关于那篇丢手机之后被窃取资金的文章一点感想

发现瞎忙了好长一段时间了,好久没有写博客。深夜随便写点想法吧。

废话少说,放原文链接:一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链。后面会附上原文截图。我本来以为只是个常见的丢手机的事情,但是仔细看了下发现好像问题不是那么简单。

如果你的手机丢失了,你会第一时间做什么?我敢说,对于不少设置了找回手机功能的用户,当中一定有大多数人会选择不挂失手机卡,指望着手机联网上传位置信息来找回它。然而却是这点,导致文章作者不仅没有找回手机,还丢了一大笔钱。

原文太长不看的话,总结文章里的事情来说就是:非营业厅上班时间丢手机后,用户无法彻底挂失手机号码,手机号被嘿铲利用,利用各种薄弱的验证从而窃取资金、骗取小贷。

想想这件事,手机号被多数平台过度信任,并且部分省通信公司允许通过电话解挂使得这场悲剧在当晚始终无法停下来。所以从这个角度看来,手机丢失后,第一反应应该是先补办新卡,直接废了丢失手机上的手机卡,而不是指望着定位来找回手机,否则可能造成更大的损失。如果遇到不能挂失手机号的情况的话,就只能指望着事先设定好的SIM卡的PIN码来救你了。

SIM卡上的PIN码设定后,如果在其它手机上使用,就必须先输入PIN码解锁。通常输错3次PIN码,SIM卡就会锁定,此时需要使用PUK码来解锁。通常输错10次PUK码后,SIM卡就会自动报废。

实话实说,看到这篇文章之前我是真的没想到可以有这种骚操作,而且从刚开始用手机到现在,我一直知道SIM卡上的PIN码但是从来没去用过。而且可以说从来没听说过设置这个东西到底有啥好处,这次真的吓到了,赶紧跑去设置。手上几个手机号默认PIN码都是1234,如果不是建议别乱试了,等下锁卡并且只能去营业厅查询PUK就很尴尬了。

所以,大家应该平时事先设定好SIM卡的PIN码,并且禁止手机在屏幕锁定期间显示通知详情。这样可以一定程度上规避这类问题。

一定程度上指的就是只能防一定程度。@Atum在对这件事的扩展文章给SIM卡上PIN、锁屏不显示通知详情后,你就安全了吗?中提到了:

我指的是手机号嗅探短信嗅探,前者可以捕获周围在网的手机号,后者可以在2G网络下嗅探到某个手机号的短信。因此即便是你在锁屏状态下隐藏了通知详情,即便是你有SIM卡PIN,攻击者仍然可以通过这种技术获取手机的验证码,进而展开相同的攻击。

是的,虽然你用SIM卡的PIN码锁定了手机卡,攻击者不能把手机卡拔下来到别的手机上用;你隐藏了通知详情,攻击者也不能在原来的手机上看到短信内容。但是,GSM嗅探可以不需要解开你手机的情况下,直接抓取短信内容。一旦手机回落GSM制式的网络,就会造成威胁。

来看看三大运营商 ,就目前我个人所知的:

  • 移动:2G网络使用GSM,3G已经退网。
  • 电信:2G网络使用CDMA1X。
  • 联通:2G网络使用GSM,但是已经开始退网。3G网络使用WCDMA。

对于4G网络用户来说,开启VoLTE功能可以在4G网络下通话并且不影响上网。目前4G嗅探可没那么严重,可以放心一点,并且现在三大运营商已经在推广VoLTE了。然而,如果没有开通VoLTE功能,打电话时就会回落2/3G网络:移动/电信会掉到2G,联通会掉到3G(2G还是有可能的)。

就据我所知,当前GSM嗅探难度和成本都很低,CDMA和LTE的门槛都要高很多。

所以,没开通VoLTE时通话、信号差等情况下,移动用户是可能掉到GSM网络上,给攻击者带来嗅探机会的。解决这个问题的办法就是,Android等移动设备的用户可以在设置中直接限制只使用4G网络。iOS设备似乎没办法限制,所以大概……现阶段要么携号转网……要么就……看命吧。

不过iOS用户也有个不错的特有的功能:离线查找。就算手机离线,也能依赖其它iOS设备来上报位置信息。给找回带来了多那么一点点的希望。具体细节不太了解就不多说了。

附原文:

留下评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

%d 博主赞过: