近期,有名为“信息安全老骆驼”(以下简称:老骆驼)的网友将手机失窃后的遭遇写成了文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》,引发了广泛关注,并获得了支付宝等机构的回应。
10月12日,老骆驼发布了该文章的修订版,并表示,其个人的损失都已追回。
老骆驼介绍,四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的app也进行了对应安全升级;支付机构也积极联系了我,探讨如何加强这方面的安全防护。
老骆驼在文章中提出了几条建议:1. 给自己的手机sim卡上个密码,2. 给手机设置屏幕锁,3. 确保手机锁屏状态下来短信无法看到短信验证码内容。
事件的起因是9月4日下午7时30分,老骆驼家人的华为手机被盗, 对方把卡取出来放在其他手机,利用短信验证码从某app上获取到身份证、银行卡号信息;同时用获取的信息修改了电信服务密码、华为云密码。
在老骆驼拨打四川电信(致电10000号)挂失手机卡后,遭到了手机偷盗方的解挂,通过电信10000号挂失解挂的攻防来回数十次,暴露出四川电信在手机卡挂失流程上的问题。
根据老骆驼的自述,手机偷盗方利用获得的个人信息,在美团、苏宁金融、云闪付等平台,申请贷款,购买虚拟卡充值,对其造成了经济损失。手机偷盗方甚至用被盗的手机号码注册了新的支付宝。
老骆驼认为,手机偷盗方完成这一整套偷盗、申请贷款、转移资金的动作,核心是需要拿到手机主人的身份证信息。
在《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》最初的原文中,老骆驼判断这与某政务机构的产品有关。
在此次修订版的文章中,老骆驼称,文中身份信息泄露来源的app也进行了对应安全升级。“但这一块也是我目前最担心的,互联网上以手机短信验证码可进行登录并查看身份信息的网站和app还是比较多。”
老骆驼自述自己长期从事金融行业信息系统的安全漏洞检测。“但经历了这次盗刷事件之后我才发现,相比黑客利用各种高深的技术漏洞攻击金融信息系统,更可怕的是这种把每一项看似没问题的问题组合而成的犯罪,让人防不胜防。也希望今后在工作之余,能有时间把自己在金融信息安全行业的专业知识,用大家都能看得懂的方式写出来,提高大家的安全防范意识。”
来源:https://tech.163.com/20/1013/07/foq56lut00097u7t.html
试用申请
产品咨询:4000 258 365 