使用補(bǔ)卡攻擊微信銀行卡案例分析

近一段時(shí)間以來(lái)，全國(guó)各地發(fā)生多起手機(jī)SIM卡遭惡意補(bǔ)卡事件。部分手機(jī)用戶反映，他們的手機(jī)SIM卡不但被停用，與之綁定的QQ和銀行卡等信息也遭到竊取。那么，拿到手機(jī)SIM卡后是如何攻擊微信、QQ和銀行卡的呢？下面一個(gè)網(wǎng)友分享了他的一段實(shí)驗(yàn)經(jīng)歷。

以下為網(wǎng)友提供的原文：

1. 筆者去聯(lián)通新辦理了一個(gè)手機(jī)號(hào)給家里老人用。

2. 筆者在把此手機(jī)號(hào)加入通訊錄時(shí)，筆者的微信根據(jù)這個(gè)手機(jī)號(hào)匹配到了一個(gè)不認(rèn)識(shí)的人，據(jù)朋友圈曬的孩子來(lái)看，是個(gè)美(pu)麗(su)的少婦。

基本可以確定這個(gè)號(hào)碼是之前有人用過(guò)，并且手機(jī)號(hào)綁定了微信，然后號(hào)碼又注銷或者停機(jī)，然后被無(wú)良的運(yùn)營(yíng)商拿來(lái)二次銷售了。

于是，我碰上了“新手機(jī)號(hào)的微信被別人綁定”的尷尬問(wèn)題，網(wǎng)上七七八八的解決方案不外乎是去微信申訴，或者聯(lián)系已綁定的的用戶讓他解綁。對(duì)于Hacky的我，這些當(dāng)然都不是很好的解決方案，我決定碰碰運(yùn)氣嘗試去登錄少婦的微信，并且自己上去解綁。

現(xiàn)在各種各樣的網(wǎng)站\App基本都兼容了手機(jī)號(hào)+短信驗(yàn)證碼的登錄方式，這對(duì)我這種有已綁定的手機(jī)號(hào)在手的情況提供了很大便利，廢話不多說(shuō)，直接開始：

1. 使用剛剛新辦的手機(jī)號(hào)+短信驗(yàn)證碼的方式嘗試登錄少婦的微信。這一步相信很多人在換手機(jī)的時(shí)候都做過(guò)，然后會(huì)提示進(jìn)行好友頭像驗(yàn)證，需要在十多個(gè)人里面選擇兩個(gè)好友。

2. 進(jìn)到了選好友的界面，一般到這部會(huì)被卡住，因?yàn)楫吘共徽J(rèn)識(shí)少婦的人也不知道少婦的好友列表有哪些人。我看了看少婦的頭像，是一個(gè)不算很時(shí)髦的女人，于是我推測(cè)可能是某地的小鎮(zhèn)居民。下面就要勾選兩個(gè)好友了，好友A比較好找，一個(gè)中年男人，少婦和他面相有點(diǎn)相似，應(yīng)該是親人，好友B有點(diǎn)瞎蒙的成分，好友列表里面有一個(gè)以俗氣的金色的船的人作為頭像的，我覺得小鎮(zhèn)居民應(yīng)該和這個(gè)比較來(lái)電。于是……驗(yàn)證通過(guò)，我成功的進(jìn)入到了少婦的微信。

3. 首先當(dāng)然是把手機(jī)號(hào)解綁，微信-設(shè)置-賬號(hào)與安全-手機(jī)號(hào)。此處解綁后需要設(shè)置一個(gè)密碼，少婦此微信還綁定了QQ號(hào)，于是我把密碼設(shè)置成了QQ號(hào)加一個(gè)字母。

4. 少婦的微信上面把“我的地址”填寫得很詳細(xì)，姓名、新的手機(jī)號(hào)、工作地址都有，簡(jiǎn)直是一個(gè)活的靶子

5. 少婦的微信綁了幾張銀行卡，不過(guò)還好有設(shè)置6位的微信支付密碼。即使微信被黑也無(wú)法轉(zhuǎn)移錢財(cái)。不過(guò)因?yàn)槲覍?duì)這種損人的事情并無(wú)興趣，換做有心的人略微 做點(diǎn)社工猜個(gè)6位的支付密碼相信也不算太難。

6.少婦的群聊里面有個(gè)家人群，應(yīng)該是值得信任的幾個(gè)人。不出所料，在家人群里面我看到了微信頭像驗(yàn)證的那兩個(gè)人。因?yàn)樯賸D這個(gè)微信號(hào)4小時(shí)前還在朋友圈曬娃，而且有幾百好友，既然微信號(hào)還在用，當(dāng)然還是不能就這么不管了。于是在家人群里告訴了新的登錄方式和修改后的密碼，并且提示他們注意資金安全，如果手機(jī)號(hào)不屬于自己了一定要記得解綁。

和少婦的微信的事情就此告一段落，但是這種事情卻時(shí)時(shí)刻刻發(fā)生在我們身邊，換手機(jī)號(hào)是司空見慣的事情，但是回想一下，上一個(gè)手機(jī)號(hào)綁定的社交/財(cái)務(wù)/游戲/政務(wù)以及各種各樣的系統(tǒng)中有去解除過(guò)綁定嗎？聯(lián)通二次銷售一個(gè)近期活躍的手機(jī)號(hào)當(dāng)然 不對(duì)，微信的和玩兒似的好友頭像驗(yàn)證當(dāng)然 有缺陷，但是互聯(lián)網(wǎng)安全就和駕駛汽車一樣，駕車的時(shí)候不能永遠(yuǎn)盼望 安全氣囊，多提高主動(dòng)安全意識(shí)永遠(yuǎn)比被動(dòng)的防護(hù)更加靠得住。

先拋開明文存儲(chǔ)密碼并被拖庫(kù)的某國(guó)內(nèi)程序社區(qū)不談，近年各大互聯(lián)網(wǎng)公司，或被撞庫(kù)，或被注入，多多少少出了些安全方面的問(wèn)題，用篩子來(lái)形容互聯(lián)網(wǎng)的安全性絕不為過(guò)，近年電信詐騙事件也層出不窮，而在這樣的大環(huán)境下，使用一個(gè)不再屬于自己的手機(jī)號(hào)與某些賬號(hào)進(jìn)行綁定顯然犯了大忌。運(yùn)營(yíng)商倒是有個(gè)停機(jī)保號(hào)的業(yè)務(wù)，但是估量打算換號(hào)碼的人也沒幾個(gè)人情愿 額外花錢去保留原來(lái)的號(hào)碼，所以如果有更換手機(jī)號(hào)的行為一定要記得先到各大常用（尤其是涉及到金錢的）網(wǎng)站/應(yīng)用中進(jìn)行解綁操作。

事情又過(guò)去了兩天，在這個(gè)手機(jī)號(hào)碼上又收到了某寶寶公司發(fā)送的收益短信，我意識(shí)到少婦好像還用此手機(jī)號(hào)綁了某理財(cái)產(chǎn)品App。于是我決定把各大App翻了一遍，發(fā)現(xiàn)少婦綁定的不只有微信，還有QQ、支付寶以及唱吧等等等等。好奇的我決定去看看支付寶是個(gè)什么情況。

自然是用手機(jī)嘗試找回密碼，支付寶返回了一個(gè)驗(yàn)證頁(yè)面。點(diǎn)擊下一步后，支付寶提示我輸入身份證號(hào)碼和銀行卡的完整卡號(hào)。

基本上加上身份證和完整銀行卡的認(rèn)證，即使是拿到了手機(jī)號(hào)的用戶也很難通過(guò)了，不得不說(shuō)作為財(cái)務(wù)工具出身的支付寶在安全方面還是比微信更加出色一些，這也是支付寶有底氣推出最高賠付達(dá)100萬(wàn)的支付寶賬戶安全險(xiǎn)的原因之一吧。相比之下，近年來(lái)微信支付在支付領(lǐng)域異軍突起，雖然對(duì)支付寶的老大地位造成了些許撼動(dòng)，但是作為一款成熟的支付工具，并不是單純的用戶體驗(yàn)做好了就OK了。用戶體驗(yàn)當(dāng)然 重要，但是真正涉及到用戶的核心利益時(shí)，犧牲一些體驗(yàn)來(lái)?yè)Q取安全性也許才是更好的做法。