小偷正在悄然转型

义夫义

小偷正在悄然转型

         众所周知，自从有了人类社会以来，小偷，这个古老的行业，历朝历代，一直存在于人类社会中，令人可恶的小偷，给人们的生活、财产造成了很多的损失与伤害。人们都十分痛恨小偷，都想“天下无贼”。但这只是一厢情愿而已，小偷仍然隐藏在世界各地，可以这么说，凡是有人群的地方，就有小偷，他（她）时时刻刻伺机作案，实在是使人们防不胜防，令人十分苦恼。尽管公安机关加大了打击力度，抓获了很多犯罪小偷，绳之以法，但还是有很多小偷继续在活跃作案，其作案的伎俩，与时俱进，变化多端，十分猖獗。
       如今，随着时代的发展，科技水平的提高，因为智能手机普及，大多数人出行都不带大量现金了，只要带上一部智能手机，就可以解决任何付费问题，因为银行卡都捆绑在手机上了。对此，小偷也与时俱进，改变了传统的偷盗手法，悄然转转型，专门伺机偷盗人们的手机。因为，盗取了一部手机，等于获得了钱财，就可以得利了。小偷偷到一部手机，就能盗刷你倾家荡产！
       笔者上网查阅有关资料，了解小偷在偷到一部手机后，是怎么盗刷手机上银行卡的。现公布于众，希望大家了解一下，当你出门工作开会、旅游探亲、聚会访友时，请提高警惕，保管好自己的手机，时刻做好防范。
       为方便叙说清楚，现将一个小偷的自述告诉大家，请大家自己看吧。

紫荆棘鸟

老义是不是上过当？

义夫义

       很多人目前都有这么一个看法：随着智能手机和移动支付的普及，我们出门只需要带一部手机即可，再也不用防着小偷偷盗钱财了。还有人经常调侃：全国的小偷这几年都快饿死了吧！但我们要告诉你的是：这种看法是极其错误的！
       越来越多的案例表明，小偷这个群体，也正在拥抱互联网转型升级，他们只需要偷走你的手机，几乎就等于拿到了你家的钥匙，后果极其严重。今天，我们请来在看守所的老朋友“金不欢”，给大家讲一讲小偷这个行业的“新玩法”。

       大家好，我是金不欢，因为搞黑灰产被判刑5年，目前正在监狱服刑，为了争取减刑，我决定把手机盗刷这个行当的情况给大家好好说说，算是给大家一个提醒。
       年轻的时候，我因为交友不慎，误入了偷盗这个行当，一干就是二十几年，也算是个内行人了。总的来看，偷盗这个行业也算是经历了起起落落。
       在2000年我刚入行的时候，刚好赶上中国加入世贸、经济高速发展，我们小偷也享受了一波红利。
但到了2010年之后，随着各类监控视频探头的安装，以及智能手机和微信、支付宝的普及，确实给我们这个行业沉重一击，很多同行搞不到钱不得不转行搞诈骗。
       但最近一两年，我们这些小偷界的元老级人物，不断开拓创新，与其他黑灰行业深度合作，开发了一个“先偷手机、再盗财产”的产业链，救无数同行与水火。当然，我也是因为这个，被抓了进来。

第一步：偷盗手机

       现在人出门基本都不带现金，甚至连银行卡都不带，身上最重要的，可能就是一部手机了。
       很多人刚用上智能手机后，总会嘲笑我们小偷一定会黔驴技穷、失业在即，也逐渐放松了警惕。但他们不知道的是，在当前各大金融系统的安全认证模式下，这部手机背后关联着他几乎所有的财产。在我们眼里，这一部部手机，就是一家家的保险柜。

       所以，我们的目标非常简单，就是去偷手机。成功偷到了手机，就等于拿到了保险柜的一半钥匙。

第二步：破解手机密码

       如果幸运，偷来的手机没有设置锁屏(开机)密码，直接就可以看到里面的内容，那么，就等于把保险柜的另一半钥匙也送给了我们，可以直接拿里面的钱了。
       即使是有密码也不怕，如果是安卓系统的手机，只要按照我们这个行业交流的办法，几秒钟就可以恢复出厂设置，进入手机。
       网上有很多所谓技术人员，经常会更新如何破解手机锁屏密码的视频，确实给一些忘记密码的人提供了帮助，但也给我们提供了技术指导。虽然手机公司也会定期弥补漏洞，但总会有聪明人想到办法。

       苹果系统的手机虽然不能破解开机密码，但是却有一个简单粗暴的办法，那就是把SIM卡拔下来，直接插到别的手机上进行接下来的盗刷操作。只是，因为换了手机，很多风控规则绕不过去，成功率就会大大降低。

第三步：更改手机服务密码

       我们为什么要进入手机呢，不是看他们的聊天记录、短信记录这些无聊的东西，而是要用这部手机当做接收短信验证码的工具，进行后续的盗刷操作。
       但这个时候，我们要考虑到失主在发现手机丢失后会挂失SIM卡，为了给后续的盗刷操作赢得时间和空间，我们还要做一件事，那就是更改手机卡的服务密码。
      什么是手机卡的服务密码呢，其实从安全性上来说，他和银行卡的密码没什么两样。对于运营商而言，你输对了服务密码，他们就默认你是卡主，就如同银行的ATM机，只需输对密码就可以取钱一样，ATM机才不管你是不是持卡人呢。只是可惜，很多人只注重银行卡密码，却从来不注重服务密码。不信，你们现在有几个人能清晰地说出自己手机卡的服务密码来？

       但是，更改手机服务密码必须要知道机主的手机号、姓名和身份证号这些基础信息。手机号很容易搞到，只要给别的手机打个电话，不用接通就可以知道全部的手机号码。那么，姓名和身份证号怎么搞到呢？这个也难不倒我们。
       现在很多政务类、购物类的网站都会记录每个人的个人信息，但由于他们不是金融类、支付类的网站，对安全防护的考虑不足，很多网站只需要“手机号+动态验证码”就可以登录，这就给我们提供了极大方便。我们下载一些政务类的APP，把手机号和收到的验证码输入进去，就可以看到手机号关联的全部个人信息了。

       此前曾有媒体报道，某省人社APP只用手机和验证码就可快捷登录，看到参保人信息(目前应该已经整改)
       除了这些政务类的网站，通过一些旅游类、订票类的APP等，也都可以从历史订单中获取机主的个人信息。即使有的APP只能获取一部分信息，多用其他APP交叉验证就可以得出了。这一点，在黑产界早已经不是什么秘密。毕竟，政务类、旅游类、订票类的APP设计逻辑更多考虑的是方便，而根本不像金融类APP那样把安全放在第一位。这恰恰是我们利用的弱点。
       掌握到“姓名+手机号+身份证号”这些信息，一般就可以到运营商网站更改服务密码了。只要更改了服务密码，这个手机和这张SIM卡就在我们的控制之中了。即使机主能够挂失，我们也可以解挂(当然，这是我被抓之前的做法，现在不知道全国各地的运营商有没有弥补上这个漏洞)。
到了这个时候，保险柜钥匙的80%已经掌握在我们手里了。

第四步：掌握银行卡号

       掌握了前面那些基础信息之后，想要盗刷，还必须知道手机机主的银行卡号。银行卡号是各金融类APP认证身份的重要凭证，也是打开机主财富大门钥匙上最关键的零部件。

       那么，我们最常用的手法是什么呢？
       之前，在“豆瓣网友独钓寒江雪的案件破了”中，通过提审犯罪嫌疑人掌握了他们常用的一些手段，由于这个环节是盗刷的关键一步，我不能讲得太详细，但可以告诉大家的是，都是利用支付类、银行类网站、APP内的原始设计，通过交叉印证得出的。
       而且，同行之间基本都掌握了一些网站、APP的突破手段，我们一般会互相交流分享，或者直接发包给别人做，最后按比例分成即可。

第五步：实施盗刷

       通过前面几个环节的工作，到目前为止，我们就掌握了手机机主的“姓名、身份证号、银行卡号、手机号以及可以随时收取的验证码”，至此，除了机主的“人脸”还无法获取外，已经基本掌握了盗刷的全部条件。
       这个时候，我们就可以利用市面上流行的各大第三方支付APP、银行APP、贷款APP、购物APP来进行盗刷了。按照要求，这些APP我不再点名，怕有人利用。但是我想告诉大家的是，每一个APP的设计虽然都有自己的一套逻辑，但都有可以被我们利用的地方。

      

       这有两个方面的原因：
       第一，在绝大部分的APP设计逻辑中，姓名、身份证号、银行卡号、手机号和验证码只要同步通过机器校验，就基本可以认定“你”就是“你”，而机器不知道的是，我们已经掌握了这些信息，机器认为的“机主”其实是“小偷”。第二，一些贷款类、购物类网站为了增加用户体验，说白了就是更快地贷出钱，更快地卖出东西，大大降低了安全认证的验证难度，我们很容易就可以绑定银行卡发.红.包，购买虚拟币售卖，甚至直接贷款转账。
       当然，为了避免教唆犯罪，我不可能说得那么详细，盗刷的方式和手段也不能详尽说出，但请大家明白，这个盗刷的成功率非常之高，除去一些风控很牛逼的大公司，其他的简直是易如反掌，家产小的，盗刷一般也不足为奇！

呼吁与提醒

       对于每一个普通人：
       1、请改变过去错误的认识，智能手机的出现虽然降低了现金被盗的概率，但是随着黑产技术手段的不断增强，智能手机也可能是送给黑产者一把打开你财富的钥匙。
       2、请不要过分担心，虽然黑产利用了各大公司的漏洞，但是很多公司的风控做得是比较好的，一般情况下，这种损失是可控的，越大的公司，后期的赔付能力就越强。
       3、请一定设置好你手机的锁屏密码，并同步设置SIM卡密码，同时，保管好你的手机，千万不要丢失。
       4、如果手机一旦确认丢失，请立即致电运营商挂失SIM卡(当然，对于没有更改规则的运营商，已挂失的SIM卡可能会被盗刷者激活)。
       5、日常养成好习惯，与智能手机绑定的银行卡最好只有小额存款，以便减少损失。
      对于政府和企业：
       1、请政府类网站、APP的运营者，尽快摒弃使用“手机号码+短信验证码”就可以登录的弱登录模式，因为这些政府网站往往有居民的详尽信息，很容易被黑产者用来“社工”居民的个人信息，造成损失。
       2、请各大运营商高度重视这类作案手法，对服务密码的修改规则、SIM卡的挂失与解挂规则进行研究完善，避免黑产合理利用规则实施后续违法行为。

说明

       1、为了避免起到教唆作用，本文中对关键作案手法进行了省略或者变更，已展示的手法基本都是在互联网或者其他媒体已经公开的手段，之所以写这篇文章，就是要告诫大家黑产的发达之处，并提供防范指引，呼吁企业做出改变。
       2、本文是根据综合近期多地发生的盗刷案例来写的，“金不欢”和“曾聪明”一样，系终结诈骗推出的人物角色(并非现实存在)，采取自述手段更能详细还原此类手法。

义夫义

紫荆棘鸟 发表于 2021-3-5 01:33
老义是不是上过当？

老师：新年好！
呵呵，老师您还没有休息吗？
惭愧，我一个退休的普通草民，每月就区区几千元退休养老金，几乎月月光，属于“月光族”。所以，我并不担心小偷光顾哦。
再说，我干过十几年的保安工作，抓过小偷，防范小偷，还是有点经验的哩。

我就在水一方

对的。可第一时间不乱应答，乱刷，第二，手机不能遗失乱放。年纪大了，一定要注意防范。

义夫义

我就在水一方 发表于 2021-3-5 11:25
对的。可第一时间不乱应答，乱刷，第二，手机不能遗失乱放。年纪大了，一定要注意防范。

感谢关注！惊蛰吉祥！

紫荆棘鸟

义夫义 发表于 2021-3-5 02:09
老师：新年好！
呵呵，老师您还没有休息吗？
惭愧，我一个退休的普通草民，每月就区 ...

要是小偷和新冠病毒斗得不可开交就好了......

义夫义

紫荆棘鸟 发表于 2021-3-6 01:33
要是小偷和新冠病毒斗得不可开交就好了......

小偷都是聪明的高人，要的是钱财，他（她）们不傻，不会与病毒打交道呢。

云上云上

小偷也越来越聪明了。

白水

魔和道都在提高自己法术。

义夫义

云上云上 发表于 2021-3-6 20:49
小偷也越来越聪明了。

云上老师：晚上好！
呵呵，小偷也会与时俱进哦。

义夫义

白水 发表于 2021-3-6 21:33
魔和道都在提高自己法术。

感谢白水老师留言鉴评。祝您春祺！