午夜福利院在线观看免费,天堂最新版在线,色噜噜精品一区二区三区,无码一区二区三区中文字幕,丝袜美腿一区二区三区

手機(jī)一丟,傾家蕩產(chǎn)!運(yùn)營商手機(jī)掛失竟然還有漏洞!

手機(jī)一丟,傾家蕩產(chǎn)!運(yùn)營商手機(jī)掛失竟然還有漏洞!插圖

你可知道:

已經(jīng)掛失的手機(jī)號碼,還可以通過運(yùn)營商客服電話輕松解除掛失嗎?
本以為設(shè)置了SIM卡密碼就高枕無憂了,沒想到被竊賊輕松攻破?
短信驗(yàn)證碼功能,可以開啟你多少app的大門嗎?
憑你遺失的手機(jī)卡,就可以讓你負(fù)債累累嗎?
這絕不是危言聳聽!
近期,一篇文章《一部手機(jī)失竊引發(fā)的驚心動魄的戰(zhàn)爭》在朋友圈熱傳,讓不少網(wǎng)友驚醒:過去丟手機(jī),可能損失的只是一部手機(jī)的錢;如今丟了手機(jī),可能搭上“全部身家”甚至因此背上貸款!
被熱傳的文章,是一位自稱有10年信息安全從業(yè)經(jīng)歷的安全專家“老駱駝”,根據(jù)自身親身經(jīng)歷所寫。由于原文太長,過程相當(dāng)折磨人,這里簡要回顧下:
事件回放:
9月4日:
1)19點(diǎn)30分左右,老駱駝手機(jī)遺失,未及時掛失。
2)20點(diǎn)54分左右,手機(jī)卡被安裝在其他手機(jī)上,利用短信驗(yàn)證碼,獲取到了多個APP上的身份信息、銀行卡信息。同時,修改了運(yùn)營商處的服務(wù)密碼。
3)21點(diǎn),老駱駝凍結(jié)了支付寶、微信、云閃付,更換常用APP關(guān)聯(lián)手機(jī)號碼。
4)21點(diǎn)開始到次日凌晨5點(diǎn),這個時間段一直在重復(fù):老駱駝申請掛失,然后壞人申請解除掛失;老駱駝再申請掛失,再被壞人解除掛失的操作,如此往復(fù)數(shù)次 …
這個過程中,四川電信的掛失與解除掛失規(guī)則有漏洞(據(jù)悉,目前四川電信已修改該規(guī)則,但仍有破綻,見后文分析)。
而在這個時間段,壞人利用手機(jī)號干了如下壞事:
(1)安裝了一些金融APP,貸款!
(2)注冊了一些購物APP的賬號,刷卡消費(fèi)!
最終,在老駱駝不斷阻擊中,還是被金融APP套走5000元,etc信用卡有各種買卡、充值的記錄幾千元,銀聯(lián)轉(zhuǎn)賬記錄幾千元。文章曝光后,損失陸續(xù)找回,但過程很崎嶇。
整個事情的過程,讓很多網(wǎng)友大跌眼鏡。
我們每個人都有遺失手機(jī)的可能性,雖然幾率很低,但如果恰好發(fā)生在自己或親人身上,會相當(dāng)相當(dāng)麻煩。有了老駱駝的前車之鑒,小編在當(dāng)天就按文章介紹的方法設(shè)置了SIM卡密碼,并修改了默認(rèn)的PIN碼為一個復(fù)雜密碼(移動默認(rèn)為1234),本以為可以高枕無憂了,沒想到聊天時有同事說這僅僅是個擺設(shè)!并且掛失解掛的過程中也仍有漏洞。
為了一探究竟,我們西部數(shù)碼(west.cn)的團(tuán)隊(duì)兵分幾路,于2020年10月16日,分別對四川移動、電信、聯(lián)通的手機(jī)掛失/解除掛失流程進(jìn)行了測試分析:
一、 四川移動
掛失:可憑借服務(wù)密碼;或者最近60天內(nèi)三個有效通話記錄手機(jī)號,撥打10086客服電話掛失。
解除掛失狀態(tài):憑掛失時選擇的方式(如果掛失時選擇了服務(wù)密碼掛失,則提供服務(wù)密碼解除;如果選擇三個有效通話記錄掛失,則需要提供申請掛失時提供的三個電話號碼)。
如果遺忘sim卡密碼(PIN碼):
四川移動客服要求提供:手機(jī)卡背后的4串?dāng)?shù)字,核實(shí)后直接提供了PIN碼和PUK碼(它的主要功能就是當(dāng)SIM卡輸入錯誤的PIN碼,導(dǎo)致手機(jī)被鎖住時用來解鎖的碼),然后順利解鎖。
值得稱贊的地方:如果沒有服務(wù)密碼,解除掛失狀態(tài)時必須嚴(yán)格驗(yàn)證申請掛失時的三個手機(jī)號碼,這可能防止壞人解除掛失(他通常猜不到機(jī)主提供的是哪三個號碼)。
存在的漏洞/不足:
PUK碼獲取太過容易(沒有進(jìn)行任何的安全驗(yàn)證),試想一下:手機(jī)被盜/遺失,此時手機(jī)卡已經(jīng)在壞人手里,他憑卡背后的數(shù)字致電客服,輕松繞過PIN碼鎖定,解鎖手機(jī)卡。機(jī)主設(shè)置的PIN碼鎖定失去了安全屏障。
建議:四川移動對獲取PIN/PUK碼改為需要去線下實(shí)體營業(yè)廳辦理,或者在移動的APP里面經(jīng)過人臉識別后提供也可以。
二、 四川電信
掛失:可憑服務(wù)密碼;或者上個自然月的三個有效通話手機(jī)號碼,撥打10000號客服電話掛失。且24小時內(nèi)僅允許電話解除掛失一次。
解除掛失:與掛失提供的憑據(jù)一樣,但不需要像移動那樣驗(yàn)證申請掛失時的號碼,上個自然月的三個有效通話手機(jī)號碼。
如果遺忘sim卡密碼(PIN碼):
要獲取PUK碼,需要登錄網(wǎng)上營業(yè)廳,或者去線下實(shí)體營業(yè)廳辦理。
四川電信,在這次老駱駝事件中,是重要主角之一,經(jīng)過這次事件,有所改進(jìn)(改進(jìn)為24小時內(nèi)僅允許電話解除掛失一次),但這個改進(jìn),仍有不完善之處:?絕大多數(shù)人在丟失手機(jī)后會第一時間掛失,但99%的人不知道壞人還可以憑通話號碼就可以在線解除,所以僅有的這一次電話解除機(jī)制更像是為壞人留下了一個后門。
至于服務(wù)密碼和三個通話號碼的獲取:黑產(chǎn)拿到手機(jī)卡后,可以第一時間憑身份證號和手機(jī)驗(yàn)證碼登錄網(wǎng)上營業(yè)廳獲取。而身份證號碼可以通過社保APP、攜程APP等很多途徑獲取到(通過SIM卡插到其他手機(jī)上得到的驗(yàn)證碼)
建議:四川電信改為跟四川移動的政策同步:解除掛失時需要驗(yàn)證提供的三個號碼必須跟掛失時報的號碼完全一致,這樣即可堵住漏洞。至于24小時解除一次還是多次其實(shí)不是關(guān)鍵。
三、 四川聯(lián)通
掛失:可憑服務(wù)密碼;或者提供機(jī)主姓名+身份證號碼以及辦理手機(jī)卡時預(yù)留的聯(lián)系地址或聯(lián)系電話(地址/電話必須其一)。
解除掛失:只能帶上身份證去營業(yè)廳辦理。
如果遺忘sim卡密碼(PIN碼):
只能去營業(yè)廳辦理。
四川聯(lián)通不清楚是否因?yàn)樽罱@個事件影響而臨時調(diào)整過政策,掛失時必須提供辦理手機(jī)卡時登記的地址或者聯(lián)系電話,大多數(shù)人的電話卡應(yīng)該用了多年了,誰還能記得當(dāng)年辦卡時留過的其他號碼呢?當(dāng)年辦卡預(yù)留的地址也可能很多人搬過家記不清是留的哪個地址了。
機(jī)主手機(jī)丟失了,本來就很著急,想第一時間掛失,結(jié)果四川聯(lián)通因?yàn)椤鞍踩笨紤]設(shè)置的條件可能讓很多機(jī)主掛不了失!
建議:四川聯(lián)通在掛失條件上參考移動和電信的規(guī)則,提供最近3個月的三條通話記錄就行了。
其實(shí),“老駱駝”的經(jīng)歷并非個案。這不過是偷竊手機(jī)、盜刷銀行卡受害者中的冰山一角。目前,全國手機(jī)網(wǎng)民接近10億,丟失手機(jī)引發(fā)的盜刷現(xiàn)象正在成為新一輪的財產(chǎn)安全隱患。
那么,對于我們普通人,如何才能盡可能避免新的安全隱患,做到財產(chǎn)安全呢?
根據(jù)對目前各運(yùn)營商的服務(wù)規(guī)則測試,我們總結(jié)出如下建議:
1. 給自己的手機(jī)sim卡設(shè)置密碼。
2. 給手機(jī)設(shè)置屏幕鎖。
3. 確保手機(jī)鎖屏狀態(tài)下來短信無法看到短信驗(yàn)證碼內(nèi)容(蘋果手機(jī)默認(rèn)是能看到的,需要設(shè)置關(guān)閉)。
4. 如果手機(jī)意外遺失(被偷/被搶),立即致電運(yùn)營商客服進(jìn)行掛失申請并盡快補(bǔ)辦新卡。
當(dāng)然,保障錢財安全,做好手機(jī)防護(hù),僅有用戶參與還遠(yuǎn)遠(yuǎn)不夠,僅有上述的設(shè)置也是不夠的。如果運(yùn)營商的政策不調(diào)整,那么用戶設(shè)置的安全防線也沒有意義。
上面就是西部數(shù)碼團(tuán)隊(duì)對四川地區(qū)三大運(yùn)營商在處理手機(jī)掛失/解掛的情況匯總,我們已經(jīng)就這些漏洞和建議反饋給了運(yùn)營商客服,但運(yùn)營商政策的調(diào)整一般不是太容易的,希望此文能引起運(yùn)營商相關(guān)團(tuán)隊(duì)的注意,提升風(fēng)控意識,通過積極行動協(xié)助老百姓保護(hù)手機(jī)安全、保護(hù)老百姓的錢袋子。
因?yàn)閰^(qū)域原因未測試其他省份的情況,可能其他省份也多少存在類似的問題。也歡迎廣大網(wǎng)友向本省運(yùn)營商咨詢/測試一下他們的相關(guān)服務(wù)規(guī)則,在評論區(qū)留言告訴我們。
如果大家有認(rèn)識運(yùn)營商的相關(guān)部門人員,請發(fā)給他們研究流程的優(yōu)化改進(jìn); 也歡迎大家轉(zhuǎn)發(fā)給親戚朋友,共同重視手機(jī)安全風(fēng)險。

給TA打賞
共{{data.count}}人
人已打賞
手機(jī)手機(jī)掛失漏洞漏洞運(yùn)營商
0 條回復(fù) A文章作者 M管理員
    暫無討論,說說你的看法吧
QQ客服
  • QQ176363189 點(diǎn)擊這里給我發(fā)消息
旺旺客服
  • 速度網(wǎng)絡(luò)服務(wù)商 點(diǎn)這里給我發(fā)消息
電子郵箱
  • sudu@yunjiasu.cc
微信客服
  • suduwangluo