本文略長,但事關你的錢包安全
事件1 華住5億條用戶數據洩露
8月28日,網曝華住旗下所有酒店5億條用戶數據涉嫌洩露
被叫價37萬人民幣出售
央視和人民日報對此相繼發文
據稱涉嫌洩露數據包括
▶華住官網註冊資料約 1.23 億條
包括姓名、手機號、郵箱、身份證號、登錄密碼等
▶酒店入住登記身份信息約 1.3 億人
包括姓名、身份證號、家庭住址、生日等
▶酒店開房記錄約 2.4 億條
包括同房間關聯號、姓名、卡號、
手機號、郵箱、入離時間、消費金額等
華住在全國 380 多座城市、擁有 3800 多家酒店
旗下酒店品牌包括:漢庭、美爵、禧玥、漫心、諾富特
美居、CitiGo、桔子、全季、
星程、宜必思尚品、怡萊、海友等”等
9月21日
上海長寧區人民檢察院發佈消息
犯罪嫌疑人劉某某利用黑客手段
竊取華住集團旗下酒店5億條個人信息
犯罪嫌疑人已被上海警方抓獲歸案
這是《好奇實驗室》通過特殊渠道
拿到了其中一部分數據
身份證號、家庭地址、
手機號碼等信息都十分詳細
5億條用戶信息洩露
會有什麼可怕後果
好奇君當時的第一反應是
又有哪個倒黴蛋
要被曝光不該有的開房記錄了
NO!
NO!
NO!
這麼想
Too young Too simple
事件2 一覺醒來 錢全沒了
8月初,網友@獨釣寒江雪在網上發帖
稱自己手機在凌晨
接收了100多條驗證碼
支付寶、關聯銀行卡里的錢全被轉走
據廣州警方通報,截至今年6月
已陸續破獲多起此類案件
該團伙自6月以來已作案16宗
團伙中以無線電愛好者
或電子通信設備“發燒友”為主
負責製造、銷售該類特種設備;
還有部分嫌疑人負責
利用個人信息實現盜刷套現
明明什麼都沒做
手機收到一堆驗證碼
錢就全沒了
想想就覺得恐怖
犯罪分子是如何做到的?
如果事件一和事件二
疊加到一起
會有怎樣的可怕後果?
實測 綁定支付寶卡里的5000元沒了
實驗時間:2018年9月4日
實驗場地: 網絡安全通實驗室
實驗人員:網絡安全通安全研究員鄭毓波、好奇實驗室大史
實驗內容:不碰大史手機,鄭毓波從大史綁定支付寶的銀行卡里“盜走”5000元
為模擬事件一
鄭毓波知道大史的手機號、身份證號
與支付寶綁定的銀行卡號
為模擬事件二
鄭毓波手頭有不可描述的軟件、信號屏蔽器
2臺老式摩托羅拉C118手機改裝成的偽基站
大史看到的過程很簡單
手機先是收到一條
修改支付寶密碼的短信校驗碼
這時大史並不覺得擔心
因為根據事先約定,誰都不能碰手機
這相當於自己睡著時手機放在床頭
別人看不到也操作不了
然後大史直接看到的就是
銀行App的轉賬通知
一條1000元
連著收到5條
瞬間,5000元沒了
再來看鄭毓波研究員是如何操作的
一.開啟信號屏蔽器
將實驗室附近的手機4G信號降到了2G
2G網絡在這些高手面前
是“沒有加密”的
二.利用舊手機改裝的偽基站和不可描述的軟件
劫持、接收了大史手機的2G信號
所以當大史手機收到修改支付寶密碼校驗碼時
鄭毓波的電腦軟件上同時也收到了
實驗中,我們還同時接收到附近某人手機上的燃氣賬號綁定信息
鄭毓波研究員說,這類利用偽基站短信嗅探技術
對硬件要求並不高
專業的“揹包式”偽基站,信號接收範圍在100~200米
像摩托羅拉C118這類老手機改裝的偽基站
雖然接收距離只有20多米
但價格非常便宜,50元就能買一部
因為主板預留了一些接口
可以直接改造成偽基站
買的基本就兩類人
搞研究的、做偽基站的
三、光劫持到支付寶、銀行等發來的密碼修改驗證碼
直接去修改賬戶密碼還是很難的
還需核對用戶的手機號、身份證號、銀行賬戶等信息
但當鄭毓波事先知道大史的這些信息後
瞬間就能搬空了大史的錢
這就要回到好奇君最前面提到的
華住5億開房數據洩露有多可怕了
如果這些數據被犯罪分子用於此
可以拿這些基礎信息去數據庫交叉匹配
從而獲得更多的資料,比如其他銀行卡號
準確性無疑大大提高
半夜直接上你家門口
他們的硬件和技術成本也會大大降低
在你家樓下劫持手機信號
幾十元一部舊手機改裝的偽基站就足夠用
有了這些個人信息
原本修改賬戶密碼最難的技術環節幾乎不需要了
另外,如果你的信息洩露之後
即便不用偽基站,同樣有被轉賬的風險
行業裡把這個叫為撞庫
A網站數據洩露
可以獲得A網站的賬戶和密碼
拿這些去B網站嘗試
如果能碰撞成功
也就獲得了B網站的用戶和密碼
這就和以前一把鑰匙能開好幾輛自行車差不多
防範建議
◆ 手機信號突然由4G降到2G,千萬警惕
◆ 睡覺時關機或設為飛行模式,這時短信是發送不成功的
◆ 各種App軟件,不要只採用短信認證,如果人臉、指紋等認證,儘量打開
◆ 手機銀行和第三方支付平臺支持的話,可通過設置交易限額以及禁止夜間交易的方式
■如果覺得本次實測對您或者您的朋友有所幫助
也歡迎在留言區參與討論、吐槽。
閱讀更多 好奇實驗室 的文章
