原标题:独家丨手机盗销“黑产”调查:黑客攻击离我们并不远
正听着音乐,忽然就没有了声音,一摸口袋手机不见了踪影,回头四望早已是茫茫人海,根本就不知道谁偷走了手机……这样的场景几乎每天都在不同城市里上演。不到一个月的时间,《财经》新媒体记者身边就有四位朋友有过类似的遭遇。然而手机被偷背后,不仅是财产的丢失,更重要的是信息安全,一旦泄露后果不堪设想。
一位办案民警告诉《财经》新媒体记者,目前不法分子已经形成严密的手机盗销黑色产业链,会通过撞库、钓鱼破解等方式获得消费者的密码及个人信息。而记者调查发现,在QQ群和某宝上,几十元至几百元就可破解一部被锁手机,甚至苹果外包客服都参与其中。
随着智能手机的普及,在线支付、实时定位、网络搜索等一系列便捷功能得到应用的同时,背后存在的安全问题却日益严峻。日前,国家质检总局发布智能手机(信息安全)质量安全风险警示称,近半手机存质量安全隐患,可被恶意控制。
有关专家表示,手机黑客攻击离我们并不远,它只是很静默,我们发现不了。从手机安全的角度来说分为四种威胁:通信网络威胁、第三方APP应用的威胁、操作系统层面的威胁,以及数据设备方面的威胁。而手机一旦被偷可能面临着的是通过芯片重组,也就是硬解码技术,把手机恢复到出厂状态,甚至还能够恢复以前的数据,进而带来因数据泄露而引发的系列风险。
那么手机盗销背后的产业链如何?黑客又如何攻击手机用户,信息泄露会带来哪些风险?用户怎么保护手机信息安全?针对一系列问题,《财经》新媒体记者进行了深度调查。
揭密手机盗销“黑产”利益链
在北京工作的王女士万万没想到,一次出差竟让她近距离接触了手机盗销黑产业链。王女士对《财经》新媒体记者表示,iPhone手机在异地被盗后,她在第一时间报了警,并远程锁定了其手机。警方表示,由于被盗地点监控系统使用效果不理想,外加王女士未能看清小偷的面目特征,使破案难度增加。
“相比价值7988元的256GiPhone7 Plus,我更心疼的是手机里存储的各种合同文件和各种数据。”王女士表示。更令她感到不安的是,警方告诉她,目前,不法分子针对iPhone等高价值的智能机已形成严密的盗销犯罪体系,包括盗窃、收脏、窃取用户个人信息、批量解锁、销赃等。手机一旦被盗,不法分子将通过“钓鱼”等手段诱骗消费者输入密码,个人数据信息、指纹、文件很可能被破解、泄露。
然而令王女士没有想到的是,丢失手机后,来骗密码的套路如此深。“你好,我是Apple客服,您的手机正在被解锁,如非本人操作请登录以下链接。”,“您丢失的iPhone已找到,请及时查看。”手机丢失后的三天中,王女士果然收到了多个来自于“Apple”的短信、邮件甚至电话。
但细心的王女士注意到,这些邮件、短信和电话虽然显示的均为“Apple”,但发件邮箱和电话号码均为私人邮件地址或私人手机号,并非Apple官方客服电话及邮箱。Apple客服也向王女士证实,Apple官方客服不会向消费者发送类似信息及邮件,更不会拨打电话。
对此,手机安全专家表示,这是不法分子正在通过钓鱼解锁的方式骗取消费者账号和密码。“不法分子以苹果公司的名义群发短信,骗取苹果手机失主的注册ID密码,破解并解除绑定后,再由二手手机商销售到社会。失主丢失手机后都会急于找回,从而放松警惕被骗,嫌疑人骗取的成功率能达70%以上。”
警方表示,未解绑的苹果手机,只能卖到1000元以内的价格,多为拆分硬件进行翻新,如果解绑成功,则能卖到3000元以上。而被破解的机主信息、iCloud账号则能分别被卖到50元到500元不等的价格。更加可怕的是,一旦不法分子拥有iCloud账号,则可以远程控制消费者其他绑定该账号的Apple设备,从而进行勒索。
受理案件的派出所警察告诉《财经》新媒体记者,苹果手机盗窃案的破案难度大主因是跨地域作案、销售。“整个产业链可能遍布中国大江南北,从盗窃到销售,每个环节均由不同地区的不同人员负责,很少由一人负责全部流程。”据他介绍,以一台iPhone7为例,小偷的第一手收入在400-800不等,之后每一手的商家大概还有500以上的利润空间,在最源头进行洗白和翻新的商家收入更高。
威客安全技术合伙人、互联网安全专家安琪在接受《财经》新媒体记者采访时表示,手机盗销黑产一直都存在,而且比想象的更加严密和复杂。“黑产分工十分明确,基于不同机型破解难度也不一样。有些手机由于安全性较高,因此需要通过黑客的社工库进行撞库攻击,或者通过钓鱼网站骗取用户的密码,而有些机型可以通过漏洞直接绕过ID锁。”
ID解锁被公开叫卖
软硬件均存被破解风险
《财经》新媒体记者调查发现,王女士的经历并非个案。记者在搜索引擎查找关键字时发现,与“盗销”、“破解ID”相关的新闻高达67万条,不少消费者手机被盗后遭遇“钓鱼”,ID被解锁。事实上,手机盗销产业链离消费者并不遥远,破解个人信息的难度对黑客来说似乎也并不高,记者发现,在QQ群和淘宝上,几十元至几百元就可破解一部被锁手机,甚至苹果外包客服都参与其中。
在淘宝上用“ID 解锁”作为关键字共可搜索696件商品,记者浏览后发现,这些商品大多以“解锁、刷机、救砖、抹除定位”为噱头大打擦边球,隐藏卖家协助不法分子获取他人个人信息或不义之财的事实。除可以破解iPhone手机ID、密码,将其还原成新机外,三星、华为等安卓手机也可被破解密码锁,并进行ROOT(即获取最高的权限)或手机刷机。
在这些商品中,销量最高的一款月销量2.3万件,已有4220人收货,累计评价达5895个。
据卖家介绍,手机ID破解共有两种方法,分别是软件破解和硬件破解。软件破解一般可以远程操作,买家通过第三方软件获得iPhone设备串号和手机号码后,告知卖家,由卖家进行“破解”后方可使用。卖家表示,软件破解所需时间一般较长,买家在卖家进行操作中也不能开机或操作,拍下、付款等待卖家通知即可,正常情况下3—5天即可“破解”。不过,也有买家表示,购买后未能成功“破解”,卖家已退款。
硬件破解则需要将手机邮寄给卖家,由卖家进行拆机换件。一位进行硬件破解的卖家告诉《财经》新媒体记者,“软件破解有失败的风险,而硬件破解成功率更高。小店采用硬解ID,就是打套件,打磨掉换上没有ID的套件,套件包括硬盘跟基带,硬解是百分百能解开的,所以不必担心寄过来解不开问题,也无需像软解无限期等待。”
不过,安琪告诉《财经》新媒体记者,硬破解手机故障率高,并且随着更新,ios7以后的手机均无法进行硬解,这种方式已经被淘汰。
而在QQ搜索关键字“ID、解锁”可查找到204位个人用户和近15个QQ群,QQ群中涉及的个人用户则达到7913人。一个QQ群简介显示,该群承接iPhone4-6s/plus的解锁工作,66元每次,另接普查深查,并回收、出售二手手机。
此类店铺和QQ群已成为不法分子解锁手机,进行二次使用甚至销赃的去处。在淘宝评论中,不少买家毫不避讳的在评价处表示手机是捡的或是买的二手货,也有的表示卖家解锁的原理就是“钓鱼”。
对此,有律师表示,淘宝卖家和QQ用户涉嫌以其他方法获取公民个人信息,已触犯法律,“捡”手机的消费者,也以非法占有为目的构成盗窃罪的条件。
此外,安徽阜阳阜南县公安局去年年底通报,部分犯罪嫌疑人与苹果外包客服公司员工内外勾结,通过破解苹果手机用户ID的方式获取用户的个人信息,并将个人信息以2至10元的价格进行贩卖。
支付病毒直线上升
近半智能机存安全隐患
《财经》新媒体记者在调查中了解到,不少手机用户认为,手机在丢失的状态下才存在个人数据遭泄露的安全隐患,日常生活中,正常使用的手机是不会“泄密”的。然而,事实真的如此吗?
事实上,手机已成为个人信息泄露的一大安全隐患,智能手机也超过电脑,成为黑客最为“偏爱”的攻击对象。近日,针对智能手机可能存在的信息安全危害,质检总局产品质量监督司近期组织开展了智能手机(信息安全)质量安全风险监测。测试机型共40批次,包括了市场常见的高、中、低端手机,质检总局主要参考国内外智能手机标准要求,对用户数据的操作、操作系统的更新、预置应用软件安全、后端信息系统信息安全漏洞等项目进行了检测。
测试结果显示,40批次手机样品中,有18批次存在安全隐患,主要存在以下四种情况。12批次样品后端信息系统存在信息安全漏洞,包括未限制用户密码复杂度、未限制非法登陆次数、未限制短信验证码错误使用次数、重置密码的短信验证码由本地生成、未对数据包重要访问控制参数进行校验导致可被越权操作;9批次样品中的预置应用软件未向用户明示且未经用户同意,擅自收集用户数据;1批次样品未实现对用户数据的操作权限控制功能;1批次样品操作系统的更新未向用户明示且未经用户同意,擅自自动升级。
也就是说,目前市面上在售的手机中,近半数存在安全隐患,存储在手机中的个人数据将在消费者不知情的状况下泄露给不法分子。业内人士向《财经》新媒体记者介绍,用户隐私数据被泄露后,可能造成智能手机被恶意控制,会成为诈骗短信、诈骗电话、钓鱼网站攻击的目标。
而根据法新社近日发布的消息显示,载有银行数据、信用卡信息和个人地址等数据的智能手机已成为新型网络罪犯的首选攻击目标。
根据腾讯去年发布的手机安全报告资料显示,2016年上半年手机支付病毒以986.14%的增长率直线上升,感染用户数超1670万,成为增长速度最快、危害最严重的“黑暗势力”。然而,当越来越多的用户养成移动支付习惯时,手机支付病毒便有机可乘。报告显示,2016年上半年Android新增手机支付病毒包高达32.33万个,相较于2015年增长了986.14%;感染用户数达1670.33万,增长45.82%,而且在逐年大幅增长。
专家表示,网络罪犯的手段已经从用勒索软件攻击智能手机发展为利用窃取的手机银行用户登录凭据的木马病毒软件。他们利用盗窃得来的凭据就可以远程登录受害人的帐户,进行网络转账。
此前,iPhone也遭遇信任危机,大量消费者Apple ID被盗,手机“变砖”,并被不法分子勒索钱财。
安琪在接受《财经》新媒体记者采访时表示,目前手机的主流操作系统就是google的安卓与苹果的IOS系统,对于操作系统而言,两家公司更多的是在底层提供可靠的安全保障措施。对于中国手机制造商而言,更多是在应用层面上提高手机的安全性。
专家支招:不要随便越狱
使用安全手机
有关专家表示,手机黑客攻击离我们并不远,它只是很静默,我们发现不了。从手机安全的角度来说分为四种威胁:通信网络威胁、第三方APP应用的威胁、操作系统层面的威胁,以及数据设备方面的威胁。
现在安卓或者以前苹果都可以通过芯片的重组,把手机恢复到出厂的状态,甚至还能够恢复以前的数据,随着手机的丢失数据也会一起丢失。目前市面上通过安全芯片对数据加密的手机并不多见。对于指纹芯片加密的手机而言,即使偷盗者把芯片进行破解,拿到的指纹数据也是不完整信息,没办法再进行重组,被盗的手机也就永远变成砖,偷盗后也无法销售。
金立集团有关人士对《财经》新媒体记者表示,除内置安全加密芯片外,金立M6S Plus还带来指纹加密技术和活体指纹,保护用户的指纹和信息安全。尤其是针对用户最担心的支付风险,新手机有一定的防护措施,会识别什么是诈骗短信,主动拦截。
除了安全的手机外,如何应对其他信息安全威协。安琪表示,针对通信网络,可能会有一些恶意的诈骗短信、钓鱼链接等等,这些风险往往都是一些支付安全的入口,如果被黑客诱导,中了黑客钓鱼的攻击,很可能支付安全会受到威胁。在平时使用的过程中,不要去连接一些免费WIFI,在出门的时候,尽可能关闭WIFI。
针对一些偷跑流量的APP,金立会应用代码的技术,对应用的APP进行一些安全审核机制。日常生活中如果非安全手机,建议尽量在一些比较知名的第三方应用商店去下载,因为黑客经常会把一些APP里面植入一些代码,包括很著名的漏洞,就可以通过这种链接库,加载APP的木马进去,对手机数据进行窃取。这是应用安全和威胁应该注意的地方。
安琪表示,对操作系统来说,要不断修复内核漏洞。截止到目前为止,无论安卓也好,IOS也好都引入了很多安全机制,其实这种漏洞更多是越狱。目前整个安全行业里面来看,安卓和苹果的越狱越来越难,证明系统在不断的完善和不断安全优化之中,所以建议用户如果没有特殊的需求,就不要对手机进行Root和越狱,如果越狱了,实际上所有的安全保障几乎都没有了。
来自于操作系统层面以及日常生活中,尤其应用像微信社交媒体,社交互联网的APP,消费者不要去发布一些过于隐私的数据,比如像身份证、火车票、机票等个人信息,里面可能有姓名、身份证号等个人隐私数据。实际上,当黑客对发起攻击的时候,第一个就是信息采集,这个过程中会对信息进行收集,通过互联网的作用,进行下一步攻击实施,就会埋下风险。
此外,针对数据和设备的安全威胁,主要在于用户存储数据的信息,实际刚才之前的各种威胁,通信网络的威胁,第三方APP的威胁,操作系统的威胁,它最终的目的都是为了造成数据的威胁,所以数据永远都是安全里的核心,如何保证数据的安全,实际上是整个移动安全领域的重中之重。
安琪认为,保证数据安全,除了安全手机,就是安全的防护机制。比如活体指纹的识别技术,指纹加密芯片会对加密存储、保护手机用户所录入的指纹,形成了指纹的双向验证,即便存储在trustzone中的指纹数据被破解,不法分子拿到的也是不完整的指纹信息。因此建议有经济条件或者对安全更加重视的消费者,尽可能采用一些安全性比较高的手机。
(《财经》新媒体 王玮 高素英/文)
[责任编辑:郭晓康]