以前,手機(jī)丟了頂多損失一部手機(jī)錢���;
現(xiàn)在����,手機(jī)一丟���,不僅傾家蕩產(chǎn)����,而且還有可能背負(fù)一身巨債�。
對(duì)小偷來(lái)說(shuō),手機(jī)不再是目的�,手機(jī)里的移動(dòng)支付才價(jià)值連城。
1.
教科書般洗劫存款����,丟啥不能丟手機(jī)
最近��,一個(gè)叫“老駱駝”的信息安全專家手機(jī)被偷��,揭開了移動(dòng)支付的巨大漏洞��!
短短一天�����,他的銀行卡、信用卡�����、支付寶�����、微信支付、美團(tuán)支付��、蘇寧金融……全部遭到破解����,損失慘重。
你能想象嗎����?盜竊團(tuán)伙的速度之快、手法之專業(yè)�����,就連安防專家都被摁在地上摩擦��!
普通人�����,那就只能成為砧板上的魚肉了����。
我們趕緊來(lái)見識(shí)一下犯罪分子登峰造極的作案手法。
按理說(shuō)���,我們手機(jī)都有指紋解鎖��,移動(dòng)支付更是密碼重重���,他們是怎樣撬開這一扇扇安全門的呢?
進(jìn)入正題��!
第一���,竊取手機(jī)號(hào)碼
小偷只是盜竊團(tuán)伙最基層的一環(huán)�,他們偷到手機(jī)后會(huì)以迅雷不及掩耳的速度轉(zhuǎn)移給總部的技術(shù)專家。
這是因?yàn)槭е饕话悴粫?huì)立即掛失手機(jī)號(hào)���,而是會(huì)先打電話給被盜手機(jī)���,試圖挽救。
盜竊團(tuán)伙就是利用這個(gè)稍縱即逝的空檔�,第一時(shí)間把手機(jī)卡拔出來(lái)插到自己手機(jī)上,隨便打個(gè)電話發(fā)個(gè)短信�����,就竊取到了失主的手機(jī)號(hào)碼�����。
這是成功的第一步�����。
第二��,套取失主全部身份信息
僅僅拿到手機(jī)卡����,并不能直接打開移動(dòng)支付里的錢包�。
而且,萬(wàn)一失主掛失手機(jī)號(hào)���,豈不是竹籃打水一場(chǎng)空�����?
所以�,失主的身份證信息就成了關(guān)鍵的第二步�。
怎么操作呢?
犯罪分子充分證明了他們的專業(yè)能力���。
他們打開社保局的APP�����,點(diǎn)擊忘記密碼,選擇短信驗(yàn)證碼登陸�����,這就打開了失主的電子社?�?ㄙ~戶�����。
賬戶里面����,身份證號(hào)碼��、社保金融卡等銀行卡信息一應(yīng)俱全��。
手機(jī)號(hào)+身份證信息在手���,從此一路綠燈�����。
第三�,反掛失
失主“老駱駝”意識(shí)到手機(jī)被偷后�,很快就掛失了手機(jī)號(hào)碼�����,并開始了一系列挽救措施���,比如:
把手機(jī)銀行里活期余額全部轉(zhuǎn)出來(lái)�,聯(lián)系多家銀行凍結(jié)借記卡�、信用卡����,把支付寶�、微信上的資金轉(zhuǎn)走���,綁定的信用卡全刪掉……
但是���,很快他就發(fā)現(xiàn)遇到高手了�����。
當(dāng)天晚上����,犯罪團(tuán)伙偷偷把手機(jī)號(hào)解掛了。
在我們思維里�����,解掛需要本人拿著身份證去營(yíng)業(yè)廳��。
事實(shí)上����,一個(gè)電話就能解決。
因?yàn)榉缸锓肿幽玫绞謾C(jī)號(hào)與身份證號(hào)后�����,隨便編個(gè)“夫妻吵架”的理由�����,就能解除掛失狀態(tài)����。
這說(shuō)明犯罪分子在作案前,已經(jīng)把電信業(yè)務(wù)流程摸得一清二楚����。
第四����,解鎖手機(jī),登陸微信支付寶
我們上面說(shuō)過(guò)���,有了手機(jī)號(hào)+身份證信息就能一路綠燈���,下一步就是解鎖手機(jī)了。
犯罪團(tuán)伙先打電話給移動(dòng)運(yùn)營(yíng)商客服���,修改服務(wù)密碼�,然后配合短信驗(yàn)證碼���,就能把手機(jī)廠商的密碼改掉����,最后解鎖屏幕��,進(jìn)入手機(jī)�����。
很多人以為的鋼鐵防線�,就這樣被輕松突破����。
打開手機(jī)后,他們就能登陸微信�、支付寶,把失主擠下線��。
第五����,瞞天過(guò)海�,成功套現(xiàn)
上面提到過(guò),失主“老駱駝”是一位工作了十幾年的安防專家���,他第一時(shí)間把手機(jī)APP里面的錢轉(zhuǎn)了出去�����,而且還解除了和銀行卡的綁定��。
但是,道高一尺魔高一丈�����,犯罪分子早已看穿了一切�����。
我們都知道����,一個(gè)人可以有兩個(gè)支付寶�,犯罪分子正是抓住這一點(diǎn)�,用失主的手機(jī)號(hào)和身份證注冊(cè)了一個(gè)新支付寶����。
支付寶要綁定銀行卡或信用卡,此時(shí)失主已經(jīng)凍結(jié)銀行卡了�,怎么辦?
智者千慮���,必有一失�。
我們都有這樣的經(jīng)歷���,早年辦了很多銀行卡,有的丟了����,有的找不到了,被遺忘的這些卡自然想不到去凍結(jié)���。
另外����,失主的信用卡綁定了ETC�,如果凍結(jié),高速都上不了���,所以他保留了這張信用卡。
恰好��,這兩個(gè)漏洞全部被犯罪分子抓到了���。
他們只需要手機(jī)號(hào)+身份證號(hào)碼,在卡類管家等軟件上一查�����,就能查到失主所有借記卡�、信用卡賬戶。
他們用漏掉的信用卡綁定新注冊(cè)的支付寶��,設(shè)置一個(gè)連失主都不知道的支付密碼�����,就能把你的卡刷爆����。
當(dāng)然,在“老駱駝”這起案件中���,支付寶風(fēng)控系統(tǒng)自動(dòng)識(shí)別犯罪團(tuán)伙異常操作�����,阻斷了交易�。
但是����,第三方支付可不止支付寶一家�����,還有京東白條�、美團(tuán)支付、百度錢包�、蘇寧金融���、360借條……幾十家支付機(jī)構(gòu)
為了方便拉新,他們?nèi)客瞥隹焖俳壙?���,只需一個(gè)身份證號(hào)+短信驗(yàn)證碼�,就能輕松綁定你的銀行卡。
銀行卡沒(méi)錢沒(méi)關(guān)系��,網(wǎng)絡(luò)借貸一大堆�。
事實(shí)上,犯罪分子就是通過(guò)第三方APP綁卡���,用失主名義申請(qǐng)貸款�,再通過(guò)購(gòu)買虛擬卡幣和網(wǎng)絡(luò)充值成功套現(xiàn)。
這意味著即使你把錢轉(zhuǎn)出來(lái)了����,但仍然逃不掉從天而降的債務(wù)。
2.
新一輪財(cái)產(chǎn)安全隱患來(lái)了��!
有個(gè)事實(shí)大家可能不知道���,“老駱駝”只是偷竊手機(jī)�����、盜刷銀行卡受害者中的冰山一角����。
目前�����,全國(guó)手機(jī)網(wǎng)民接近10億���,丟失手機(jī)引發(fā)的盜刷現(xiàn)象正在成為新一輪的財(cái)產(chǎn)安全隱患����。
2019年9月�����,上海破獲全國(guó)首起偷竊手機(jī)盜刷銀行卡大案���,從此之后�,這種新型犯罪正式浮出水面����。
當(dāng)時(shí),警方突然接到多起信用卡被盜刷的報(bào)案����,一查�����,原來(lái)所有受害者手機(jī)都曾在四川被偷過(guò)����。
犯罪團(tuán)伙偷盜手機(jī)后首先解鎖,再利用SIM卡在攜程上找到失主身份證和銀行卡信息��,然后用身份信息致電運(yùn)營(yíng)商更改手機(jī)服務(wù)密碼���,取得了手機(jī)控制權(quán)。
等到失主補(bǔ)辦手機(jī)號(hào)后��,才發(fā)現(xiàn)銀行卡被洗劫一空�����。
對(duì)比“老駱駝”案�,真的是一樣的手法,一樣的配方���。
今年國(guó)慶節(jié)�,廣西一名男子手機(jī)被盜�����,半天時(shí)間12萬(wàn)不翼而飛���。
犯罪分子用同樣方法破解了他的手機(jī)密碼和支付密碼,然后在京東買了25臺(tái)蘋果和華為手機(jī)�,全部使用極速達(dá)。
當(dāng)警察趕到收貨地址�,早已人去樓空。
360有一份統(tǒng)計(jì)數(shù)據(jù)���,僅在2020年上半年,360就接到1561起手機(jī)盜刷舉報(bào)����,人均損失超過(guò)10000元�。
毫無(wú)疑問(wèn)�,在移動(dòng)支付高度便利的當(dāng)下,手機(jī)在成為財(cái)產(chǎn)柜的同時(shí)����,也成為了犯罪分子最垂涎的肥肉。
3.
復(fù)盤:10億人的財(cái)產(chǎn)安全戰(zhàn)爭(zhēng)
犯罪團(tuán)伙的專業(yè)手法讓人細(xì)思恐極�����。
回過(guò)頭�,我們來(lái)復(fù)盤一下他們教科書般的手段:
首先��,一線小偷蹲點(diǎn)�����,挑選特定人群盜取手機(jī)����,轉(zhuǎn)交技術(shù)專員�。
他們選擇營(yíng)業(yè)廳下班后,失主無(wú)法補(bǔ)卡的空檔期電話解掛手機(jī)號(hào)��,這就給團(tuán)隊(duì)爭(zhēng)取到了一整晚的作案時(shí)間�。
其次,技術(shù)專員負(fù)責(zé)竊取身份證�、銀行卡,修改手機(jī)廠商密碼���,解鎖失主手機(jī)�����,全面奪取主動(dòng)權(quán)。
緊接著�,他們進(jìn)入手機(jī),轉(zhuǎn)走銀行卡����、微信、支付寶所有余額���。
最后�,如果手機(jī)里面沒(méi)有錢����,那就用失主身份注冊(cè)網(wǎng)貸賬號(hào)�,綁定銀行卡���。
成功貸款后��,他們或者通過(guò)購(gòu)買虛擬卡幣套現(xiàn)�����,或者直接走手機(jī)銀行轉(zhuǎn)賬����。
各位發(fā)現(xiàn)沒(méi)有�,在這個(gè)過(guò)程中,犯罪團(tuán)伙并沒(méi)有拿槍指著誰(shuí)����,他們?nèi)淌褂玫亩际钦I(yè)務(wù)操作。
這說(shuō)明了什么�?
說(shuō)明了手機(jī)支付、移動(dòng)支付里面隱藏了巨大的漏洞���,比如解鎖屏幕、便捷綁卡��、驗(yàn)證碼登陸等等����,這些極其重要的屏障和操作,只要手機(jī)一丟���,立馬全部淪陷�����。
這就拋給了規(guī)則制定者一個(gè)問(wèn)題:
在設(shè)計(jì)移動(dòng)支付時(shí)��,到底是安全重要,還是便捷第一位�?
對(duì)他們來(lái)說(shuō),這值得反思����,再反思。
那普通人要注意什么呢��?
第一,手機(jī)不僅要設(shè)屏保密碼���,而且還要設(shè)SIM卡密碼���,這樣犯罪團(tuán)伙就沒(méi)辦法把卡拔下來(lái)繼續(xù)用了���。
第二����,手機(jī)被盜不要心存幻想——第一時(shí)間掛失手機(jī)卡����。我們開頭說(shuō)過(guò),手機(jī)丟了可以再買��,但是身份信息泄露���,全部家當(dāng)裸奔���。
第三����,手機(jī)里面千萬(wàn)不要留身份證和銀行卡照片����。
第四����,平時(shí)不用的銀行卡盡量注銷�,凍結(jié)銀行卡的時(shí)候,一定要全部?jī)鼋Y(jié)��,不給犯罪分子留任何機(jī)會(huì)�。
最后,希望國(guó)家相關(guān)部門趕緊完善手機(jī)支付的風(fēng)控監(jiān)管規(guī)則����,這涉及到10億人數(shù)以萬(wàn)億的財(cái)產(chǎn),絕不是開玩笑的�����!
來(lái)源網(wǎng)絡(luò)