由《手机失窃...》一文引发的一些安全检查

前几天一篇文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》挺火的, 仔细看完了全文,通过一张未锁的 sim 卡收短信验证码,就能从正规途径获取到了用户的姓名、身份证号码和一个银行卡号码, 从而解绑和解锁华为手机、重置各个服务的密码、转账、消费、贷款...为所欲为。甚是精彩。 不过这件事倒提醒了我,该做一些安全检查了。

# 原文的事故流程

  1. 手机卡没有上锁,插入其他手机可用 -> 短信验证码 ✅
  2. 四川人社短信验证码登录 -> 姓名、身份证号码、一张银行卡号码 ✅
  3. 利用短信验证码重置了手机卡的服务密码 -> 手机卡服务密码 ✅
  4. 利用四川电信的傻逼解挂制度和傻逼客服 -> 短信验证码持续可用 ✅
  5. 短信验证码解绑和解锁华为手机 -> 常用手机 ✅
  6. 在常用手机注册新的支付宝账号,并填写姓名、身份证号码直接完成实名认证 -> 支付宝 ✅
  7. 使用上面获取到的信息 -> 微信、京东、美团、云闪付、苏宁金融 ✅
  8. 利用平台的快速绑卡功能 -> 绑定新的银行卡 ✅
  9. 开始消费、贷款、购买虚拟充值卡

# 支付宝

作为日常生活最重要最常用的 app 之一,支付宝首当其冲。
文中提到了贼人是通过在 常用手机 上操作,来避免支付宝的人脸验证。 新注册账户直接填写姓名和身份证号就能完成实名验证。 因为是新注册的账号,所以支付密码也是他自己设置的。 然后就能免输入卡号添加部分银行的卡。 输入短信验证码后,有些银行需要验证交易密码,有些则直接就添加了。 支付宝一个身份可以绑定 3 个账户,可用一个手机绑定多个账户。

以为自己先注册 3 个账户就安全了?naive!
随便注册一个手机号,填写身份信息,若能通过人脸识别验证, 就能获取到已绑定的其他账户信息直接登录甚至将其注销,支付密码也是可以重置的,基本就是为所欲为了。 我用了一台备用机(刷过机重置多次、未登录过)来实验也是能实现。

结论就是只要支付宝的人脸识别失守了,就没救了。 试了眨眼视频是无法通过人脸识别验证的。 收集了大量数据的支付宝对它的安全性似乎很有信心 😄,因人脸识别失守而导致支付宝内资金损失是可以赔付的。 而像银行卡信息丢失这种就自认倒霉了。

# 微信

短信验证码登录之后,还需要好友验证(所以说不要加乱七八糟的联系人)。而且是单设备登录、冻结账号也很容易。 原文是因为华为手机被解锁才导致微信被登录的。

# 京东

使用短信验证码和身份证号码可以重置登录密码,然后直接登录。 通过短信验证码和已绑定的银行卡卡号可重置支付密码。 轻易失守!🤦‍♂️

jd_pay_pwd_1.png jd_pay_pwd_2.png jd_login_pwd_1.png jd_login_pwd_2.png

另外还发现了一些其他的问题:
通过找回密码页面,通过「修改关联手机号」功能可以获取到你的名(*某某),和身份证号第一位和最后一位。 在 v2ex 被讨论过后已经修改为仅显示**某,不过如果你名字只有两个字则会显示为*某

京东让你可以使用用户名登录名、手机号和邮箱来登录,而且不能关闭。 而早期使用手机注册的时候,默认的用户名就是手机号加_p,例如 13012345678_p,而且不允许修改。 客服对这件事态度强硬,就是不允许修改,请理解。 也就是说,即使你绑定了其他的手机,别人还是可以通过你用户名里的手机尝试找到你。 至少可以获取你名字的最后一个字和身份证的首末两位。 不知道是不是京东早期的开发人员不知道应该用一个独立的 ID 来标识用户,直接用用户名到处写了 🤔

唯一的登录保护二次认证就是短信验证。就是说,用短信验证登录的话就不需要二次验证了,也不需要密码。

用户名包含手机号且不允许修改、唯一的登录保护就是短信验证、有短信验证码就不需要登录密码。 如果京东仅仅是一个购物网站,这么做也没什么大问题。问题在于它还是一个支付工具,而且还提供白条金条这些信贷服务啊。

# 美团

一个搞团购和外卖的软件整天想着让你在他那里借钱...

用备用机,短信验证码直接登录美团 app。 使用快速绑卡绑定了某银行的储蓄卡,不需要验证美团的支付密码或银行的交易密码,只需要短信验证码。 尝试重置支付密码,只需要填写身份证号和短信验证码就可以。 然后顺利借到几万块钱,不需任何其他验证,只需要输入支付密码(我最终没输入支付密码)

而这一切,登录+快速绑卡+重置支付密码+贷款几万,都是在一个陌生手机上操作的。 从头到尾我的常用手机上没收到任何警告!没收到任何警告!没收到任何警告! 我开着美团 app,连站内信都没有一封!这就是美团的风控!

倒是解绑银行卡的时候反而需要验证支付密码。

meituan_newphone_1.png meituan_newphone_2.png

我也不知道是什么时候完成实名认证的,看实名信息连身份证正反面照片都没上传,更没有人脸识别,似乎绑定了一张银行卡就自动实名认证成功了。 而想要注销,就开始刁难了,那么问题来了,美团单车半小时 1.5 元,我要怎么做才能花光这两块钱 🤔

meituan_newphone_3.png meituan_newphone_4.png

第二天上午发现昨天发起的摩拜单车余额退款完成了,现在可以开始注销实名了。 注销过程倒是出乎意料的顺利,以我现在对美团的印象,事情不可能这么简单 🤔

meituan_cancel_1.png meituan_cancel_2.png

于是再次点击实名按钮,进入实名流程。 发现只需要输入姓名和身份证号就可以完成实名,借了同事(他自己已在美团实名)的信息输入,直接就提示完成了实名。

于是尝试借钱,提示「实名已变更,请使用原实名尝试」。这不就摆明了仍然记录着我的身份信息嘛...

meituan_realname_1.png meituan_realname_2.png meituan_realname_3.png meituan_realname_4.png

于是再次注销实名,然后输入我原来的身份证号,直接认证成功。 尝试借钱,成功了,还是原来的额度,轻易借到几万块。。。

本来,不想注销美团账号的,毕竟用了这么多年了,以后还要继续叫外卖。销号过程倒是挺顺利的。

meituan_loan_1.png meituan_cancel_3.png meituan_cancel_4.png

想想还是不放心,于是再次注册。短信验证码直接注册成功了,是个新的账号。 尝试实名认证,这次是需要添加银行卡验证了。 于是选择快速绑卡功能,选择某银行,输入姓名和身份证号,直接就把我的银行卡列出来了。 接下来可想而知就是验证短信验证码就可绑定成功并完成实名认证可以借钱了。

也就是说,只要你短信验证码失守了,恰好有张绑卡不需要验证支付密码的银行卡, 即使你没用过美团,贼人还是能从美团轻易借钱偷走。👏👏👏(京东也差不多)

我操,这傻逼。

# 云闪付

先用短信验证码登录,失败,提示需要密码。
然后尝试找回密码,短信验证码之外,还需要身份证号、完整银行卡号和交易密码。
没有交易密码所以失败了。

意外 😱 保住了?

不过可能(未做测试)还是逃不过使用其他手机注册新号,然后认证、快捷绑卡... 前提是真人人脸识别被攻破,后续一文也说了,真人人脸识别并没有被攻破,只是通过「常用手机」避开了。

# 苏宁

每笔消费都作为小额贷款进征信,然后征信报告拉出来几十页...

这样的服务有必要用?

# 运营商

手机营业厅可以直接短信验证码登录,然后通过身份证号重置服务密码。

当我修改了服务密码之后,收到了 10010 发来的短信:

温馨提示:您的服务密码已变更为 123456,请妥善保存。用联通手机营业厅,随时随地查流量查话费,点击进入 https://u.10010.cn/xxxxx 。

如果能通过人脸识别,还能直接完成解挂。(前提是真人人脸识别被攻破)这失守流畅度可以和京东 PK。 所以,要尽可能快的挂失手机号。不然可能一切都来不及了。

不过如果遇到四川电信的傻逼制度和那个傻逼客服的话,自求多福 🙏

# Apple ID

试了一下,登录需要密码,无法通过手机验证码直接登录。 找回密码需要先输入完整 appid 邮箱,然后提示手机号末两位要求输入完整的手机号获取短信验证码,然后需要其他设备来通过验证。 如果没有其他设备则需要找通讯录好友来辅助或者花几天时间来重置密码。

对比之下,国内动不动暴露真名和手机号六七位(可能他们认为他们的用户智商有问题,手机号末两位不够,要六七位才能识别), 而且不需要输入完整手机号,迷信短信验证码和身份证号... 真的就是拿安全换所谓的「用户体验」呗 🙄️。

鉴于我国的特殊网络环境,还是不要使用 icloud 网页版了,直接在其他设备中的 Find My 应用里操作。 要不然,等你打开 icloud 网页,贼人该做的都做完了 😂

icloud.png

# 获取身份证号码

上海警方披露新型盗刷手法一文中提到了各个旅游购票网站可以轻易获取姓名和身份证号。

试了几个旅游 app,都可以直接用短信验证码登录。如果买过票, 虽然 app 上不能直接看到完整的身份证号,但登录 web 版就可以轻易看到姓名和身份证号了。

又下载了几个 12306 相关的 app,因为都是直接用 12306 账号登录的,所以获取不到什么信息。 至于 12306 本身,倒是挺靠谱,需要密码登录,重置密码需要验证身份证号。

感觉安卓上所有 app 都想要打电话的权限

travel_1.png

得益于工信部的龟腚,注销账户也挺方便的!🙏

travel_2.png

另外,怎么随便什么乱七八糟的 app 都能提供个贷款的功能

travel_3.png

# 快速绑卡银行列表

太多年没有绑新卡,都不知道现在绑卡这么简单了,有些银行连支付密码都不需要验证了,直接短信验证码一步完成,方便是方便了,安全性却无视了。

这群傻逼有没有想过过「绑卡」这个操作的频率能有多低???吃饱了没事就在那里绑卡玩了?

支付宝 云闪付 京东 美团 微信
中信
中原
中国
交通
北京
华夏
工商
平安
建设
徽商
招商
晋商
浦发
深圳农商
盛京
邮储

# 应对措施

最重要的就是手机号分割。绑定银行、支付宝等重要服务的就放在家里,通过短信转发和呼叫转移来使用,不要用于其他用途。

手机卡要加锁,手机要加锁,通知预览不要显示全文。 问了身边的人,通知预览显示全文是为了方便,因为先解锁再去看内容还是比较麻烦的。这时候就凸显了 faceid 的优势了 😄

不用就银行卡就注销掉,有时候上个大学,学校就能以各种名义帮你绑卡,我手头上至少有四张... 信用卡倒是简单,打电话就能注销,储蓄卡就需要到营业网点处理。

不靠谱的服务能注销就注销,能不实名就不实名,不要为了几块钱优惠就傻乎乎实名了 🥱

手机能双卡双待的话,装上一张不重要的卡,这要手机丢了可以第一时间挂失重要的卡。 副卡还是可以保持通话,万一真的有好心人捡到愿意送还呢 😄(好人总是有的)

溜。

# 结论

一旦短信验证码失守,会导致姓名、身份证、银行卡失守,接着其他的各种服务都能失守。

而且不是说你不用那些服务就行,掌握你这些信息和人脸识别就能帮你开各种业务。 更恶心的不是你有多少钱可以偷,是你的信用能借到多少钱可偷... 遇到美团京东这种人脸识别都不需要的服务,就自求多福吧。

所以若没有把握能找回来的话,还是立即挂失然后清空手机数据。

因为实名制,什么乱七八糟的网站和 app 都需要绑定手机,甚至拿到身份证信息,动不动就要身份证正反面和手持的照片。 实名信息又不像其他信息一样一个更换,一旦泄漏(都不用怀疑,早就泄漏个底朝天了),就是永久性的。 而各个服务又严重迷信短信验证码和身份证号码,这不是很奇怪吗?

只能说,比起 kpi,安全算个屁。不过正如百毒所说的,大部分中国人不在乎隐私,以我的观察来看,也确实如此。

# 最后再说两句

和身边人说起这些事的时候,都说我反应过激了,毕竟是超低概率的事件。 确实,等我完成这一波操作之后,冷静下来,感觉就是在垂死挣扎。 只要你还在这片神奇的土地上生活,只要你还要使用这些服务,做什么阻止不了这种事情的发生。

但这些努力不是徒劳的。

# 链接

一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链 (opens new window)

盗窃手机盗刷银行卡黑色产业链案件之后续进展 (opens new window)

上海警方披露新型盗刷手法 秘密就在这些常用 APP 中 (opens new window)

京东已实名用户注意了,现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息 (opens new window)

支付宝用户们注意了,现在只要有人知道了你绑定支付宝的手机号,(不需要转账)就大概率能拿到你的真实姓名 (opens new window)