正确的提示信息

扫码打开虎嗅APP

从思考到创造
打开APP
搜索历史
删除
完成
全部删除
热搜词
2020-09-29 20:57

手机被盗,30分钟后你可能就“倾家荡产”

本文来自微信公众号:IT时报(ID:vittimes),作者:李丹琦,编辑:挨踢妹,排版:黄建,题图来自:视觉中国


某种程度,手机号码已经成为个人的移动“身份证”,而几乎所有App都支持手机号码+验证码输入登录。一条验证码背后,你的整个移动互联网痕迹将被“敞开”,姓名、身份证号、家庭住址、银行卡号,甚至家人联系方式。


或许,你会说,不用担心,手机有屏保密码,拿到手机的人无法进一步操作。如果你真这么以为,那只能说“太天真”。


《IT时报》记者实测,刷机破屏保密码,已经在网上有成熟产业链,30分钟后,原本被锁屏的手机“焕然一新”,恢复出厂设置,可以进行任何操作。包括用你的手机号获取验证码后,登录支付宝、银行App、网贷平台……


这不是危言耸听。一名在安全行业浸淫10多年的“白帽子”,在妻子手机丢失之后,与黑产斗争了一天一夜,却依然损失数千元,在手机锁屏密码被破的那一刻,他其实已经输了。


值得深思的是,当越来越多的个人隐私和资产与手机相关时,“手机屏幕解锁”竟然堂而皇之地在不少电商平台销售,而且不需要购买者提供任何资质,这几乎相当于一个锁匠公开在网上吆喝:想开哪的门?来,我给你解锁!


实测视频:手机被盗,30分钟后可能让你倾家荡产


1. 手机丢失后,“白帽子”与黑产的深夜缠斗


不久前,一篇《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》被刷屏,作者是一位从事10多年网络攻防工作的人士老骆驼(网名),文中,他讲述了家人手机丢失后,经历的一场盗刷事件。



当晚7点30分,得知妻子手机丢失后,老骆驼并未在第一时间挂失手机SIM卡,而是与偷盗者展开了一场“搏斗”。


手机被盗后的45分钟内,犯罪分子将其手机卡拔出,插在其他手机上开机,通过发送短信的方式获取了老骆驼妻子的手机号、通过手机账号+短信验证码登录App的方式获得其身份证信息,成功修改了手机SIM卡的服务密码。


在此期间,对方成功破解了锁屏密码,解除了手机定位功能。


由于没有第一时间挂失手机SIM卡,老骆驼不得不通过向通信运营商提供身份证号码以及上个月联系过的三个电话号码的方式,才成功将妻子已经被修改密码的手机卡挂失。


吊诡的是,几分钟后,对方又解挂了老骆驼的挂失,并开始利用手机号和短信验证码盗刷老骆驼妻子的银行卡。整整一晚在挂失、解挂的循环操作中度过,但智者千虑终有一失,他最终还是损失了数千元。


老骆驼的案例并非个案。文章被大量转发后,他收到了几位网友留言,对方表示,与他的经历相同,损失最严重的一位,被人通过线上贷款的方式“盗刷”了68万元。


2019年9月,上海黄浦警方也曾对外披露过一起新型信用卡盗刷案。受害人均系手机在四川成都被盗后,于短时间内被实施了支付盗刷。


期间,嫌疑人曾伪装成信用卡用户拨打银行客服电话,在报出受害人个人身份信息、预留信息后,重置银行App登录密码实施犯罪。



警方层层追查之后才发现,尽管所有受害人手机均设有密码锁,且身份证也未曾有过被盗的情况,但由于手机锁屏密码被破解,犯罪嫌疑人利用手机加验证码的方式登录某些出行App后,获得受害人详细信息,然后利用这些信息通过了银行验证,实现了盗刷。


而据民警介绍,2019年3月份首起接报案件中,嫌疑人完成一套上述操作需要2小时,后期几起案件中甚至仅仅只需半小时。


2. 记者实测,手机被盗刷究竟需几步?


通过老骆驼的描述和此前警方披露的案例,记者发现,手机SIM卡挂失解挂、锁屏密码被破解,是盗刷成功至关重要的因素。于是,记者做了一番测试。


“去哪儿”个人信息未加密


手机SIM卡到底如何挂失、解挂?



9月22日,《IT时报》记者拨打了三大电信运营商客服电话。


上海移动10086客服告诉记者,如果用户的手机号码丢失,需要做停机保号处理,用户可直接提供自己的服务密码或者身份证号和姓名进行办理,之后用户携带身份证前往营业厅补卡,原卡将自动作废;如果需要解挂,向客服提供身份证号码和姓名即可。


上海联通的用户挂失,则要提供服务密码或者机主姓名、身份证号码和身份证地址等信息。如果需要解挂,同样需要上述信息。


上海电信方面,用户需要提供手机号、身份证号码以及手机服务密码进行挂失,解挂则需要本人携带身份证至营业厅补卡。


在警方披露的新型信用卡盗刷案中提到,为了成功实施犯罪,犯罪嫌疑人第一时间会致电运营商要求更改手机服务密码,取得手机控制权,即便等到失主补办好手机卡号时,才发现手机已经遭遇盗刷。


至于更改手机密码,三大运营商客服均表示:需要使用本机号码拨打客服电话,提供姓名、身份证号码进行重置。


问题是,身份证信息在很多网站都是明文存储,犯罪嫌疑人在获得用户手机和SIM卡后,想获得身份证信息并不难。多位从事网络安全的人士告诉记者,如果使用过去哪儿、携程等App,都可以查看到自己的名字和身份证号码。


9月23日,记者通过短信验证码的方式登录去哪儿App,在“常用信息”中看到,记者的手机号码、身份证号码、邮箱号码直接呈现在眼前,App并未对此做加密处理。



30分钟成功破解安卓手机屏锁


梳理老骆驼被盗刷的经历,另一个关键点在于,犯罪分子成功破解了手机屏幕锁,并解除了老骆驼手机的安全定位。


令人担忧的是,由于很多银行App、金融App考虑的主要风控因子之一便是“常用设备登录”,如果是本机登录操作,一般会默认是机主本人,简单手机号码+验证码便可一路畅通无阻。


记者发现,解锁手机屏幕锁的操作早已有成熟的链条,在电商平台上花费几十至几百元,半小时内就能破解手机锁屏密码,将手机恢复出厂状态。


在某主流电商平台搜索关键字“手机屏幕解锁”,会跳出不少卖家。苹果系统、安卓系统、Win系统,解锁服务费用大多在50元~200元之间。


9月23日,记者通过某电商平台购买了解锁华为手机屏幕的服务。卖家告诉记者:“(解锁)大约需要1小时,账户、ID全包,做好了可升级、刷机、可登录账户、数据清空。”


 

花了160元之后,只用了30分钟,对方便顺利解开了记者手中的一部华为Mate20 X,将其恢复至出厂状态。



通过商品详情信息可见,上述解锁安卓手机的卖家是一个10人团队,几乎可以为所有安卓手机提供“刷机救砖ROOT”“账户屏幕锁”“保留资料解锁”等服务,已经合作了上万家维修店铺。


在其商品界面的用户评价中,买家给予“性价比高”的评价,有图/视频的评价达5502条,追加评价达1174条。



一位从事网络安全工作的内部人士告诉记者:“此类人士大多都是手机产业内部人士,之所以能够提供手机解锁服务,不排除手机厂商有内线泄密。”


手机“锁匠”可以随便做?


锁,匡护的是安全,尤其是资产安全。



在现实世界里,开锁是一门技术活,提供开锁服务属于特种行业,需向所在地县级公安机关提出申请,取得《特种行业许可证》后才可经营。


《特种行业管理条例》第二十五条规定,经营开锁业的,承接开锁业务,应当确认委托人拥有闭锁物的所有权或者使用权,不能确认的应当拒绝;现场开锁时,应当如实填写《开锁服务记录单》,由委托开锁人、开锁技术人员分别签名、注明联系方式并留存备查。



商务部电子商务专家咨询委员会委员、上海段和段律师事务所合伙人刘春泉表示,开锁业属于特种行业,必须到公安部门备案,无证经营会受到处罚。


但在互联网的世界里,尽管手机与每个人的移动财产安全息息相关,但似乎很少有人同样把它看作“一把锁”,一把关联“网络身份”的锁。



同理,在互联网上销售“手机屏幕解锁服务”,也并没有被认为是需要特别监管的行业。


“在电商平台上提供相应服务应当受到监管”。刘春泉认为,电商平台也应当对提供手机解锁服务的商家验证,出台相应的管理措施,否则不排除这一漏洞被人恶意利用的可能。


目前,政府部门尚未对这一行业出台相应的管理办法,在电商平台上搜索关键字,也能够直接检索出与之匹配的服务。


尽管卖家会在商品销售页面备注“偷抢机器赃机不解”,但却没有任何措施确认买家身份和手机来源。


淘宝客服表示,平台只能处理买卖双方钱款交易,但无法保证商家开店后是否会做违法犯罪的事情。只有消费者向平台进行反馈,并提供相应的凭证,平台才会针对反馈内容对店铺进行处理。


相关链接


手机丢失后,第一时间要做这些!


手机丢失后,很多人会更在意手机的价值而忽略SIM卡的重要性,而正因为人们对SIM卡重视程度不高,才给犯罪分子留下了可乘之机。


因此,如果手机丢失,第一时间一定要做的是,挂失号码,补办新卡,同时挂失所有的银行卡。


“破解手机后,除了进行上述盗刷操作,有经验的骗子还会打印出手机话费详单,通过手机号码来分辨哪些可能是家人,再进行电话诈骗。”


一位从事网络安全工作的人士表示:“如果机主不挂失SIM卡,一旦手机卡流入黑市,犯罪分子还会用来注册微信号进行诈骗,后果不堪设想。


只有新的手机、新SIM卡到手,成功登录微信、支付宝等重要App后,才能确保万无一失。”


另外,除了给手机屏幕上锁之外,手机卡也需要上密码。



这样,换了手机便无法正常使用手机卡,具体的设置根据手机型号不同有所区别。


以华为手机为例,打开设置-安全-更多安全设置-加密和凭据-设置卡锁,选定手机卡后,启用密码(通常初始密码为1234或者0000),用户只需重置密码后便能完成对手机SIM卡的密码设置。


苹果手机的这一操作需要打开设置-蜂窝网络-SIM卡PIN码-更改PIN码-输入初始密码(通常为1234或0000)后,进行重置即可。


本文来自微信公众号:IT时报(ID:vittimes),作者:李丹琦,编辑:挨踢妹,排版:黄建

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文

支持一下

赞赏

0人已赞赏

大 家 都 在 看

大 家 都 在 搜

好的内容,值得赞赏

您的赞赏金额会直接进入作者的虎嗅账号

    自定义
    支付: