V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
matrix67
V2EX  ›  分享发现

一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链

  matrix67 · 2020-09-10 10:47:20 +08:00 · 28431 次点击
这是一个创建于 1543 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言  ·  2020-09-10 11:34:48 +08:00

heican.png

第 2 条附言  ·  2020-09-10 15:32:01 +08:00
给 SIM 卡上 PIN 、锁屏不显示通知详情后,你就安全了吗? https://zhuanlan.zhihu.com/p/231106722

根据这里是的说法,用了 pin 也不安全。
-----------

我指的是手机号嗅探和短信嗅探,前者可以捕获周围在网的手机号,后者可以在 2G 网络下嗅探到某个手机号的短信。因此即便是你在锁屏状态下隐藏了通知详情,即便是你有 SIM 卡 PIN,攻击者仍然可以通过这种技术获取手机的验证码,进而展开相同的攻击。

无论短信嗅探还是手机号嗅探,都只在 2G 网络下才能进行。当然,这对攻击者并不难,一方面攻击者可以找一个 3G 4G 信号不好只能连入 2G 的环境进行攻击,另一方面攻击者也可以展开降级攻击 将连入 LTE 网络的手机降到 2G,这个技术也算非常成熟的。

怎么防这套攻击呢?很简单,在蜂窝移动网络设置里面将网络模式设置为仅 4G,或者 5G/4G 即可。
234 条回复    2020-10-10 14:09:33 +08:00
1  2  3  
sun019
    201
sun019  
   2020-09-11 09:57:03 +08:00
电信手机号的挂失和取消挂失的 操作,真是大开眼界的。
其实手机号能第一时间挂失后续很多事情,把关键几个账号密码重置了,后续就没其他啥事的
azkaban
    202
azkaban  
   2020-09-11 10:19:14 +08:00
@TypeError 兄弟,实名不是为了给你安全的,是为了监管的,人这技术的目标客户就不是你。
TencentNews
    203
TencentNews  
   2020-09-11 10:19:31 +08:00   ❤️ 1
SIM 卡设置 PIN 后,不输入 PIN 是不会入网的,也就不会有短信过来
halden
    204
halden  
   2020-09-11 10:31:54 +08:00
@imn1 联通发送短信 puk 到 10010 即可
mahanliang
    205
mahanliang  
   2020-09-11 10:42:20 +08:00 via Android
不是有个和多号吗,5 块钱一个月,注册网上账号全用它不行吗
fuxkcsdn
    206
fuxkcsdn  
   2020-09-11 10:51:38 +08:00   ❤️ 1
@kidlj 前提条件你弄错了
对方在无法解锁手机密码的情况下把 sim 卡拔出来插到其他手机上
这时候如果 sim 卡有 pin 锁,那插到其他手机上就无法注册网络了
然后之后所有事都没了,既然不知道手机号就无法使用人社的忘记密码,也就无法获取到姓名和身份证信息了
guazila
    207
guazila  
   2020-09-11 10:53:07 +08:00 via Android
@flowercoder 没这么简单的,运营商也不傻,如果按你说的“挂失 sim 卡至少 2 小时后才能解封,一天解封次数超过 3 次后不予解封。”那一个淘宝商家,知道你的手机号,家庭住址,再想办法搞到你的身份证号,可以直接恶意挂失你的手机号。以前有过类似的事情的。
fuxkcsdn
    208
fuxkcsdn  
   2020-09-11 10:55:42 +08:00
@garipan 首先要确认
你是用 A 打客服电话要 A 的 puk 码?
还是用 A 打客服电话要 B 的 puk 码?
前者,锁 pin 码即可
后者,那明显运营商问题,后者如果有验证 身份证信息,那“理论”上也没问题
cat9life
    209
cat9life  
   2020-09-11 10:56:26 +08:00
整个操作下来 感觉最骚的就是 10000 居然反复挂失解挂 ///
WeKeey
    210
WeKeey  
   2020-09-11 11:12:51 +08:00
@ouqihang 我跟你理解一致,貌似以前就是这样的,pin 码 3 次机会,错了 puk 码解,puk 码错 10 次,营业厅补卡
axxahut233
    211
axxahut233  
   2020-09-11 11:14:53 +08:00
哎,这个社会活着累就不说了,还有各种精心设计的骗局等着你
mhqschen
    212
mhqschen  
   2020-09-11 11:15:55 +08:00
锁屏密码和 SIM 卡密码同等重要,互相保护。
这 2 个都不被猜到的情况下,小偷都没法获得你的手机号,继而无法社工到身份证。
PUK 要么解锁进入手机获取,要么联系客服提供个人信息获取,不是熟人作案的话,是能保住的。

除了 LZ 附言里提到的嗅探的办法和其他我们不知道的黑产的办法,觉得已经挺安全的了。
WeKeey
    213
WeKeey  
   2020-09-11 11:16:03 +08:00
puk 码可以在线查询,甚至修改,这就过分了,应该像光盘一样,烧录上去
hxy91819
    214
hxy91819  
   2020-09-11 11:26:56 +08:00
看了下感觉安全问题确实挺惊心动魄的,自己平时也没怎么重视过这样的问题。
fluffyfoxxo
    215
fluffyfoxxo  
   2020-09-11 12:36:53 +08:00 via iPhone
刚刚自己试了试,广西电信打个电话问了个机主姓名就直接告诉我 PUK 码了,Siri 设置锁屏时也能用时可以直接用 Siri 打电话给电信,看来这个设置也要关掉才行
teek
    216
teek  
   2020-09-11 12:40:31 +08:00 via iPhone
另外,iphone 的紧急救助卡我也改了,里面填了姓名生日。
imn1
    217
imn1  
   2020-09-11 13:25:51 +08:00
@xiaochen3 #200
我第一个回复就写了自助机,你没细看吧?自助机有时间问题么?
别人指出时间点,我只是觉得没写“及时”引起歧义了,因为个个都只看到“柜台”、没看到“自助机”

既然我从第一个回复就说了自助机,你再细想逻辑,没兴趣继续讨论时间点话题,这点你爱怎么想就怎么想吧,我都认了,你可以去贴个大字报我没所谓
但对于可行解决方案倒可以继续讨论,这个才是对于我以后遇到同样的事,有用的,你有更好的建议,我愿意听一下

自助机不是一种解决途径么?我只是根据自己知道的,提出一个方案而已
我对了,事主也不会分钱给我,我错了,会给事主造成更大损失?
如果说我误导了其他人,这里都是成年人,搞技术的,不会听了就盲信吧,都会去向银行求证一下
我前面说的,至少是问过银行的人所知道的,我就问过银行的人“半夜账户有问题怎么办”,我得到的答案就是自助机,你问过么?如果你问过,银行给了你不同的建议(例如银行方面确认自助机没用),你就说出来啊,让大家多一点方案,同理,你说的方案大家也会向银行求证的,毕竟不同银行服务还是有细微差别的

没啥好争的,非要定个对错么?非要定义个立场么?
我没兴趣谁对了,谁错了,我只有兴趣哪个方案可行,哪个方案不可行,对事不对人
CommandZi
    218
CommandZi  
   2020-09-11 13:44:56 +08:00
@biu7
@IGJacklove

家里进贼、家里的手机被偷相比手机被偷概率低得多,刚好偷家里的手机的团伙还懂文章里面那一套东西概率更低

@tmado 风险在哪?短信转移通过运营商转移,虽然现在只有电信有这个服务,移动和联通都停掉短信转移业务。
thinkle11
    219
thinkle11  
   2020-09-11 13:50:59 +08:00
@imn1 哥们儿,别着急,看明白了。你说的是通过 [银行] 自助机保护 [银行卡] 是吧?
关于银行,文中写了:
”9:24 ... 开始采取紧急措施 ... 联系多家银行冻结信用卡 ..."
“根据云闪付上的绑卡信息,继续给银行电话,挨个冻结储蓄卡...”
这方面似乎并没啥问题。

那别人为啥喷你呢?因为别人以为你在说 [电话卡] 的事情。
文中的焦点,是 [电话卡] 挂失后被解挂。

OK,就是这样。你看看是不是这么一回事。
tmado
    220
tmado  
   2020-09-11 14:41:03 +08:00 via iPhone
@CommandZi 对啊,你说的就是我说的风险。我昨天查了下就是现在运营商基本不办这个业务,那就得用一些需要借助其他渠道的手段转发,这里就是风险了。
ITisCool
    221
ITisCool  
   2020-09-11 14:41:11 +08:00
@fluffyfoxxo 试了一下打开允许锁屏使用 Siri 的开关,锁屏下叫 Siri 打电话,iPhone 6 iOS 12.4.8 会要求先解锁,iPhone X iOS14 beta 8 没有要求解锁(前置摄像头我先挡住了,没有被面容解锁)直接拨出了电话
tmado
    222
tmado  
   2020-09-11 14:44:24 +08:00 via iPhone   ❤️ 1
@imn1 @imn1 对事不对人的话建议不要一开始就在并未妥善了解其他人的解决方案情况下,说出“致命错误”这种结论性术语
imn1
    223
imn1  
   2020-09-11 14:52:02 +08:00   ❤️ 1
@thinkle11 #219
我不着急,我挺喜欢辩论的,辩论时双方都能最直接摆出观点,没啥弯弯绕绕,大部分时间能迅速知道一些新知识,比我去看书快多了,当然还是要事后求证的,双方都该如此
指出对方观点错误(不是当事人,是观点),是为了让对方能拎出更佳的观点,说一个人错有什么意思?就为赢嘴仗?
如果对方辩解时没什么新观点,就不用继续了,这个“对方”也包括我自己,就是他认为我说不出有用的,他就可以停了,再继续剩下的时间就是人身攻击了,可以翻看我的历史回复记录,开玩笑是有的,但我不骂人
上次跟人“吵”,对方十分钟内连续扔出两个算法把我辩倒了,我输了辩论但知道两个新的算法了,那家伙平常还藏着掖着呢,厉害,哈哈

如果说电话卡,这个我认了,确实没什么确认可行的方案,很久之前问过电信、联通,说是可以网页凭服务密码登入处理,但问能否阻止其他途径反向操作,客服也是不置可否,但不管怎样,我电信、联通都设了服务密码,就防丢卡没法收短信这事,不过移动好像只有短信登入?

我的思维逻辑是先处理银行,因为银行卡在手上没丢,就可以自助机处理,如果能登入自助机,也能断开跟电话、各种 APP 的绑定,那么损失应该只剩下各种余额了(不计算操作前的损失),那电话卡此时就是次要的。当然,如果某些帐号(例如公司老总帐号、服务器帐号……),能通过 APP“忘记密码”这种骚操作获得高权限,可能银行卡反而是小事
所以我提出了 APP 和 sim 卡分离这种方案,这个好像没什么反馈

我第一个回复,就是指事主知识不足,主要不是说他处理失误(在他的知识范围内算是尽力了),事前没有了解一些注意事项,其他人(包括我)应该引以为鉴,事前去问问,我记得开卡时是问到职员厌烦的那种。借近来的话题,台风来了,不是看几个视频就懂怎么防风灾的……


我在另一帖有写 U 盾快速有效,算是一种方案(但紧急处理之后也要再跑银行一次的),U 盾虽然一年用不上一次两次,但我还是开通并留着,我知道这里很多人不喜欢 U 盾,事主也没这个,所以本帖之前没提
imn1
    224
imn1  
   2020-09-11 15:30:07 +08:00
@tmado #222
嗯,认同,我下次注意用词
terencehan
    225
terencehan  
   2020-09-11 16:52:14 +08:00
"该内容已被发布者删除"
chotow
    226
chotow  
   2020-09-11 17:08:30 +08:00
半小时前我还看完了文章,刚刚发现文章被删除了,不知道是不是遇到了什么不可抗拒因素。
freebuf 有转载,可以在这里继续看:
https://www.freebuf.com/articles/network/249294.html
matrix67
    227
matrix67  
OP
   2020-09-11 17:42:22 +08:00
@terencehan #225
@chotow #226

被黑产勒索了? 我是不是也要删了这个 可能影响太大了。
snBDX1b0jJM4ogKd
    228
snBDX1b0jJM4ogKd  
   2020-09-11 18:06:49 +08:00 via Android
@swulling 找不到重点
xiaochen3
    229
xiaochen3  
   2020-09-11 18:12:13 +08:00
@kidlj 你这个前提是知道姓名身份证号码,还有 sim 对应的手机号码。如果是偷来的手机,怎么知道手机号码这步就卡住了,换机插这张 sim 也是需要输入 pin 码的。
Hyseen
    230
Hyseen  
   2020-09-11 18:25:39 +08:00
原文被删除了,Archive 上有存档
https://archive.fo/rxUe4
shyrock
    231
shyrock  
   2020-09-11 21:14:26 +08:00
早 10 年就说过,手机跟钱包越绑越紧,就凭这个都应该选择安全性更高的手机设备,目前平民能用的就是 iPhone 了。
dididi9527
    232
dididi9527  
   2020-09-12 16:02:08 +08:00
文章作者发了篇新文章来介绍后续
https://mp.weixin.qq.com/s/ynE7dOIfQ1npyNOiAaVEQg

关于偷来的有锁屏密码的手机加上上了 PIN 码锁的手机卡,很多人觉得把 sim 卡拔出来插到其他手机上,小偷也无法知道手机号。那我们把步骤前置一下,楼主附言里提到的手机号嗅探装置我不知道工作效率怎样,如果是能随身携带以及获取手机号的时间很短,那么偷到手机后马上搞一下,都不用把手机卡拔出来插到其他手机上,手机号不就有了。
no1xsyzy
    233
no1xsyzy  
   2020-09-14 12:30:58 +08:00
@dididi9527 嗅探工具不具有定向性,所以随身携带和时间短互相冲突。
但是相对方便携带且相对时间短是可以的,看到过某个工具的图片,大约 30cm 直径的圆柱体,手机插在里面信号受控屏蔽。2G 不验证基站身份,代收短信和获取手机号是可以的。
所以推荐安全要求较强时,必须上发指定内容短信到指定号码来验证身份,而不是下发短信。
vfxx
    234
vfxx  
   2020-10-10 14:09:33 +08:00
@mschultz hey siri , 打电话给 10000 ( 10086 )
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2646 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 24ms · UTC 10:02 · PVG 18:02 · LAX 02:02 · JFK 05:02
Developed with CodeLauncher
♥ Do have faith in what you're doing.