猜猜王思聪是怎么被盗号的?-好文-紫翠玉

猜猜王思聪是怎么被盗号的?

猜猜王思聪是怎么被盗号的

一觉醒来,发现王思聪大众点评帐号“被换绑手机号”怼上了热搜,平时网络尖刀的小伙子们也长期在为美团安全应急响应找安全问题,对于其业务情况算是“非常了解”,根据我们目前了解的情况,最近并没有发现美团或大众点评出现脱裤、数据安全问题。




没有发生大规模群体事件,只定向的攻击了一个账户,出于职业敏感性,让我第一时间想到了“密码找回”这个最容易被社会工程学利用的环节。




从哪里攻破的?




大众点评在网页端上的密码找回功能是比较传统的,只要你输入帐号,下一步就直接让你输入手机接收的验证码,是没有其它流程可以走的。




图片




关联的美团账户体系,在网页端也是一样,输入帐号-检测安全环境,哪怕是在一个我长期使用的电脑上这样操作:


图片




然后也会直接触发验证码逻辑。


图片


如果尝试次数过多,还会被锁定24小时,想从这里下手几乎做不到。




图片




所以想要通过这里搞定王思聪帐号,除非去“劫持验证码”,技术手段可以实现,但是这个成本和以王思聪经济实力,把他手机变“2G”这个路径实在是太难了,所以我们直接定位大众点评的移动端APP。




移动APP“手机号码无法使用”申诉流程是祸根




现在大部分的APP应用,在账户保护上都采用多重信息验证的方式,在正常的用户操作发起找回密码、解绑手机或更改密码等操作的时候,平台会优先推荐使用手机验证码进行验证,这个方式也确实是目前阶段最容易证明“你是你本人”的最优方式。




但是如果手机号码不可用,通过手机验证码无法验证,平台则会通过实名认证(姓名及身份证)、人脸识别验证、社交验证、预留密保信息验证等多种方式进行审核验证。




其中,社交和人脸识别实名认证安全性最高,但不是所有平台都可以实现。


微信采用的正是社交验证,当用户更换设备或者更换手机号之后,微信会要求用户寻找微信好友发送特定信息以验证身份。而在其他平台,可能会要求用户提供注册时预留的私密信息作为验证。




微信/QQ这种社交平台通过好友关系辅助认证有先天优势,而像美团、大众点评这种购物应用并不存在社交关系,在手机不可用的情况下,就只能以用户自留的隐私信息来作为验证手段”,而行业常用的手段就是:你家在哪?你男女/朋友叫啥?XXX的生日是多少?这类的“密保问题”。密保问题这个是在WEB2.0时代就遗留下来的方式方法,早期QQ在没升级成“好官关系辅助认证”方式之前,采用的其实也是密保问题这样的方式。





到了“预留信息验证”这个环节,我们就要聊聊“数据泄露”的问题了,王思聪是个公众人物,在过去的个人隐私数据大量泄露的复杂互联网环境里,找到他的身份证信息、手机号码并不难,比如之前云舒披露过的,微博泄露用户手机号通过微博名就可以查到绑定手机号的案例,王思聪是微博重度用户。




再加上他并没有固定的上网IP环境,全年都在移动中,实际上像王思聪这种用户“并不存在异常IP、异常登录”的风控逻辑,因为他全年都是异常。


如果通过这个方式,其实就很容易找到问题点。




看看大众点评APP当前的逻辑




事情已经发生了十几个小时,大众点评这边肯定自己复盘已经修复了很多东西,修复了系统并不代表修复了完整的业务逻辑,还有很多痕迹是可寻的,比如在大众点评操作APP“登录遇到问题”,你会得到这个界面:




图片




原来的找回逻辑应该涉及“人工申诉找回”,其实网页端上通过客服机器人切到

“人工服务”也有这个入口,能来佐证,通过社会工程学欺骗客服找回,其实之前别的平台也有这个案例,这个入口肯定就是“培训问题”才能解决了。




图片




我们直接选择“其他问题”,你就能看到这个特别有意思的找回逻辑:




图片




注意黄色部分“更换手机号不需要原手机号接受验证码”,通过这里进去,现在的入口是关联你“SNS绑定账户”进行找回:




图片




在我的APP上我只绑定了微信,想通过这个办法先盗走我微信再搞定大众点评,很难,但是我们看看除了绑定微信,大众点评还能绑什么?




图片




是不是就又看到有意思的东西了呢?当然如果这帐号什么都没绑定,通过去欺骗人工客服,验证预留的:真实姓名、身份证号(甚至正反面照片)、原手机号在大数据信息泄露的时代,王思聪的这些信息并不难找。




最后通过美团的APP给大家录制一个组合利用,前提是必须知道对方的密保问题,有的触发“身份证上8位号码”,王思聪手机号和身份证泄露,就可以完成重置。




图片




我的是触发比较难猜是用“支付密码”。(因为是先在美团测试的,可能由于是测试次数太多,进了风控收不到验证码了,在大众点评那边其实是一样的逻辑。)








给点建议




传统的社交媒体登录固然方便,但是遗留了很多“供应链攻击问题”,一旦某个平台的帐号被盗,你使用这个帐号绑定的其它平台就会集体沦陷,所以一般我建议只绑定微信,只要你不乱去搞什么第三方挂机、清粉软件以WX目前的验证逻辑被盗问题概率很低,即便是被盗找回的概率也极高,因为是常用的应用前一秒被盗号踹下来,很快就知道出了问题。




至于其它的,建议真的不要继续使用,同时在各种APP上涉及到“密保问题”的,千万不要填写真实内容,找个好记一点的代号,比如问你出生在哪里,你填个前男/女友名字,所问非所答的预留信息,肯定被人社工的概率就一下子低很多了。




至于平台方?取消密保验证机制尽量就都升级成为人脸识别验证,建议后续还是国家推动,如果手机号无法使用,真的建议一个可信的公立部门推出一个“认证云”,可以通过调SDK的方式,实现实名信息+人脸核验的比对认证,用于各平台的业务找回逻辑,当然在这个基础上要加上一个额外的“多因子认证”方式,避免AI对抗走到了人脸冒用的新信息安全技术问题里。

文:公众号, 网络尖刀

欢迎打赏赞助,您的支持是作者最大的创作分享动力!

真诚赞赏,手留余香

点赞(0)
打赏

本文由紫翠玉作者发布,商用需授权,非商用转载,请注明出处:https://zicuiyu.com/read/666/

本文 暂无 评论

回复给

欢迎点评

联系我们

站长QQ:

站长邮件:

工作时间:周一至周五,9:30-18:30,节假日休息

QR code