电子商务、移动支付、网络金融越加发达的今天,我们的信息安全存在越加可怕的风险。别说技术无罪,要用到正道上才无罪。一个个看似毫无关联的小漏洞,被不法分子利用起来,也可以成为巨大黑洞,一个简单的绑卡业务,就能让用户损失数万元。
事件回复:
2017年2月3日凌晨,深圳市民何先生发现手机屏幕显示被锁定,不能从事任何操作。因为还在睡梦中,何先生便没有理会。
倒霉的事接踵而至,先是不法分子异地登录了何先生的手机360OS云服务,更改账号密码。
何先生的手机360OS云服务被登陆多次,账号密码已被更改。
然后盗取京东账号,并产生了13笔购物订单,全部用京东白条进行支付,白条总金额为20000元左右,用来购买手机、电脑和手机充值等,收获地址显示的是异地。
再利用京东金融金条贷款32000元,贷款转至何先生的中国银行卡内。然而这笔钱并不安全,由于何先生没有及时挂失,这笔3万多的贷款加上不法分子后面转入的深圳一家消费金融公司26000元的贷款,两分钟内就被通过手机银行转走,不久,何先生的银行卡又被通过ATM取走2000元。
对此,我们一件件梳理一下造成此次事件的原因:
骗子通过什么途径盗取了密码?
何先生表示使用的是360手机,没有点过陌生链接和二维码,确保手机没有遭受木马病毒,遂怀疑是骗子通过云服务盗取了其账号密码。360公司给出的回应是:何先生的360云服务备份类型仅设置了“普遍短信”,因此银行类以及通知类(接受验证码)短信并不会备份到360云服务,不存在骗子通过备份短信盗刷受害者京东账户的可能性。
何先生表示事发当天收到一条12583发来的信息,信息内容为一北京的主号(也是13笔京东订单的收件人电话)取消接管其号码,随后几天,又收到一条12583发来的取消主副卡绑定的短信:
至此,大概是这样了:360云平台被黑,骗子通过云平台远程锁定了何先生的手机,并销毁资料。何先生的号被绑定成了副号,骗子接管了其手机号,从而劫持了其短信验证码,绑定了银行卡,在掌握何先生的身份证和银行卡的前提下,购物、贷款、转账等操作都无障碍了。
从何先生提供的12583发来的短信信息来看,这是移动公司推出的增值业务。
骗子为什么要绑定何先生的手机为副号?
首先我们看看何为副号?副号是由运营商提供的“一卡多号”业务,在不换手机、不换SIM卡的基础上,用户可以增加最多3个真实手机作为副号。在某些地区,这个业务被称为“和多号”:
很明显,何先生被办理的是实体副号。据10086客服表示,原本两个独立的手机号绑定为主副号,副号使用过程中产生的通信费用由主号支付,但副号是独立的,主号无法接收副号的短信。
由于“绑定副号”,何先生的所有“通讯权”都被完全接管,自然包含了接收短信验证码,这个时候还需要什么木马?
如何绑定手机为副号?
绑定为副号有三种方式:
一是由主号在官网上申请,输入副号接收到的验证码;二是由主号在APP上申请,输入副号接收到的验证码。而这两种方式在没有中木马病毒的情况下无法实现。
因此,推出骗子使用了第三种方式:主号向12583发送“KT”短信,副号回复“Y”进行确认绑定。
很明显,骗子使用了第三种方式,回复Y办理了副号。
而这里又出现了新的问题,何先生手机被锁定,无法回复Y,再回想被攻破的360云平台,因为骗子劫持了验证码,就能修改账号密码。同时,360云服务提供了“接收短信”这一功能,骗子大概就是利用这一功能回复了Y。
这个事件至此也大概明白了,这里有几点值得探讨:
1、手机验证码并不是绝对的安全;不要以为账户没钱就能躲过,不法分子还可以办理网络金融贷款;
2、手机的云服务虽然给我们带来很多便捷,但是赋予的权限是否过大?
3、何先生的云服务账号是怎么被盗的?各大网站能否保护个人隐私不被泄露?
4、网络金融公司的贷款审核是否太快太简单了?
5、超级网银能否加强转账的安全保护措施?
6、移动的副号为什么可以在异地办理?为什么一条短信就能绑卡?这种重要的绑定业务,难道不是应该强制到营业厅办理吗?运营商在客户办理业务之前是否担起了安全检查、风险提示的重任?
据悉,案件曝光后,360OS云服务已经关闭“回复短信”接口,消除此类风险隐患,全额赔偿了受害人经济损失。京东、招联金融免除受害者的还款;银行、支付宝也积极配合调查,而移动方面先是不予表态,而后的声明中强调:如果360手机关闭了这一功能,“和多号”自然不会再被利用。
有趣的是360抢先移动发表声明并非是360 OS保护措施不行,所以这个锅是谁甩给了谁呢?
不可否认,一些便捷的功能或业务被不法分子钻了空子,也请各企业能提前考虑好风险防范,发现漏洞,该补就补,面对失责,主动承认,别寒了信任你的用户的心。
电脑报新媒体:崔崔
点击下方阅读原文,关注电脑报新媒体矩阵更多精彩
