很多人目前都有这么一个看法:随着智能手机和移动支付的普及,我们出门只需要带一部手机即可,再也不用防着小偷偷盗钱财了。还有人经常调侃:全国的小偷这几年都快饿死了吧!但二弟要告诉你的是:这种看法是极其错误的!
越来越多的案例表明,小偷这个群体,也正在拥抱互联网转型升级,他们只需要偷走你的手机,几乎就等于拿到了你家的钥匙,后果极其严重。今天,我们请来二弟在看守所的老朋友“金不欢”,给大家讲一讲小偷这个行业的“新玩法”。
大家好,我是金不欢,因为搞黑灰产被判刑5年,目前正在监狱服刑。春节期间二弟来看我,想让我讲一讲之前搞手机盗刷的那些事。为了争取减刑,我决定把这个行当的情况通过“终结诈骗”给大家好好说说,算是给大家一个提醒。
年轻的时候,我因为交友不慎,误入了偷盗这个行当,一干就是二十几年,也算是个内行人了。总的来看,偷盗这个行业也算是经历了起起落落。
在2000年我刚入行的时候,刚好赶上中国加入世贸、经济高速发展,我们小偷也享受了一波红利。
但到了2010年之后,随着各类监控视频探头的安装,以及智能手机和微信、支付宝的普及,确实给我们这个行业沉重一击,很多同行搞不到钱不得不转行搞诈骗。
但最近一两年,我们这些小偷界的元老级人物,不断开拓创新,与其他黑灰行业深度合作,开发了一个“先偷手机、再盗财产”的产业链,救无数同行与水火。当然,我也是因为这个,被抓了进来。
今天,我就把这个产业链给大家讲一讲(当然,关键的地方会隐去),希望大家能够认识到这个产业链的危害性,更好保护自己的财产。总的来说,这个产业链有这几个步骤。
现在人出门基本都不带现金,甚至连银行卡都不带,身上最重要的,可能就是一部手机了。
很多人刚用上智能手机后,总会嘲笑我们小偷一定会黔驴技穷、失业在即,也逐渐放松了警惕。但他们不知道的是,在当前各大金融系统的安全认证模式下,这部手机背后关联着他几乎所有的财产。在我们眼里,这一部部手机,就是一家家的保险柜。
所以,我们的目标非常简单,就是去偷手机。成功偷到了手机,就等于拿到了保险柜的一半钥匙。
如果幸运,偷来的手机没有设置锁屏(开机)密码,直接就可以看到里面的内容,那么,就等于把保险柜的另一半钥匙也送给了我们,可以直接拿里面的钱了。
即使是有密码也不怕,如果是安卓系统的手机,只要按照我们这个行业交流的办法,几秒钟就可以恢复出厂设置,进入手机。网上有很多所谓技术人员,经常会更新如何破解手机锁屏密码的视频,确实给一些忘记密码的人提供了帮助,但也给我们提供了技术指导。虽然手机公司也会定期弥补漏洞,但总会有聪明人想到办法。
苹果系统的手机虽然不能破解开机密码,但是却有一个简单粗暴的办法,那就是把SIM卡拔下来,直接插到别的手机上进行接下来的盗刷操作。只是,因为换了手机,很多风控规则绕不过去,成功率就会大大降低。
我们为什么要进入手机呢,不是看他们的聊天记录、短信记录这些无聊的东西,而是要用这部手机当做接收短信验证码的工具,进行后续的盗刷操作。
但这个时候,我们要考虑到失主在发现手机丢失后会挂失SIM卡,为了给后续的盗刷操作赢得时间和空间,我们还要做一件事,那就是更改手机卡的服务密码。
什么是手机卡的服务密码呢,其实从安全性上来说,他和银行卡的密码没什么两样。对于运营商而言,你输对了服务密码,他们就默认你是卡主,就如同银行的ATM机,只需输对密码就可以取钱一样,ATM机才不管你是不是持卡人呢。只是可惜,很多人只注重银行卡密码,却从来不注重服务密码。不信,你们现在有几个人能清晰地说出自己手机卡的服务密码来?
但是,更改手机服务密码必须要知道机主的手机号、姓名和身份证号这些基础信息。手机号很容易搞到,只要给别的手机打个电话,不用接通就可以知道全部的手机号码。那么,姓名和身份证号怎么搞到呢?这个也难不倒我们。
现在很多政务类、购物类的网站都会记录每个人的个人信息,但由于他们不是金融类、支付类的网站,对安全防护的考虑不足,很多网站只需要“手机号+动态验证码”就可以登录,这就给我们提供了极大方便。我们下载一些政务类的APP,把手机号和收到的验证码输入进去,就可以看到手机号关联的全部个人信息了。
此前曾有媒体报道,某省人社APP只用手机和验证码就可快捷登录,看到参保人信息(目前应该已经整改)
除了这些政务类的网站,通过一些旅游类、订票类的APP等,也都可以从历史订单中获取机主的个人信息。即使有的APP只能获取一部分信息,多用其他APP交叉验证就可以得出了。这一点,在黑产界早已经不是什么秘密。毕竟,政务类、旅游类、订票类的APP设计逻辑更多考虑的是方便,而根本不像金融类APP那样把安全放在第一位。这恰恰是我们利用的弱点。
掌握到“姓名+手机号+身份证号”这些信息,一般就可以到运营商网站更改服务密码了。只要更改了服务密码,这个手机和这张SIM卡就在我们的控制之中了。即使机主能够挂失,我们也可以解挂(当然,这是我被抓之前的做法,现在不知道全国各地的运营商有没有弥补上这个漏洞)。
到了这个时候,保险柜钥匙的80%已经掌握在我们手里了。
掌握了前面那些基础信息之后,想要盗刷,还必须知道手机机主的银行卡号。银行卡号是各金融类APP认证身份的重要凭证,也是打开机主财富大门钥匙上最关键的零部件。
那么,我们最常用的手法是什么呢?
之前,二弟在“豆瓣网友“独钓寒江雪”的案件破了!终结诈骗独家还原嗅探盗刷全过程!”中,通过提审犯罪嫌疑人掌握了他们常用的一些手段,由于这个环节是盗刷的关键一步,我不能讲得太详细,但可以告诉大家的是,都是利用支付类、银行类网站、APP内的原始设计,通过交叉印证得出的。
而且,同行之间基本都掌握了一些网站、APP的突破手段,我们一般会互相交流分享,或者直接发包给别人做,最后按比例分成即可。
通过前面几个环节的工作,到目前为止,我们就掌握了手机机主的“姓名、身份证号、银行卡号、手机号以及可以随时收取的验证码”,至此,除了机主的“人脸”还无法获取外,已经基本掌握了盗刷的全部条件。
这个时候,我们就可以利用市面上流行的各大第三方支付APP、银行APP、贷款APP、购物APP来进行盗刷了。按照二弟的要求,这些APP我不再点名,怕有人利用。但是我想告诉大家的是,每一个APP的设计虽然都有自己的一套逻辑,但都有可以被我们利用的地方。
第一,在绝大部分的APP设计逻辑中,姓名、身份证号、银行卡号、手机号和验证码只要同步通过机器校验,就基本可以认定“你”就是“你”,而机器不知道的是,我们已经掌握了这些信息,机器认为的“机主”其实是“小偷”。
第二,一些贷款类、购物类网站为了增加用户体验,说白了就是更快地贷出钱,更快地卖出东西,大大降低了安全认证的验证难度,我们很容易就可以绑定银行卡发红包,购买虚拟币售卖,甚至直接贷款转账。
当然,为了避免教唆犯罪,我不可能说得那么详细,盗刷的方式和手段也不能详尽说出,但请大家明白,这个盗刷的成功率非常之高,除去一些风控很牛逼的大公司,其他的简直是易如反掌,家产小的,盗刷一般也不足为奇!
1.请改变过去错误的认识,智能手机的出现虽然降低了现金被盗的概率,但是随着黑产技术手段的不断增强,智能手机也可能是送给黑产者一把打开你财富的钥匙。
2.请不要过分担心,虽然黑产利用了各大公司的漏洞,但是很多公司的风控做得是比较好的,一般情况下,这种损失是可控的,越大的公司,后期的赔付能力就越强。
3.请一定设置好你手机的锁屏密码,并同步设置SIM卡密码(具体可参见链接“不管你是用iphone X还是Nokia 1100,所有手机都必须立即更改这项设置!”),同时,保管好你的手机,千万不要丢失。
4.如果手机一旦确认丢失,请立即致电运营商挂失SIM卡(当然,对于没有更改规则的运营商,已挂失的SIM卡可能会被盗刷者激活)。
5.日常养成好习惯,与智能手机绑定的银行卡最好只有小额存款,以便减少损失。
1.请政府类网站、APP 的运营者,尽快摒弃使用“手机号码+短信验证码”就可以登录的弱登录模式,因为这些政府网站往往有居民的详尽信息,很容易被黑产者用来“社工”居民的个人信息,造成损失。
2.请各大运营商高度重视这类作案手法,对服务密码的修改规则、SIM卡的挂失与解挂规则进行研究完善,避免黑产合理利用规则实施后续违法行为。
1.为了避免起到教唆作用,本文中对关键作案手法进行了省略或者变更,已展示的手法基本都是在互联网或者其他媒体已经公开的手段,之所以写这篇文章,就是要告诫大家黑产的发达之处,并提供防范指引,呼吁企业做出改变。
2.本文是根据综合近期多地发生的盗刷案例来写的,“金不欢”和“曾聪明”一样,系终结诈骗公众号推出的人物角色(并非现实存在),采取自述手段更能详细还原此类手法。
