这是一个创建于 1540 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2020-09-10 11:34:48 +08:00
第 2 条附言 · 2020-09-10 15:32:01 +08:00
给 SIM 卡上 PIN 、锁屏不显示通知详情后,你就安全了吗? https://zhuanlan.zhihu.com/p/231106722
根据这里是的说法,用了 pin 也不安全。
-----------
我指的是手机号嗅探和短信嗅探,前者可以捕获周围在网的手机号,后者可以在 2G 网络下嗅探到某个手机号的短信。因此即便是你在锁屏状态下隐藏了通知详情,即便是你有 SIM 卡 PIN,攻击者仍然可以通过这种技术获取手机的验证码,进而展开相同的攻击。
无论短信嗅探还是手机号嗅探,都只在 2G 网络下才能进行。当然,这对攻击者并不难,一方面攻击者可以找一个 3G 4G 信号不好只能连入 2G 的环境进行攻击,另一方面攻击者也可以展开降级攻击 将连入 LTE 网络的手机降到 2G,这个技术也算非常成熟的。
怎么防这套攻击呢?很简单,在蜂窝移动网络设置里面将网络模式设置为仅 4G,或者 5G/4G 即可。
根据这里是的说法,用了 pin 也不安全。
-----------
我指的是手机号嗅探和短信嗅探,前者可以捕获周围在网的手机号,后者可以在 2G 网络下嗅探到某个手机号的短信。因此即便是你在锁屏状态下隐藏了通知详情,即便是你有 SIM 卡 PIN,攻击者仍然可以通过这种技术获取手机的验证码,进而展开相同的攻击。
无论短信嗅探还是手机号嗅探,都只在 2G 网络下才能进行。当然,这对攻击者并不难,一方面攻击者可以找一个 3G 4G 信号不好只能连入 2G 的环境进行攻击,另一方面攻击者也可以展开降级攻击 将连入 LTE 网络的手机降到 2G,这个技术也算非常成熟的。
怎么防这套攻击呢?很简单,在蜂窝移动网络设置里面将网络模式设置为仅 4G,或者 5G/4G 即可。
 |
1
swulling 2020-09-10 10:49:41 +08:00 via iPhone  16
看了,结论是买 iPhone 不买华为,也就华为才能把短信作为可信通道。
iPhone 默认双重认证,就算没有其他设备也需要邮箱加密保问题,不依赖和手机一起丢的手机卡。 |
 |
2
matrix67 OP 比较简单的方式是开启 pin 码
|
 |
3
mitong3269 2020-09-10 10:54:53 +08:00 via iPhone
@matrix67 对 我开启了 输错三次就锁卡
|
 |
4
Carry0317 2020-09-10 10:56:15 +08:00
能破解 apple ID 么
|
 |
5
TypeError 2020-09-10 10:57:17 +08:00 60
最恶心(手机号)实名制,韩国早就证明了是一条不归路
当初忽悠的电信诈骗更少、骚扰电话消失,还真有韭菜信的, 结果现在手机号是个人信息安全、金融安全最薄弱的环节 各种伪基站、换卡攻击、社工、内鬼、买卖个人资料、SS7 漏洞层出不穷,推广实名制的该下地狱 |
|
6
TypeError 2020-09-10 10:59:33 +08:00
短信验证和两步验证器 /硬件 Key 相比,泄漏的就和筛子一样
|
 |
7
ByZHkc3 2020-09-10 11:01:51 +08:00
pin 码可解
|
 |
8
hoyixi 2020-09-10 11:01:55 +08:00 36
|
 |
11
CRight 2020-09-10 11:05:29 +08:00
看完全文,后面贷款这些操作,有 SIM 卡就行了,解不解锁都不影响
|
 |
12
murmur 2020-09-10 11:06:02 +08:00
这是不是以后定期要擦手机,防止犯罪分子通过指纹猜出可能的密码
|
|
13
TypeError 2020-09-10 11:06:07 +08:00
继续说下现在手机的问题,手机就算换 iPhone,SIM 卡加 pin,还是很容易被套取 PUK 码,解锁 SIM 卡放其他设备。
然后继续文中的诈骗过程 |
 |
14
nuk 2020-09-10 11:16:00 +08:00
我的手机上银行卡支付宝绑定的号码是另外一个开启密码保护的非智能手机号码
就是为了避免丢失手机后损失惨重 当然手机号码实名比注册所有账号要用身份证来的稍稍好一点,毕竟手机号码可以换不是 不过也就好一点而已 |
|
15
TypeError 2020-09-10 11:23:42 +08:00
@nuk #14 学习墙外最好,
匿名邮箱 + 两步验证器 APP 或者硬件 U Key 最安全 邮箱比手机号安全,当然网易邮箱就算了,就是金融业务需要实名制,但邮箱可以随便注册,一个业务一个邮箱 两步验证、Ukey 安全性秒杀短信 (银行还是稍微懂安全的,大额都需要 U Key,我是不敢手机支付开高额度) 实名制几年,全面倒退 |
 |
16
xiangyuecn 2020-09-10 11:32:01 +08:00
话说基站不能定位不到对方位置? 直接定点打击 发射核弹啊。
虽然不是专业的,不过目测那些运营商定位手机位置+海拔高度的能力还是有的,精度目测可以至少 5 米内。在这个基础上,理论上民警也是,遇到这种,通过某些简单审批流程后去迅速拿到运营商定位信息,上门抓人。 90 年代的电影里面不是非常常见的情节么。盗窃团伙吃了多少就得给我吐多少 |
 |
20
wionlys 2020-09-10 11:37:15 +08:00
@xiangyuecn 黑产都可以查到这种信息,还有你发布了 xx 信息,直接上门喝茶;所以说打击能力肯定有
|
 |
22
locoz 2020-09-10 11:44:38 +08:00 via Android
@xiangyuecn #16 基站定位通常只能做到百米级精度,如果连接的基站是广域宏基站的话(一般的城市内宏基站是 300 米覆盖,郊外那种一般都千米级覆盖),精度就更差了…5 米内都是有室分或者结合了其他位置信息才做得到的,一般单靠基站很难定位到精确位置。
|
|
23
TypeError 2020-09-10 11:45:06 +08:00 5
|
 |
24
Lucoie 2020-09-10 11:50:40 +08:00
sim 卡设置了密码 iPhone 查找开启 输错密码清空数据开启
|
 |
25
tankb52 2020-09-10 11:58:03 +08:00
财付通也没有客服,哈哈哈哈。
决定把钱转出来了。 |
 |
26
watermeter 2020-09-10 12:09:24 +08:00
@SAGAN # 17 PUK 你直接问客服都能问到
|
 |
27
terence4444 2020-09-10 12:20:01 +08:00 via iPhone 7
@xiangyuecn 这种定位是用来抓人的,但不是用来抓罪犯的。
|
 |
28
mschultz 2020-09-10 12:30:28 +08:00
@watermeter 但如果手上只有被害人的手机,而且是锁屏的,SIM 是加了 PIN 的,这种情况下直接去问客服就能问到一张卡的 PUK 吗?
这样的话岂不是好像你捡了一张银行卡,可以直接去银行问「这张银行卡的密码是多少」🤔 |
 |
29
MrStark 2020-09-10 12:35:35 +08:00 1
@xiangyuecn 除非搞个大新闻出来,否则相关部门根本懒得管你,就楼主这件事,如果上了头条的话,警察叔叔分分钟把那伙贼人的老窝找到你信不信。
|
|
30
MrStark 2020-09-10 12:38:54 +08:00
@watermeter 如果直接问客服都能问到的话,这也太儿戏了吧,跟闹着玩似的。
|
 |
31
tojike 2020-09-10 13:02:00 +08:00 1
我电信卡移动卡刚才都试了一下,电信客服直接就把 puk 码的短信发我了。移动客服给了我一个网址 通过短信验证码登录也直接查到 puk 码,门槛真的很低
|
 |
32
flowercoder 2020-09-10 13:02:49 +08:00
其实第一步就是最大的问题,挂失 sim 卡至少 2 小时后才能解封,一天解封次数超过 3 次后不予解封。
|
|
34
swulling 2020-09-10 13:13:01 +08:00 via iPhone
|
|
35
swulling 2020-09-10 13:14:59 +08:00 via iPhone
|
 |
37
feikeq 2020-09-10 13:15:40 +08:00
那也就是说不管理你用什么手机,只要 SIM 卡一丢不就一点办法也没有了么?只能不断的挂失?
|
 |
38
musi 2020-09-10 13:24:40 +08:00
@xiangyuecn 想想吧,别的不说今年疫情都做不到基站定位,还要到处发公告找人
|
 |
39
ksssdh123 2020-09-10 13:27:50 +08:00 12
看了文章总结如下
1 、风控最好的:支付宝 2 、态度最好的:银联 3 、处理最差的:苏宁金融和京东 4 、责任最大的:四川电信和四川人社 源头都出在这两个庞然大物上-四川电信和四川人社,但凡这两个有一方信息安全做好一点,就不会出现后边那么多事儿了 现实生活中,往往大部分人都没有安全意识的,也没那精力去查清这些事,甚至有些人还极度配合罪犯快速达到罪犯的目的,对于这些人,基本上钱应该是追不回来了 哎 |
 |
40
wildlynx 2020-09-10 13:33:52 +08:00
开启 pin 码+关闭锁屏后短信内容显示+丢失手机后立即去停机补卡
|
|
41
mschultz 2020-09-10 13:38:08 +08:00
@tojike #36 没太搞明白,原文中「锁屏密码被解开了」是可以纯暴力破解,还是说以「 SIM 卡换手机能收短信」作为前提,通过云服务之类的操作?
如果是第一种情况,只能说手机厂商的锅消费者拯救不了; 如果是第二种情况,那么如果我们提前给 SIM 卡加了 PIN,还是安全的,此时由于 SIM 卡不能用(原手机锁屏、换手机则有卡 PIN ),你在 #31 提到的获取 PUK 的方法也不行吧 |
 |
42
lneoi 2020-09-10 13:40:26 +08:00
可以一直解封这个很奇怪 这种文章多一点 让各个厂商也增强安全边界
|
 |
43
hahaandyou001 2020-09-10 13:45:16 +08:00 via Android
@TypeError 不实名怎么方便查水表
|
 |
44
EIlenZe 2020-09-10 13:47:28 +08:00
可怕 一个还算是专业的人士 遭遇了以后 都还“保不住” 更别提普通人了 网络信息安全任重道远啊
|
 |
45
xiaochen3 2020-09-10 13:56:21 +08:00
我有个疑问,不可以直接到移动厅挂失旧手机卡,然后申领新手机卡吗?那样旧手机卡就失效了吧
|
 |
46
masker0817 2020-09-10 13:57:00 +08:00 via Android
@xiaochen3 电信下班啦
|
 |
48
leapV3 2020-09-10 13:59:21 +08:00
我今天看到一条标语,知根知底,国之大计
|
|
50
tojike 2020-09-10 14:01:57 +08:00
@LZSZ 我也不是很懂啊,凭啥连锁屏密码都可以解,不过不关闭锁屏后短信内容显示得话,别人还是可以通过短信验证码登录拿到你的 puk 码的
|
 |
51
imn1 2020-09-10 14:05:35 +08:00 5
这位事主手机上太多东西了,丢失了还犯了两个致命(常识性的)逻辑错误
1.没去营业厅办手机挂失 2.没去银行柜台 /自助机办更换绑定手机号 这两个都是要“当面确认”为准的事情,(自助机上的摄像头也起人脸识别作用),和大堂经理说一下应该可以优先的 我用来支付的手机,里面的 sim 卡不是银行预设手机,简单说就是分开两台手机 分离的好处是,三方难以使用“忘记密码”这种骚操作 其实我几乎所有 APP,里面绑定的手机号,sim 卡都在另一台手机,不在同一台手机里面 同理 2FA 的原则也是不同设备,同设备的 2FA 跟没有差不多,那个谁说得对,“用隐私换方便”,一切只为自己方便,殊不知也方便了“有心人” 银行相关的 sim 卡一定要设 pin 码,这样不论关机或者换机,都要多一层 pin 码输入 不要光骂什么 Z 策,自身也要有应对预案 不是说不能骂,该骂就骂呗,没人拦你,但骂完就结束了?就为一时爽? 所谓“上有 Z 策,下有对策”,没有对策,骂也浪费力气 |
|
53
murmur 2020-09-10 14:07:58 +08:00
好吧 后面有解锁的
|
|
54
murmur 2020-09-10 14:13:41 +08:00
这么大的事没看到华为的回应呢,提示信息只显示来自华为手机登录,不能说是同一台华为手机
|
 |
55
20015jjw 2020-09-10 14:17:34 +08:00
只能说国内实名认证真的恐怖
|
|
56
mschultz 2020-09-10 14:20:06 +08:00
@xiaochen3 #49 如果是真的没有任何验证,那这个移动营业厅绝对要问题了,就是不知道是营业厅的问题还是整个移动的问题。我的理解这事的性质,就相当于我捡了一张银行卡不知道密码,去银行直接就帮解了。
|
 |
58
youxiachai 2020-09-10 14:21:33 +08:00
@imn1 营业厅下班了啊....
|
 |
61
yksoft1test 2020-09-10 14:26:18 +08:00 2
@TypeError 国内 SS7 的案例还不多。最有名的公开案例是德意志银行和德国 Orange 还是沃达丰那个案例。
碰上这种事情其实有些习惯还是不错的,比如一号一密,绑定银行、重要账号的手机号 SIM 卡放在专用的、干净的手机或功能机里,尽量少随身携带。现在国内 SIM 卡补卡还是门槛很高的,部分地方甚至本人拿真身份证去都不一定能补卡,还要验证 SIM 卡原卡(外卡板)或者通话记录。 |
 |
62
paradoxs 2020-09-10 14:30:22 +08:00
安卓手机的锁屏密码 和 windows 笔记本的登陆密码, 都是形同虚设的东西。
一旦设备丢了,后果不堪设想。 |
|
63
swulling 2020-09-10 14:31:42 +08:00 via iPad
@murmur 9:24 家人发现被偷手机可以拨通,但我这边“查找我的手机”显示还未上线,但没两分钟我的手机收到提示手机在成华区上线了,瞬间再看找回手机界面,设备被解绑
解绑证明华为账户已经登录进去,接下来解锁手机就不是什么问题了 |
|
64
murmur 2020-09-10 14:32:07 +08:00
|
 |
65
EricJia 2020-09-10 14:33:16 +08:00 1
不懂就问, esim 卡 + iPhone 是不是可以避免?
|
 |
66
R18 2020-09-10 14:36:28 +08:00
我刚试了下,PUK 需要提供服务密码才会提供。已经给移动卡开了 PINl 了。
|
|
67
yksoft1test 2020-09-10 14:37:59 +08:00
@EricJia 不一定,注册 Apple ID 的邮箱如果密码和 Apple ID 本身一样,就会出事。
|
 |
69
anaf 2020-09-10 14:41:22 +08:00
@xiangyuecn 如果被偷的对象是 某高层官员等 那么久可以。
|
 |
72
cwbsw 2020-09-10 14:44:12 +08:00
看完后感觉最薄弱的环节是电信运营商和电子社保卡。
|
 |
73
misaka19000 2020-09-10 14:46:07 +08:00 1
南京人都知道,苏宁的服务都不能用的,垃圾的一塌糊涂
|
 |
74
barbery 2020-09-10 14:47:13 +08:00 6
看完了,问题的点好像不是在开屏幕锁,任意一台手机被盗,sim 卡都能插拔到别的手机使用的,也就都具备收短信验证码的能力,然后就能为所欲为了
|
|
76
CRight 2020-09-10 14:54:05 +08:00
@barbery 对啊,楼上这么多纠结 iPhone 和华为有什么用,重要的环节都是在其他手机上完成的,有 sim 卡就行了。
|
 |
78
SakuraKuma 2020-09-10 14:56:15 +08:00
自从各种网站开始忘记密码可以用短信就能改之后.
sim 马上就锁 pin 了. 这个电信解挂就离谱~ |
 |
79
misaki321 2020-09-10 14:57:20 +08:00 5
怎么还有人纠结是什么系统的
这件事最大的问题是没设 pin 码,然后电信能无限电话解挂。加上从四川人社获取到的身份信息,之后想干什么就干什么 |
 |
81
Bananana 2020-09-10 15:01:21 +08:00 2
我粗略看了下,感觉就是手机加了开屏锁也没用啊,sim 卡一拔,然后插在别的手机上,就能收验证码登录大多数应用干坏事?
我理解的对吗? |
|
82
R18 2020-09-10 15:05:32 +08:00 1
我试了下,小米忘记锁屏密码,只能擦除手机数据。没有办法通过验证码直接解锁。起码他的提示是这样提示的。
|
|
83
paradoxs 2020-09-10 15:06:23 +08:00
抛开这篇文章不说,大家就不该用安卓手机。。
路边手机店 50 元 , 不刷机就把锁屏密码 解开了。。 (看清楚了哦,不刷机解开,里面的资料,相册,短信什么的都是保留的) |
 |
84
ouqihang 2020-09-10 15:14:52 +08:00 via Android
本来是二步验证的手机短信验证码,现在很多互联网服务硬是弄成了仅短信验证码。
|
 |
85
AmItheRobot 2020-09-10 15:17:12 +08:00
|
|
87
imn1 2020-09-10 15:19:00 +08:00
@darmau #59
我看了,应该说我没写严谨才对,漏了“及时”二字 去柜台挂失应该优先于其他,先电话挂失,然后马上跑银行、营业厅,然后才是其他的,其实就是跟时间(或黑产)赛跑 APP 和卡分离实质只是时间延后,还是要去柜台做更改绑定这些操作的 如果丢了 APP 的手机,己方可以用 sim 卡改密码,同时去银行改手机号 如果丢了 sim 卡,对方不一定能迅速确定是哪家 APP,要逐个尝试,己方可以争取多一点时间去办改绑和挂失,损失是难以避免,只能尽量减少 去银行是可以一次解绑全部 APP 的,不用逐个 APP 去单独解绑,这是重点 事主电话挂失就安心到次日才去柜台,这个想法是误区 |
|
88
ouqihang 2020-09-10 15:19:05 +08:00 via Android
PUK 码一直以为只是印在卡板上,想不到运营商还有留底,那么卡板上设计要刮开才能看到 PUK 是干嘛。这玩意用得上的时候一定是 pin 输错了 3 次了,理应马上锁卡,想再用卡?请去补卡。
|
|
89
terence4444 2020-09-10 15:19:24 +08:00 via iPhone
@CRight 华为手机解锁 bug 提供了相册做人脸验证。不过最大的问题还是在电信反复解挂和社保局信息泄露。
|
 |
91
lonelymarried 2020-09-10 15:19:55 +08:00
如果拍成电影,一定惊心动魄
|
|
92
ouqihang 2020-09-10 15:20:34 +08:00 via Android
哪怕运营商能直接查,也应该给个缓冲时间比如申请 24 小时之后。
|
 |
93
darmau 2020-09-10 15:21:17 +08:00
@imn1 所以说你没看啊,手机是 4 号晚上丢的,营业厅早就下班。他老婆 5 号一早就去蹲营业厅开门了。黑产也正是利用了这一点。
|
|
94
xiaochen3 2020-09-10 15:21:24 +08:00
@CRight 不是啊,后面他用 sim 短信重置华为账号的密码,然后解锁掉 p40 的开机密码,然后因为 p40 是常用设备支付宝顶掉其他号了,也可以发现你有用四川人社 app 。上面是说 iPhone 不单单靠短信就解锁掉开机密码。这个还是很重要的。
|
|
95
Bananana 2020-09-10 15:21:56 +08:00
@lonelymarried 感觉是个好题材,脑补了下有画面了
|
|
99
imn1 2020-09-10 15:30:12 +08:00
@Bananana #81
前面有人回复加 pin,就是为了应对 sim 卡插到其他手机 不过,一切客户端操作只是为了争取时间,让自己可以赶得及去柜台处理,盲信客户端操作不可取 盲信客户端操作,实际上就是“个人攻防技术比拼”,我不认为自己能胜黑产技术 |
|
100
imn1 2020-09-10 15:40:09 +08:00
|
Select Language