微信号:bigsec

介绍:岂安科技( bigsec.com ) ,专注于互联网业务风险控制

知乎用户@曹一聪 银行卡被盗刷的一些疑点和分析

2016-08-24 17:59 安安

干货

观点

案例

资讯

我们



前两天,知乎用户@曹一聪的一篇文章《小米短信同步缺陷让父母银行卡被盗十万元》引起来轩然大波。作者曹一聪声称由于小米短信同步的缺陷,导致自己的父母银行卡被盗十万元。


文章发出后,引起了热烈的讨论,小米公司随后也介入此事,在事情真相为查明之前,作者暂时清空了这篇文章,下面是局部截图:



事情大概是这样:


曹一聪的母亲用的是小米5手机,先是收到小米“新增云同步设备”的通知提醒,二十分钟后陆续收到银行发送的多条短信验证码、多条转账成功还有贷款成功的通知, 最终被盗走6万元,并被贷款4万元,共计10万元。


我们来梳理一下账号被盗的流程:


  1. 该用户的小米帐户,被他人登陆到其他小米设备

  2. 小米通过下发短信,通知用户该帐户在其他小米设备登陆

  3. 同时,被他人登陆的设备,开始同步小米账号内所有信息

  4. 该用户银行卡被提款

  5. 该用户被贷款


因为目前真相还没有水落石出,安安也不好说这到底是谁的锅,所以只能分析一下其中的关键点。


关键点一:用户的小米账号密码形同虚设


账号密码是第一道防线,很可惜却没人在意,大家似乎已经默认账号密码被盗是一件正常的事情,


小米论坛在2012年的时候曾被爆出,800w用户信息泄露。网友亲测泄露的数据可进入小米账户,通过小米云服务可得到手机号及设备信息。通过同步可获得通讯录,短信,照片,便签。并可在线定位,发警报,锁定手机,及擦除信息等操作。大部分账号同步使用邮箱,京东,支付宝等。


换句话说,曹一聪母亲的小米账号可能就在那800W被盗账号中,并且一直没有修改过密码。这也在提醒大家,定期修改密码是做好安全防护的第一步。


关键点二:对方怎么绕过短信验证码


使用未验证的设备登录小米账号,是需要接收并输入短信验证码的。问题在于,曹一聪母亲的小米手机并未遗失,相应的,作案者就很难拿到这个短信验证码并通过验证。


这的确也是本案的关键,对于这一点,曹一聪举证认为是作案者通过小米账号在其他小米设备上同步了小米账号的所有信息——包括短信,从而拿到了短信验证码。但实际上,小米手机的短信同步,对通知类短信,默认在其他手机上都会延迟7天。


短信验证码是账户安全的最后一道防线,短信验证码被攻破,安安还想到了下面几种可能:


1.手机卡被复制


据说复制的SIM卡可以接到到原卡的短信和电话,这个被传得很玄乎,安安经过考证,手机卡确实可以被复制,但是如果有一个电话打进来,只会有一个电话响,不会出现两个电话同时响。至于是哪张卡的电话响,取决与最后做位置更新的那个。短信也是一样。


2.作案者用被验证过的手机登陆


这种情况听起来很奇怪,但其实很常见。以支付宝为例,如果你曾经使用过的手机忘记取消设备授权,然后一不小心又被卖到了二手市场,就很危险了。如果某个人刚好知道你的账号密码,又持有授权过的设备,资金就很容易被盗了,当然这种情况的概率还是蛮小的。




3.手机木马读取短信


安卓系统因为比较开放的缘故,木马可以做到读取短信并回传给盗号者。如果手机中了这样的木马,手机上的所有操作都被对方摸得一清二楚,读取个验证码自然不在话下。至于说怎么中木马,又是一套比较复杂的流程,现在这些从事黑产的流水化作业,非常专业,甚至可能给你下木马的和盗银行卡的都不是一帮人。


说到这里,其实问题已经探讨地差不多了,现在就等着警方公布具体的过程。


岂安作为一家为互联网企业提供业务风控产品的公司,从企业的角度思考一下:


互联网企业最怕遇到小米这样的遭遇,银行在安全方面层层设防,用户遇到问题往往会在第一时间把矛头指向互联网产品。


业务风控是一个体系,这个体系中某一环做的不好,就会对其他的环节产生隐患。在这件事中,大家的目光都聚焦在最后一道防线——短信验证码上,试想,如果之前小米账号没有被大规模脱裤,作案者很难进行撞库攻击。另外,面对撞库攻击,小米缺乏足够的应急机制,或者说只能通过验证码来阻止撞库攻击。


岂安科技的业务风险分析平台WARDEN,可以对撞库攻击做到及时发现、及时预警、及时响应,感兴趣可以点击左下角“阅读原文”了解WARDEN更多信息。





你可能会喜欢:


互联网广告作弊的危害,以及如何反作弊


卡在身边钱被取走?银行卡被盗最常见的三种情况及原理


大麦式“撞库”威胁,互联网企业该如何面对



 
bigsec岂安科技 更多文章 个人隐私如何被泄露、贩卖,女大学生被骗背后的黑色产业 从刷单到接码,黑产是如何运作的 打码平台是如何运作的?再谈验证码安全 不作恶的创业就那么难吗? 网撸黑话+技巧大全 | 岂安低调分享
猜您喜欢 活动|光盘再不送 全都要发霉l啦! 全国高职高专校长联席会,达内解读新兴战略性产业人才培养 涨姿势:你用Kafka吗?看看LinkedIn的流处理生态 做哪些优化,才能让 UITabelView 更顺滑? Wizard Framework:基于Windows Forms的向导开发框架