中央13台今晚手机关机
央视13日报道了这样两篇新闻:
央视网新闻频道《提醒|新骗局!你知道手机副号吗?有人一夜丢了五万》。和我写的《深圳男子一夜被盗5万,因手机号被置副号接管》类似,不过标题直接把责任推给了手机副号。报道中这么介绍诈骗过程:
以下内容摘自央视报道:
何先生的手机号是怎么成为犯罪分子的“副号”的呢?
犯罪手法还原
第一步:买料。犯罪分子在网上购买泄露的姓名、银行卡号、身份证号和预留手机号,俗称为“四大件”。
第二步:钓鱼。犯罪分子向已经掌握了银行卡信息的用户,发起绑定副号的业务申请,以广撒网的方式寻找作案对象。一旦你误回复了,就上钩了。
第三步:强迫关机。由于主号只有在副号关机的情况下才能接管短信,犯罪分子这时一般会采用两种手段,一是利用短信轰炸强迫目标把手机关机,二是利用手机云服务,对手机进行远程操作。
第四步:空手套白狼。利用主号收到的短信验证码,犯罪分子对手机号码绑定的网购账户进行洗劫。
花样叠出,防不胜防!对于这类诈骗来说,在接到各类短信通知后,一定要看清短信内容,不可随意回复。
(摘完)
我们做一个严谨的流程分析,就会发现,在央视介绍的这个流程中有一个明显的漏洞。那就是,如果我能进入手机的云服务,对手机进行远程操作。并不需要之前申请副号,就可以掌握用户的大量信息,包括验证码。
但这不是本文要说的主要问题。我们再看看央视新闻频道及中文国际频道的另一篇新闻《辽宁沈阳:一晚偷45部手机特大团伙被打掉》。
大意是:辽宁沈阳警方就打掉了这样一个以盗窃手机为主的特大扒窃团伙。警方发现,这是一个涉案成员众多,盗窃手法非常娴熟的外省籍扒窃团伙,他们以盗窃手机为主,作案轨迹遍布沈阳多个商业街区,而且组织分工明确,已形成手机盗窃、收赃、改码、销售的“一条龙”体系。此次行动共抓获25名犯罪嫌疑人当场查获手机107部,涉案50余万元。最多的一次是一晚偷了45部手机。
如果被偷的手机没有设开机密码,那么这些盗窃团伙成员很容易就可以拿到您的手机号和验证码,以及手机上保持开机即登录状态的微信、QQ、淘宝、京东及邮箱等账号。这时候,盗窃并不难实现。
有人会问,他怎么知道我的姓名和身份证号、银行卡号的?银行卡号并不需要知道,因为已经与支付工具关联了。手机中包含大量的通信录、短信和微信、微博和一些互联网应用信息,知道姓名并不难,身份证也很可能知道。
更可怕的是,我在手机上打开了我的一个自媒体账号,在运营者信息中,发现了姓名、身份证号、手机号和证件照片,而我设置的是打开应用自动登录。(好在我的手机号不是与银行卡关联的那个)
这又回到了我在《建立在手机验证码沙滩上的互联网安全大厦》一文中提到的一个老问题,也是非常严峻的问题。如果骗子掌握了我手机号接收到的验证码,就可以盗走我银行卡里的巨额资金,这个流程中有明显的问题,究竟应该由谁来承担这个责任?肯定不是提供验证码服务的电信运营商。
与偷手机相比,更可怕的是盗补手机号卡,我在《即使被坏人补手机卡,巨额资金转走仍不该》分析了一个例子,手机号卡被人盗补了,运营商很可能有责任(也不一定,银行卡被盗补的也可能符合流程),但是如果盗补的是手机卡,丢的是银行卡里的“巨额资金”,这个流程就有明显问题了,而盗补手机号的目的,也是验证码。