倍可親

小偷正在悄然轉型,偷到一部手機就能盜刷你大半家產!

作者:8288  於 2021-7-9 06:56 發表於 最熱鬧的華人社交網路--貝殼村

作者分類:網路文摘-雜談|通用分類:熱點雜談|已有1評論

很多人目前都有這麼一個看法:隨著智能手機和移動支付的普及,我們出門只需要帶一部手機即可,再也不用防著小偷偷盜錢財了。還有人經常調侃:全國的小偷這幾年都快餓死了吧!但要告訴你的是:這種看法是極其錯誤的!

越來越多的案例表明,小偷這個群體,也正在擁抱網際網路轉型升級,他們只需要偷走你的手機,幾乎就等於拿到了你家的鑰匙,後果極其嚴重。今天,我們請來在看守所的老朋友「金不歡」,給大家講一講小偷這個行業的「新玩法」。

打開網易新聞 查看更多圖片 

大家好,我是金不歡,因為搞黑灰產被判刑5年,目前正在監獄服刑。春節期間二弟來看我,想讓我講一講之前搞手機盜刷的那些事。為了爭取減刑,我決定把這個行當的情況通過「終結詐騙」給大家好好說說,算是給大家一個提醒。

年輕的時候,我因為交友不慎,誤入了偷盜這個行當,一干就是二十幾年,也算是個內行人了。總的來看,偷盜這個行業也算是經歷了起起落落。

在2000年我剛入行的時候,剛好趕上中國加入世貿、經濟高速發展,我們小偷也享受了一波紅利。

但到了2010年之後,隨著各類監控視頻探頭的安裝,以及智能手機和微信、支付寶的普及,確實給我們這個行業沉重一擊,很多同行搞不到錢不得不轉行搞詐騙。

但最近一兩年,我們這些小偷界的元老級人物,不斷開拓創新,與其他黑灰行業深度合作,開發了一個「先偷手機、再盜財產」的產業鏈,救無數同行與水火。當然,我也是因為這個,被抓了進來。

今天,我就把這個產業鏈給大家講一講(當然,關鍵的地方會隱去),希望大家能夠認識到這個產業鏈的危害性,更好保護自己的財產。總的來說,這個產業鏈有這幾個步驟。

第一步:偷盜手機

現在人出門基本都不帶現金,甚至連銀行卡都不帶,身上最重要的,可能就是一部手機了。

很多人剛用上智能手機后,總會嘲笑我們小偷一定會黔驢技窮、失業在即,也逐漸放鬆了警惕。但他們不知道的是,在當前各大金融系統的安全認證模式下,這部手機背後關聯著他幾乎所有的財產。在我們眼裡,這一部部手機,就是一家家的保險櫃。

所以,我們的目標非常簡單,就是去偷手機。成功偷到了手機,就等於拿到了保險櫃的一半鑰匙。

第二步:破解手機密碼

如果幸運,偷來的手機沒有設置鎖屏(開機)密碼,直接就可以看到裡面的內容,那麼,就等於把保險櫃的另一半鑰匙也送給了我們,可以直接拿裡面的錢了。

即使是有密碼也不怕,如果是安卓系統的手機,只要按照我們這個行業交流的辦法,幾秒鐘就可以恢復出廠設置,進入手機。網上有很多所謂技術人員,經常會更新如何破解手機鎖屏密碼的視頻,確實給一些忘記密碼的人提供了幫助,但也給我們提供了技術指導。雖然手機公司也會定期彌補漏洞,但總會有聰明人想到辦法。

蘋果系統的手機雖然不能破解開機密碼,但是卻有一個簡單粗暴的辦法,那就是把SIM卡拔下來,直接插到別的手機上進行接下來的盜刷操作。只是,因為換了手機,很多風控規則繞不過去,成功率就會大大降低。

第三步:更改手機服務密碼

我們為什麼要進入手機呢,不是看他們的聊天記錄、簡訊記錄這些無聊的東西,而是要用這部手機當做接收簡訊驗證碼的工具,進行後續的盜刷操作。

但這個時候,我們要考慮到失主在發現手機丟失後會掛失SIM卡,為了給後續的盜刷操作贏得時間和空間,我們還要做一件事,那就是更改手機卡的服務密碼

什麼是手機卡的服務密碼呢,其實從安全性上來說,它和銀行卡的密碼沒什麼兩樣。對於運營商而言,你輸對了服務密碼,他們就默認你是卡主,就如同銀行的ATM機,只需輸對密碼就可以取錢一樣,ATM機才不管你是不是持卡人呢。只是可惜,很多人只注重銀行卡密碼,卻從來不注重服務密碼。不信,你們現在有幾個人能清晰地說出自己手機卡的服務密碼來?

但是,更改手機服務密碼必須要知道機主的手機號、姓名和身份證號這些基礎信息。手機號很容易搞到,只要給別的手機打個電話,不用接通就可以知道全部的手機號碼。那麼,姓名和身份證號怎麼搞到呢?這個也難不倒我們。

現在很多政務類、購物類的網站都會記錄每個人的個人信息,但由於他們不是金融類、支付類的網站,對安全防護的考慮不足,很多網站只需要「手機號+動態驗證碼」就可以登錄,這就給我們提供了極大方便。我們下載一些政務類的APP,把手機號和收到的驗證碼輸入進去,就可以看到手機號關聯的全部個人信息了。

此前曾有媒體報道,某省人社APP只用手機和驗證碼就可快捷登錄,看到參保人信息(目前應該已經整改)

除了這些政務類的網站,通過一些旅遊類、訂票類的APP等,也都可以從歷史訂單中獲取機主的個人信息。即使有的APP只能獲取一部分信息,多用其他APP交叉驗證就可以得出了。這一點,在黑產界早已經不是什麼秘密。畢竟,政務類、旅遊類、訂票類的APP設計邏輯更多考慮的是方便,而根本不像金融類APP那樣把安全放在第一位。這恰恰是我們利用的弱點。

掌握到「姓名+手機號+身份證號」這些信息,一般就可以到運營商網站更改服務密碼了。只要更改了服務密碼,這個手機和這張SIM卡就在我們的控制之中了。即使機主能夠掛失,我們也可以解掛(當然,這是我被抓之前的做法,現在不知道全國各地的運營商有沒有彌補上這個漏洞)。

到了這個時候,保險櫃鑰匙的80%已經掌握在我們手裡了。

第四步:掌握銀行卡號

掌握了前面那些基礎信息之後,想要盜刷,還必須知道手機機主的銀行卡號。銀行卡號是各金融類APP認證身份的重要憑證,也是打開機主財富大門鑰匙上最關鍵的零部件。

那麼,我們最常用的手法是什麼呢?

之前,在「豆瓣網友「獨釣寒江雪」的案件破了!終結詐騙獨家還原嗅探盜刷全過程!」中,通過提審犯罪嫌疑人掌握了他們常用的一些手段,由於這個環節是盜刷的關鍵一步,我不能講得太詳細,但可以告訴大家的是,都是利用支付類、銀行類網站、APP內的原始設計,通過交叉印證得出的。

而且,同行之間基本都掌握了一些網站、APP的突破手段,我們一般會互相交流分享,或者直接發包給別人做,最後按比例分成即可。

第五步:實施盜刷

通過前面幾個環節的工作,到目前為止,我們就掌握了手機機主的「姓名、身份證號、銀行卡號、手機號以及可以隨時收取的驗證碼」,至此,除了機主的「人臉」還無法獲取外,已經基本掌握了盜刷的全部條件。

這個時候,我們就可以利用市面上流行的各大第三方支付APP、銀行APP、貸款APP、購物APP來進行盜刷了。按照二弟的要求,這些APP我不再點名,怕有人利用。但是我想告訴大家的是,每一個APP的設計雖然都有自己的一套邏輯,但都有可以被我們利用的地方。

這有兩個方面的原因:

第一,在絕大部分的APP設計邏輯中,姓名、身份證號、銀行卡號、手機號和驗證碼只要同步通過機器校驗,就基本可以認定「你」就是「你」,而機器不知道的是,我們已經掌握了這些信息,機器認為的「機主」其實是「小偷」。

第二,一些貸款類、購物類網站為了增加用戶體驗,說白了就是更快地貸出錢,更快地賣出東西,大大降低了安全認證的驗證難度,我們很容易就可以綁定銀行卡發紅包,購買虛擬幣售賣,甚至直接貸款轉賬。

當然,為了避免教唆犯罪,我不可能說得那麼詳細,盜刷的方式和手段也不能詳盡說出,但請大家明白,這個盜刷的成功率非常之高,除去一些風控很牛逼的大公司,其他的簡直是易如反掌,家產小的,盜刷一般也不足為奇!

呼籲與提醒

對於每一個普通人:

1.請改變過去錯誤的認識,智能手機的出現雖然降低了現金被盜的概率,但是隨著黑產技術手段的不斷增強,智能手機也可能是送給黑產者一把打開你財富的鑰匙。

2.請不要過分擔心,雖然黑產利用了各大公司的漏洞,但是很多公司的風控做得是比較好的,一般情況下,這種損失是可控的,越大的公司,後期的賠付能力就越強。

3.請一定設置好你手機的鎖屏密碼,並同步設置SIM卡密碼(具體可參見鏈接「不管你是用iphone X還是Nokia 1100,所有手機都必須立即更改這項設置!」),同時,保管好你的手機,千萬不要丟失。

4.如果手機一旦確認丟失,請立即致電運營商掛失SIM卡(當然,對於沒有更改規則的運營商,已掛失的SIM卡可能會被盜刷者激活)。

5.日常養成好習慣,與智能手機綁定的銀行卡最好只有小額存款,以便減少損失。

對於政府和企業:

1.請政府類網站、APP 的運營者,儘快摒棄使用「手機號碼+簡訊驗證碼」就可以登錄的弱登錄模式,因為這些政府網站往往有居民的詳盡信息,很容易被黑產者用來「社工」居民的個人信息,造成損失。

2.請各大運營商高度重視這類作案手法,對服務密碼的修改規則、SIM卡的掛失與解掛規則進行研究完善,避免黑產合理利用規則實施後續違法行為。

幾點聲明

1.為了避免起到教唆作用,本文中對關鍵作案手法進行了省略或者變更,已展示的手法基本都是在網際網路或者其他媒體已經公開的手段,之所以寫這篇文章,就是要告誡大家黑產的發達之處,並提供防範指引,呼籲企業做出改變。

2.本文是根據綜合近期多地發生的盜刷案例來寫的,「金不歡」和「曾聰明」一樣,系終結詐騙公眾號推出的人物角色(並非現實存在),採取自述手段更能詳細還原此類手法。


高興

感動

同情

搞笑

難過

拍磚
2

支持

鮮花

剛表態過的朋友 (2 人)

發表評論 評論 (1 個評論)

回復 successful 2021-7-9 16:51
本人手機從來就不和銀行卡有任何關係.

facelist doodle 塗鴉板

您需要登錄后才可以評論 登錄 | 註冊

其它[熱點雜談]博文更多

關於本站 | 隱私權政策 | 免責條款 | 版權聲明 | 聯絡我們

Copyright © 2001-2013 海外華人中文門戶:倍可親 (http://big5.backchina.com) All Rights Reserved.

程序系統基於 Discuz! X3.1 商業版 優化 Discuz! © 2001-2013 Comsenz Inc.

本站時間採用京港台時間 GMT+8, 2024-3-29 19:00

返回頂部