信安老炮遭遇手机失窃难逃资产盗刷，这届扒手有点“狂”

近日，一篇题为《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章引发了社会的关注。作者“老骆驼”是一位在网络攻防领域叱咤10年的信安老司机，在追回家人被盗手机的过程中，他与身在暗处的黑产分子数次过招，纵然使出浑身解数，但仍以“大几千的资金损失”惨败。

回顾整个事件，我们不禁惊叹于幕后黑产链的狡诈与“强大”。在事件持续发酵后，我们希望以理性的视角还原事件始末，并对其中潜藏的技术隐患加以解析，最终的目的是在事件之后沉淀下经验，在下一次的对战中，正义能从容应对，毫发无损。

还原事件经过

01

丢失的手机和“一站”获取的重要信息

失主

【动作】手机丢失——未立即挂失——开启华为找回手机上线通知

【目的】侥幸能重新找回手机

黑产

【动作】2小时内迅速转移赃物——原手机卡换至另外设备——完成丢失设备的解绑——通过惯用手段，快速获取失主关键信息（姓名、手机号码、身份证号、银行卡号）【信息获取途径：四川人设厅APP】——解绑失主云闪付关联银行卡

【目的】绕过手机找回机制；阻断云闪付异常通知 

02

“你挂失，我解挂”的狡诈博弈

失主

【动作】致电手机运营商-中国电信——挂失手机卡——冻结账号、银行账户，转移资金

【目的】截流止损

黑产

【动作】手机卡解除挂失——基于原手机号，注册新的支付宝、微信、美团网贷等APP账户——开通呼叫转移

【目的】获取各平台短信验证码及语音验证码

03

被遗忘的银行卡成为压垮“骆驼”的稻草

失主

【动作】更换支付宝手机号——冻结常用APP账号，并更换手机号码——关闭原手机号短信接收功能

【目的】降低财务损失

黑产

【动作】破解失主华为密码——先失主一步更换支付宝手机号（企图绕过支付宝人脸识别验证，但未成功）——完成贷款申请、资金转移——不断试探新的可利用漏洞

【目的】资金盗刷

事件结果

1、美团借贷产生5000元贷款，ETC信用卡产生各类买卡、充值等消费记录，共计损失大几千元；

2、失主迅速报警，并与各平台进行沟通；

3、对各类APP和账号进行验证。

事件回溯分析

梳理完事件经过，我们可以看出这是一次典型的社会工程学应用案例，黑产团伙的整个作案流程并没有高端的技术应用，反之贯穿应用了大量的诈骗、心理漏洞应用技巧。正如失主所说，对方不是技术高手，甚至可能只是简单的操作流水线，但是重点在于对心理、时机以及整个互联网认证业务流程的把握都恰到好处。

我们从社工和业务安全流程的角度进行分析可以得出对方大概的攻击路径，以及在整个流程中存在的安全漏洞问题（包括安全意识）。

1.  获取手机验证码：黑产团伙通过换手机插入SIM卡的方式自然获得验证码的使用权限。

分析：完全没有技术含量的一步，却是后续所有窃取行为能够成立的关键。同时侧面反映出目前大量手机用户并没有SIM卡上锁的习惯，而根据目前市面上大量的APP的认证规则，手机验证码是认证流程中最上游的一环，甚至是部分安全防护水平较低APP的唯一认证手段，因此带来了巨大的安全风险。

防护手段：开启SIM卡锁。在未上锁情况下积极进行SIM卡挂失（仍有安全风险）

2.  获取身份证号、银行卡号：在本文案例中，黑产利用了四川社保局的明文信息存储漏洞，在通过手机号+验证码方式登陆社保账户后，轻松获取了失主的身份证号和银行卡号信息。

分析：传统网络安全讲安全能力取决于最薄弱的一环，但是我们通常只将这类理论应用于某一安全领域，但是就本案来讲，对于整个移动互联网来说，安全防护能力参差不齐的问题已经成为一项重大漏洞。简单来说，尽管黑产单独突破大型厂商的安全防护并不现实或代价非常高，但是黑产团队可以从另一些安全防护水平低的通道获取到关键认证信息。网络安全生态木桶理论的隐忧变为了现实。

防护手段：用户提高筛选能力，在可信的平台中储存身份敏感信息；服务提供商应注重安全防护能力，数据加密能力的建设。

3.  解除SIM卡挂失：在本文案例中，尽管失主在未对SIM卡上锁的情况下进行了SIM卡挂失，黑产仍然通过社工技巧哄骗电信客服人员进行了解绑，同时在掌握了失主身份信息的情况下抢先修改了运营商服务密码，拉长了失主挂失流程，为后续操作争取时间。

分析：这一环节表明黑产团队对于运营商挂失流程的高度熟悉，包括解除挂失、更换服务密码所需的认证信息，人工客服流程。从业务安全的角度来说，该运营商在挂失与解除挂失的流程设置上的确存在安全漏洞，另一方面，黑产牢牢抓住了“人”是最大的安全漏洞这一环节，对掌握了挂失权限的客服人员进行欺骗，也是本案例的一个重要特色。

防护手段：相关运营商应加强客服人员的网络安全意识培训，业务安全流程设置应当遵循对关键功能加强防护的原则。

4.  利用认证漏洞：案例中黑产前后获得的个人信息与认证材料有，手机号码、验证码、常用手机设备、身份证号、银行卡号，通过以上认证资料可以完成的动作有，绑定银行卡号、支付、贷款平台认证、额度贷款、信用消费等。

分析：通过事后支付宝发布的声明可知，黑产团伙注册支付宝号的方式是常用设备+身份信息的方式，而绑定银行卡是通过银行卡号+预留手机验证码的方式。值得一提的是支付宝风控引擎及时通过风险监测阻断了资金外流，而在一些小型网贷平台上因为缺乏风险检测机制，黑产顺利进行了贷款操作。简言之，当黑产掌握了以上关键信息后在某些风控体系较弱的平台上造成损失的机率非常大。

防护手段：加强APP监管，企业应对涉及用户资产的功能加强认证体系和风险管控能力建设，用户个人也应当在注重个人隐私信息的防护，尽量不在手机中储存身份证号、银行卡号等敏感信息。

相关风控体系

由于事件的发酵，我们也注意到大家对各家企业的风控管理体系有了更多的关注，究竟针对上文所提到的认证漏洞问题“风控”是如何应对与解决的，我们找到了目前市面上主流的风控引擎来做出了如下解读。

l  派拉智能风险分析平台

平台主要特点为：

1） 预判式风险应对：根据风险模型，实现事前应对潜在风险的异常和发生

2） AI算法统一管理：汇聚业界优势AI算法，满足千行百业行业应用需求

3） 风险策略自动调整：基于规则引擎灵活的判断用户风险， 实现自动调整

4） 自动风险检测技术应用：基于机器学习、知识图谱、AI算法的风险检测技术应用

5） 实时风险分析：数据基于用户访问应用实时产生的行为数据，如IP、访问 地域、访问设备等

l  竹云风险引擎

风险引擎管理主要对风险引擎进行风险信息监控、风险规则管理等功能。主要功能包括：

【监控面板】控制面板包括了最上方当天风险报警次数;中间本周用户访问统计报表和上周应用访问排行榜;以及下方用户设备统计饼图和 HDFS 服务器健康监控。

【风险监控】主要包括对用户认证趋势、规则拦截统计率、风险统计率、用户访问趋势等多维度信息进行综合监控。

风险控制界面示意图

【规则管理】内置多种规则进行管理，如：IP规则、密码规则、用户非活跃时间规则、IMEI 画像规则、活跃时间访问规则、用户操作停留时间规则等；其中设备规则: 该规则将限制用户访问所使用设备是否匹配该用户常使用的设备，规则值指定可允许历史常用设备个数，如访问设备不为此有效个数范围内的设备则命中风险。

【用户管理】主要是针对系统用户、角色、权限的增加、删除、修改以及密码重置等管理服务。

【流程完整性分析】流程完整性功能通过收集用户的操作日志数据，根据预先配置好的流程风险规则进行数据过滤匹配，若同一流程下的流程操作数据缺失对应步骤，则命中风险并记录展示。

【应用管理】包括应用管理和应用规则管理两部分，应用管理针对应用信息进行增删改查操作，应用规则管理用于配置应用场景下包含的风险规则，供风险分析功能使用。

l  奇安信可信环境感知系统

可信环境感知系统（TESS：Trust Environment Sensor System）提供终端环境的安全状态，为智能身份分析系统(IDA)提供实时的终端可信度的判断依据。

TESS主要包括以下功能：

【风险感知】TESS可实现针对访问主体的多种维度的风险感知，包括：设备环境、运行环境、网络环境、应用环境、运行环境、终端防护环境等。

【威胁分析】TESS可对终端上报的终端环境风险数据进行持续的风险分析及信任评级，并将分析结果上报至IDA以实现访问风险的综合研判和信任评估（未部署IDA时，TESS可与TAC直接对接）。

当然，针对移动支付的多变场景，安全厂商也有一些“妙招”应对：

l  亚信安全-SIM卡盾【SIMKEY】

专注于身份安全领域的产品，它使用基于国密算法的数字证书来保障身份安全，并分析现有密码产品在移动端上使用不便的问题，创新性的将数字证书写入手机UIM卡，为用户提供一个安全、便捷、可信的移动身份标识。

l  芯盾集团-MTx 贴芯卡

安全芯片的基础密码设备，贴芯卡厚度仅有 0.18mm，粘贴在手机 SIM 卡上，为手机等移动智能设备提供高速的密码运算，可以满足应用数 据的签名/验签、加密/解密等要求，保证传输信息的机密性、完整性和有效性，同时提供安全、完善的密钥管理机制。

【高性能密码算法】满足多种国内外公钥密码算法、对称密码算法、杂凑密码算法。

【高可靠性】可定制化智能卡操作系统(NPCOS)通过安全状态、安全属性、安全机制和身份认证等四个模块的有机结合，保证内部密钥及数据文件的安全、可控。并且可通过另外一系列的安全密钥，来提供访问控制、数据保护等措施，实现自身的安全防护体系。密钥的使用行为都严格受到安全体系限制，若无对应权限则拒绝相关操作。

【安全密钥管理体系】可存储个人数字身份证书、签名公私钥和加密公私钥，为移动终端提供数字签名、签名验证和数据加解密等密码服务; 内置国密局认证的密码芯片，可与同平台网管加密通信; 可利用真随机数发生器产生密钥。

l  爱加密-移动支付解决方案

解决方案主要包含以下内容：

【移动安全加固】

综合采用Android Dex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SO Linker技术等，通过领先的第八代All-In VMP加固技术，为用户提供全面的移动应用加固和攻击防范解决方案。

【防篡改/完整性检查】、【信息存储加密】、【防截屏保护】

【页面防劫持】对恶意行为实时监听拦截，客户端运行时监控 Activity，如果发现Activity被覆盖，则提示用户有安全风险存在，不要输入敏感信息。页面（Activity）被恶意App劫持后，提醒用户谨慎操作。

【移动安全检测】平台采用静态检测、动态检测、内容检测等技术，全面检测移动应用中存在的安全漏洞、编码缺陷等问题，提前避免因安全漏洞导致的安全事故，及时预防安全风险。

l  通付盾-移动支付风险安全防护解决方案

【全渠道风险监测】

【事前预警风险实时监控】风险中心提供全局风控图形报表展示，帮助用户从不同角度了解当前业务风险状况；实时交易风险监控预警，提供通过、拒绝及定制化人工处理、报警方式自定义配置；事件场景分布提供场景风险分布、风险事件 等，帮助客户了解不同场景的风险状况；事件趋势为客户提供事件趋势详情，展示 有安全事件、风险事件、风险率等情况等。

【事后分析风险调查取证】通过身份证号、电话号码、地址等信息节点，将用户人与内/外数据库中数据进行关联生成深层次社会关系网络，用于非法行为监测，帮助理解非法行为成员网络的核心、周边、行为模式等。对于疑似欺诈，支持调查任务调配功能。

总结

当然，尽管目前应对认证问题的技术手段比较多元，但是类似情况的发生并非单个技术环节上的问题，而是整个移动安全生态上存在的漏洞，比如说某些小型网贷平台缺乏安全认证，以及某些平台的涉密信息处理不到位，可以看到这些问题并未一朝一夕能够解决的。

最后，嘶吼将在下周就“手机丢失背后的黑产链条以及如何从信息安全角度防护相应风险”开展系列文章专题，逐步讨论移动安全领域的相关技术与安全生态问题，欢迎大家持续关注。