四川電信修改了電話掛失、解掛的業(yè)務(wù)規(guī)則；文中身份信息泄露來源的APP也進(jìn)行了對(duì)應(yīng)安全升級(jí)；支付機(jī)構(gòu)也積極聯(lián)系了我，探討如何加強(qiáng)這方面的安全防護(hù)。

老駱駝在文章中提出了幾條建議：1.給自己的手機(jī)sim卡上個(gè)密碼，2.給手機(jī)設(shè)置屏幕鎖，3.確保手機(jī)鎖屏狀態(tài)下來短信無法看到短信驗(yàn)證碼內(nèi)容。

事件的起因是9月4日下午7時(shí)30分，老駱駝家人的華為手機(jī)被盜，對(duì)方把卡取出來放在其他手機(jī)，利用短信驗(yàn)證碼從某APP上獲取到身份證、銀行卡號(hào)信息；同時(shí)用獲取的信息修改了電信服務(wù)密碼、華為云密碼。

在老駱駝?chuàng)艽蛩拇娦牛ㄖ码?0000號(hào)）掛失手機(jī)卡后，遭到了手機(jī)偷盜方的解掛，通過電信10000號(hào)掛失解掛的攻防來回?cái)?shù)十次，暴露出四川電信在手機(jī)卡掛失流程上的問題。

根據(jù)老駱駝的自述，手機(jī)偷盜方利用獲得的個(gè)人信息，在美團(tuán)、蘇寧金融、云閃付等平臺(tái)，申請(qǐng)貸款，購買虛擬卡充值，對(duì)其造成了經(jīng)濟(jì)損失。手機(jī)偷盜方甚至用被盜的手機(jī)號(hào)碼注冊(cè)了新的支付寶。

老駱駝?wù)J為，手機(jī)偷盜方完成這一整套偷盜、申請(qǐng)貸款、轉(zhuǎn)移資金的動(dòng)作，核心是需要拿到手機(jī)主人的身份證信息。

在《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》最初的原文中，老駱駝判斷這與某政務(wù)機(jī)構(gòu)的產(chǎn)品有關(guān)。

在此次修訂版的文章中，老駱駝稱，文中身份信息泄露來源的APP也進(jìn)行了對(duì)應(yīng)安全升級(jí)。“但這一塊也是我目前最擔(dān)心的，互聯(lián)網(wǎng)上以手機(jī)短信驗(yàn)證碼可進(jìn)行登錄并查看身份信息的網(wǎng)站和APP還是比較多。”

老駱駝自述自己長(zhǎng)期從事金融行業(yè)信息系統(tǒng)的安全漏洞檢測(cè)。“但經(jīng)歷了這次盜刷事件之后我才發(fā)現(xiàn)，相比黑客利用各種高深的技術(shù)漏洞攻擊金融信息系統(tǒng)，更可怕的是這種把每一項(xiàng)看似沒問題的問題組合而成的犯罪，讓人防不勝防。也希望今后在工作之余，能有時(shí)間把自己在金融信息安全行業(yè)的專業(yè)知識(shí)，用大家都能看得懂的方式寫出來，提高大家的安全防范意識(shí)。”

以下為：微信公眾號(hào)信息安全老駱駝10月12日發(fā)布的文章《一部手機(jī)失竊而揭露的黑色產(chǎn)業(yè)鏈—完整修訂版》

“大家好，之前一篇文章《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》發(fā)布后，引起了大家極大的關(guān)注，但由于之前事發(fā)突然，文章寫得倉促，自己的分析也有草率不準(zhǔn)確的地方，在公眾號(hào)后臺(tái)廣大網(wǎng)友也提出各種疑問。為了避免給大家傳導(dǎo)錯(cuò)誤的信息，這里我將事件情況按我目前分析得到的結(jié)論重新整理一下，刪掉部分廢話和已證實(shí)當(dāng)初推論不正確的內(nèi)容。同時(shí)也希望大家知道，我的這個(gè)事件確屬個(gè)案，事件涉及的機(jī)構(gòu)也已對(duì)關(guān)鍵環(huán)節(jié)做出了有效的調(diào)整和應(yīng)對(duì)，在打擊金融犯罪方面，相關(guān)監(jiān)管部門也是非常重視，我們也不必過度恐慌。”

文章開始前，先回答廣大網(wǎng)友比較關(guān)注的幾個(gè)問題：

1.相比android手機(jī)，如果使用的是蘋果手機(jī)遇到相同的情況，是不是更安全一些？

答：犯罪分子目的是手機(jī)卡，當(dāng)然抹除數(shù)據(jù)或者刷機(jī)后進(jìn)入原手機(jī)也是其避開支付軟件風(fēng)險(xiǎn)控制策略的一個(gè)手段。但蘋果手機(jī)如果在可越獄的版本下，也是可以通過隱藏ID的方式刷機(jī)后進(jìn)入再安裝APP進(jìn)行操作。所以“哪種手機(jī)更安全”可以忽視，設(shè)置sim卡密碼才是關(guān)鍵。

2.事件的后續(xù)進(jìn)展？

答：我個(gè)人的損失都已追回。四川電信修改了電話掛失、解掛的業(yè)務(wù)規(guī)則；文中身份信息泄露來源的APP也進(jìn)行了對(duì)應(yīng)安全升級(jí)；支付機(jī)構(gòu)也積極聯(lián)系了我，探討如何加強(qiáng)這方面的安全防護(hù)；

3.之前的文章為何刪除？

答：原本只是為了分享給小區(qū)業(yè)主的警示文，但習(xí)慣了“技術(shù)漏洞分析報(bào)告”的風(fēng)格，很多不必要寫的東西寫得太細(xì)，加上第一篇文章當(dāng)時(shí)很多推測(cè)是有誤的；由于網(wǎng)上現(xiàn)在一大堆對(duì)之前文章的轉(zhuǎn)載，還是希望把事情說清楚更嚴(yán)謹(jǐn)一些，不要給大家造成誤會(huì)和恐慌，所以重新整理后上線了這篇文章。

01

—

手機(jī)被盜當(dāng)天（9月4日）

19:30手機(jī)在小區(qū)門口的水果店被盜，家人撥打手機(jī)對(duì)方接通一次后立馬關(guān)機(jī)了。自己抱著一絲僥幸的心理，僅僅只是使用了“查找我的手機(jī)”里的鎖定設(shè)備功能，想著通過手機(jī)定位嘗試能否找回手機(jī)，沒有第一時(shí)間掛失（如果當(dāng)時(shí)立即掛失手機(jī)卡，后面的事情根本也就不會(huì)發(fā)生了）。

20:51對(duì)方把卡取出來放在其他手機(jī)，利用短信驗(yàn)證碼從某個(gè)APP上獲取到身份證、銀行卡號(hào)信息；同時(shí)用獲取的信息修改了電信服務(wù)密碼、華為云密碼。（后期通過分析短信詳單得知）

21:24家人發(fā)現(xiàn)被偷手機(jī)可以撥通，隨后我的手機(jī)收到提示手機(jī)在成華區(qū)上線了，但很快手機(jī)關(guān)聯(lián)的華為賬號(hào)被解除，這一步現(xiàn)在來看，對(duì)方應(yīng)該是使用了華為的數(shù)據(jù)抹除功能，并重新用華為賬號(hào)登錄手機(jī)并解綁。意識(shí)到對(duì)方不是普通的偷手機(jī)，我立刻致電10000號(hào)掛失手機(jī)卡，但此時(shí)電信服務(wù)密碼已經(jīng)不正確了，通過驗(yàn)證身份證號(hào)碼加提供上個(gè)月聯(lián)系過的三個(gè)電話號(hào)碼進(jìn)行了掛失。開始采取緊急措施，通過手機(jī)銀行轉(zhuǎn)移活期余額，聯(lián)系多家銀行凍結(jié)信用卡，把支付寶、微信上的資金轉(zhuǎn)走，綁定的信用卡全刪掉。

21:48家人說電話還可以打通，再次致電10000號(hào)，詢問為什么沒有掛失，回復(fù)說卡是正常狀態(tài)，于是要求繼續(xù)掛失。

21:55越想越不對(duì)勁，第一次掛失后自己是打電話確認(rèn)了無法接通的。又致電10000號(hào)，詢問之前掛失失敗的原因是什么。得到答復(fù)，第一次掛失是成功了的，但后面又被解掛了。這一點(diǎn)自己確實(shí)是沒想到的，掛失后還可以憑服務(wù)密碼或者身份信息和通話記錄進(jìn)行解掛。（現(xiàn)在四川電信已經(jīng)對(duì)這個(gè)業(yè)務(wù)流程做出了調(diào)整）

根據(jù)銀聯(lián)云閃付上的綁卡信息，繼續(xù)給銀行電話，挨個(gè)凍結(jié)儲(chǔ)蓄卡，ETC信用卡因?yàn)槲唇壎ㄔ贏PP上，自信的認(rèn)為對(duì)方無信用卡CVV等信息肯定盜刷不了，且第二天要出行上高速，就沒去管了。有兩張銀行卡因?yàn)檗k理時(shí)間較早，卡也丟失了，就給漏下了。（后續(xù)的盜刷基本就都集中在這幾張卡上，反面教材警示）

00:23

，發(fā)現(xiàn)支付寶被擠下線，登錄的設(shè)備和丟失的手機(jī)型號(hào)一致。我這邊立即申請(qǐng)凍結(jié)支付寶、微信，接著登陸京東，蘇寧、國美等常用的APP，更換關(guān)聯(lián)手機(jī)號(hào)碼。沒過一會(huì)，我的手機(jī)就收到一條京東的短信驗(yàn)證碼，感覺后面幾個(gè)APP應(yīng)該是保住了（蜜汁自信，最后還是被打臉）。實(shí)際上后面查短信詳單后發(fā)現(xiàn)，手機(jī)卡在22:00開始就陸續(xù)收到支付寶、微信等支付APP和各家銀行的短信，這里推測(cè)對(duì)方在哪個(gè)時(shí)間段在各個(gè)平臺(tái)注冊(cè)新賬號(hào)。

后面一晚上就是循環(huán)的我掛失、對(duì)方解掛，在10000號(hào)上來來回回幾十次（對(duì)方有手機(jī)卡、有服務(wù)密碼。目前四川電信這一塊業(yè)務(wù)已進(jìn)行了調(diào)整，不再支持這樣的多次電話掛失、解掛）。

5:00左右發(fā)現(xiàn)才注意到網(wǎng)廳有關(guān)閉短信的業(yè)務(wù)，嘗試著把短信功能關(guān)閉了。（后面查短信詳單時(shí)發(fā)現(xiàn)，正是關(guān)閉短信功能這個(gè)操作，中斷了他們后續(xù)的犯罪行為，不然損失肯定更嚴(yán)重，也慶幸對(duì)方?jīng)]注意到我的這個(gè)操作）

02

—

手機(jī)補(bǔ)卡、清點(diǎn)損失、分析過程（9月5日）

9:00，蹲守電信營業(yè)廳開門，9點(diǎn)8分完成補(bǔ)卡，但發(fā)現(xiàn)補(bǔ)回的手機(jī)卡被辦理了呼叫轉(zhuǎn)移業(yè)務(wù)，目前暫時(shí)還不知道對(duì)方這個(gè)操作的目的是什么。通過10000號(hào)把呼叫轉(zhuǎn)移關(guān)閉了。

開始清點(diǎn)損失，找回各個(gè)支付平臺(tái)的賬號(hào)，發(fā)現(xiàn)除了支付寶手機(jī)號(hào)被改了，并沒有其他異常記錄。

22:00還是不放心，當(dāng)天晚上再次核對(duì)時(shí)意外操作發(fā)現(xiàn)對(duì)方用偷到的手機(jī)號(hào)新建了一個(gè)支付寶，還綁定了那張被我們遺忘的建行卡，以及一張ETC信用卡（這張卡開通后未在其他地方使用過），而且賬單里有充值消費(fèi)記錄，以及支付寶風(fēng)的充值退回記錄。登陸建行網(wǎng)銀，發(fā)現(xiàn)9月5日凌晨4點(diǎn)多美團(tuán)轉(zhuǎn)進(jìn)一筆5000元的記錄，再看ETC信用卡有各種買卡、充值的記錄，銀聯(lián)轉(zhuǎn)賬記錄，一開始擔(dān)心的被申請(qǐng)貸款，雖然想到了但還是沒防好。

下載了短信和通話詳單，開始仔細(xì)分析通話和短信記錄。回憶從頭到尾的細(xì)節(jié)，逐個(gè)分析對(duì)方的作案流程，過程太繁瑣這里我直接給出分析結(jié)果：

獲取身份信息修改了運(yùn)營商服務(wù)密碼

短信驗(yàn)證碼修改華為密碼

通過刷機(jī)或者抹掉數(shù)據(jù)的方式進(jìn)入手機(jī)

用掌握的身份信息注冊(cè)支付平臺(tái)新賬號(hào)

通過支付平臺(tái)使用受害者原賬號(hào)申請(qǐng)貸款

通過線上、線下完成消費(fèi)

附加對(duì)這個(gè)過程的幾點(diǎn)說明：

1.獲取身份信息的途徑在9月7日的再次分析后才確認(rèn)；

2.目前新版本的華為，未找到有繞過鎖屏密碼的漏洞，通過后期的分析推測(cè)對(duì)方更可能是通過抹掉數(shù)據(jù)后進(jìn)入手機(jī)重裝支付APP，因?yàn)檫@樣更快捷。也只有進(jìn)入原手機(jī)，才能繞過支付公司的風(fēng)控規(guī)則做一些其他的操作。

3.根據(jù)其他相同遭遇網(wǎng)友的留言，在第五步申請(qǐng)貸款部分，有的是通過花唄，有的是通過白條，只是因?yàn)槲野l(fā)現(xiàn)對(duì)方支付寶把我擠下線后第一時(shí)間凍結(jié)支付寶，京東賬號(hào)因?yàn)閷?shí)名信息用的我自己的，因此這兩部分沒有遭受損失。

4.以支付寶為例，子賬號(hào)要開通花唄，可以通過向主賬號(hào)發(fā)送申請(qǐng)來開通，所以對(duì)方需要登陸我原來的支付寶賬號(hào)。

整理完所有的信息后，已經(jīng)凌晨?jī)扇c(diǎn)了，雖然很晚了但還是嘗試著挨家支付機(jī)構(gòu)打電話聯(lián)系告知被盜刷。銀聯(lián)云閃付客服態(tài)度極好，給他們報(bào)了損失金額，告知我們第二天會(huì)有專人聯(lián)系處理后續(xù)事情。準(zhǔn)備好一些材料，包括通話、短信記錄、銀行賬單，以及其他零散資料，因?yàn)楫?dāng)天離開了成都，只能第二天趕回去報(bào)警。

03

—

派出所報(bào)案，再次分析過程（9月6日）

8:00一早趕緊往成都趕。路上云閃付主動(dòng)聯(lián)系我們告訴我們昨晚提交的損失報(bào)少了，并讓我們報(bào)警后提供報(bào)案回執(zhí)單等一些材料提交過去，看樣子有可能要賠付，安心了不少。派出所民警聽說了我們的遭遇都表示驚奇，說之前從沒遇到過這種偷手機(jī)的，站在以往常規(guī)案例的經(jīng)驗(yàn)，懷疑是否我們泄露了身份證照片之類的導(dǎo)致的。我應(yīng)該是第一個(gè)來這個(gè)派出所報(bào)這種案件的，對(duì)于派出所民警的反應(yīng)其實(shí)是可以理解的，包括自己的家人也有在警察隊(duì)伍的，也表示沒聽說過類似的案件。

晚上在電腦前繼續(xù)回想所有細(xì)節(jié)，把整個(gè)過程串一遍，必要時(shí)用自己的APP和賬號(hào)進(jìn)行實(shí)驗(yàn)，驗(yàn)證自己的分析判斷。雖然補(bǔ)了手機(jī)卡，銀行卡都凍結(jié)了，帶支付功能的軟件都找回來各種修改密碼了，但總覺得哪里就是不對(duì)勁。突然又收到了財(cái)付通的支付驗(yàn)證碼請(qǐng)求，再關(guān)聯(lián)起前面的幾個(gè)可疑點(diǎn)，可以確定的是：還有其他支付賬號(hào)綁了我的銀行卡，既然前面對(duì)方用支付寶創(chuàng)建了小號(hào)，其他平臺(tái)上就大概率還有。挨個(gè)APP檢查，

發(fā)現(xiàn)用我們的手機(jī)號(hào)碼新建了支付寶、蘇寧、京東且包含有消費(fèi)記錄，這個(gè)操作隱蔽性強(qiáng)，如果我們沒發(fā)現(xiàn)的話，解凍了銀行卡，他們還可以用自己創(chuàng)建的支付賬號(hào)進(jìn)行一些小額消費(fèi)。但也有用他們自己手機(jī)號(hào)碼+我的身份信息創(chuàng)建的賬號(hào)，
比如微信，我只能收到支付短信但無法登陸對(duì)方賬號(hào)進(jìn)行銀行卡解綁。后面是自己挨家登陸銀行的網(wǎng)銀、手機(jī)銀行，在快捷支付菜單里進(jìn)行查詢和關(guān)閉的。

再次分析時(shí)發(fā)現(xiàn)對(duì)方如果要順暢的執(zhí)行完這一連串的操作，需要拿到手機(jī)主人的身份證信息，通過分析短信接收記錄成功定位到對(duì)方的獲取途徑。（目前對(duì)應(yīng)問題已修復(fù)，這里不描述細(xì)節(jié)內(nèi)容）

。

04

—

整個(gè)事件分析總結(jié)

在這一系列過程中，犯罪團(tuán)伙的特點(diǎn)：

1.全程用的都是正常的業(yè)務(wù)操作，只是把各個(gè)機(jī)構(gòu)的“弱驗(yàn)證”的相關(guān)業(yè)務(wù)鏈接起來，形成巨大的破壞；

2.團(tuán)隊(duì)分工協(xié)作，有成熟的作案腳本（后臺(tái)網(wǎng)友留言也證實(shí)了這一點(diǎn)，并且關(guān)鍵環(huán)節(jié)是有多個(gè)備用方案的）。

分析完犯罪團(tuán)伙，再來看下涉及的各個(gè)相關(guān)機(jī)構(gòu)的“弱點(diǎn)”環(huán)節(jié)，實(shí)際上任何一家機(jī)構(gòu)在過程中所涉及的業(yè)務(wù)，在不關(guān)聯(lián)在一起的角度上看，都是小問題甚至不算問題：

1.四川電信：電話掛失和解掛的業(yè)務(wù)未考慮到手機(jī)被盜后身份信息泄露的情況，（四川電信目前也已經(jīng)對(duì)這一環(huán)節(jié)進(jìn)行了調(diào)整）；

2.各支付機(jī)構(gòu)，每家支付機(jī)構(gòu)都有自己的風(fēng)險(xiǎn)控制策略，風(fēng)控策略對(duì)我這種情況很多關(guān)鍵業(yè)務(wù)是沒有提前識(shí)別并介入的，更多的是靠后期的異常交易發(fā)生后進(jìn)行追回，例如支付寶上第一筆盜刷到第二天早上的追回，間隔了5個(gè)多小時(shí)，可以理解為支付寶的“主動(dòng)賠付”；實(shí)際上如果犯罪分子是通過抹掉數(shù)據(jù)或者刷機(jī)進(jìn)入的手機(jī)，無論是android還是蘋果手機(jī)，相比正常使用的情況下，手機(jī)是有一些特征可以定位并應(yīng)用到風(fēng)控策略的，檢測(cè)到這種異常的情況下通過增強(qiáng)的身份驗(yàn)證，例如關(guān)鍵步驟采用人臉識(shí)別技術(shù)，可以起到阻斷的效果。

3.涉及身份信息泄露的移動(dòng)APP，主要是密碼找回功能對(duì)短信驗(yàn)證碼過度依賴，缺乏其他要素驗(yàn)證，其次就是涉及金融的敏感信息的保護(hù)不足，目前這個(gè)問題也已經(jīng)進(jìn)行了修復(fù)。但這一塊也是我目前最擔(dān)心的，互聯(lián)網(wǎng)上以手機(jī)短信驗(yàn)證碼可進(jìn)行登錄并查看身份信息的網(wǎng)站和APP還是比較多。

4.美團(tuán)貸款這塊，一開始我以為美團(tuán)是缺失貸款的人臉驗(yàn)證，后面上網(wǎng)查其他網(wǎng)友的經(jīng)歷，發(fā)現(xiàn)貸款申請(qǐng)是有需要人臉識(shí)別驗(yàn)證的情況。應(yīng)該是風(fēng)險(xiǎn)檢測(cè)這塊檢測(cè)到設(shè)備指紋是常用設(shè)備，所以就沒要求人臉驗(yàn)證吧。

5.華為手機(jī)，密碼找回功能過度依賴短信驗(yàn)證碼，缺乏其他關(guān)鍵驗(yàn)證信息

目前遺留未確定的問題：建行銀行卡卡號(hào)對(duì)方從何處獲取的？

所有支付公司都綁定了建設(shè)銀行的卡，其他支付公司可能是通過快捷綁卡完成的， 但云閃付的快捷綁卡列表上沒有建設(shè)銀行，也通過云閃付了解到對(duì)方是直接輸入卡號(hào)完成綁卡的。

一開始未注意到“快捷綁卡”這個(gè)功能時(shí)，一度以為是建設(shè)銀行泄露了我的卡號(hào)，但自己測(cè)試了客服電話、網(wǎng)銀、手機(jī)銀行、微信公眾號(hào)，都沒有發(fā)現(xiàn)在盜取到手機(jī)和身份信息后可直接查看的地方。后面甚至對(duì)建設(shè)銀行的快捷綁卡頁面做了技術(shù)檢測(cè)，發(fā)現(xiàn)整個(gè)過程沒有使用明文卡號(hào)，后臺(tái)請(qǐng)求中代表卡號(hào)的參數(shù)都是加密的。只能說銀行在個(gè)人信息保護(hù)、風(fēng)險(xiǎn)控制這塊更加的嚴(yán)格，雖然動(dòng)不動(dòng)很多業(yè)務(wù)要去柜面辦理，但直接保證了你的資金安全（我的損失鍋其實(shí)不在銀行，走快捷支付時(shí)資金安全只能依賴對(duì)應(yīng)的支付公司了）。

說完他們，最后再來說說自己，心存僥幸未第一時(shí)間掛失手機(jī)卡、掛失銀行卡時(shí)沒找齊所有卡，這些都給犯罪分子留下了機(jī)會(huì)。但通過這幾天的經(jīng)歷，不管中間情節(jié)有多少起伏，我作為一個(gè)有10多年信息安全從業(yè)經(jīng)驗(yàn)的老駱駝，都要被折騰成這樣，我實(shí)在是不想讓大家有跟我相同的經(jīng)歷。提幾個(gè)我個(gè)人認(rèn)為比較簡(jiǎn)單有效的防護(hù)措施：

1.給自己的手機(jī)sim卡上個(gè)密碼，

2.給手機(jī)設(shè)置屏幕鎖

3.確保手機(jī)鎖屏狀態(tài)下來短信無法看到短信驗(yàn)證碼內(nèi)容。

通過上面的措施就算手機(jī)丟了未能及時(shí)發(fā)現(xiàn)和掛失也不用擔(dān)心別人拔下卡插其他手機(jī)里繼續(xù)使用。

總結(jié)

以上是生活随笔為你收集整理的手机失窃致资金被盗！当事人：损失都追回的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。