跨年夜,我似乎被黑产盯上了,手机号险些沦陷。

2022-01-01 11:48:56 +08:00
 InDom

昨晚发生的事,被我及时发现解除了,后续也没其他动作,本以为就这样过去了,可今早它却再次试探我的手机,不得不说一下了。

突然被设置呼叫转移

昨晚 18:20 分左右,正盯着公司群抢红包时,突然收到 10086 的短信 “已成功开通呼叫转移业务”,很是疑惑但第一时间查看手机设置,确实被呼叫转移到一个陌生号码上,第一时间取消呼叫转移,然后在琢磨是怎么回事的时候,手机陆续收到几个平台登陆的短信验证码,随后收到各平台语音验证码的电话。

这时发现事情不对,立即致电 10086 人工客服,要求取消所有呼转,并询问是否可以禁止手机被设置呼叫转移,经过一番咨询,客服说设置呼叫转移一定是本人,并且要验证服务密码才行,看客服无法解决问题,要求升级坐席,对方不给升,并建议报警。(期间对方似乎发现无法接到电话,回拨我号码试探,在回拨回去就已关机)

随后尝试修改服务密码,多次人脸识别不通过未能成功。

无效的报警记录

报警后,警察回电咨询情况,了解后,问我有什么诉求,希望怎么处理...
我说首先我不知道什么情况,我现在害怕我的银行资金被转移,并询问是否有过类似案件,我好有个参考解决方案,对方答:“一年内就见过一例,也只是被设置呼叫转移,什么事都没发生。”
随后提供被呼叫转移到的手机号码,问能否有帮助,对方答:我们肯定不能提供对方信息给你...
发现报警没用后,就不打算浪费时间了,草草结束通话。

10086 回电

10086 客服回电话给我,说还有一种情况可能设置呼叫转移,其他移动客户拨打 10086 并验证服务密码后可以设置呼叫转移,再次建议我修改密码,我说人脸识别过不去,索要停机保号流程(以防万一,直接停机),并获取附近可以办理异地补卡等业务的营业厅地址备用。

通知父母

挂断电话,第一时间“视频电话”给我妈,说明情况,表示我现在好得很,最近两天如果我失联可以微信找我(微信绑定 Voice ),并且任何人说我出事了之类的情况,都不要信(曾经多次科普各种常见诈骗手段),务必和我联系。

转移资金

说来也奇怪,这个时候,我相信的居然不是银行,第一时间把所有银行卡的钱都转到了支付宝... 我现在也没想明白,支付宝是如何给我的安全感(日常真的不用司马龙的支付)

一夜无事

紧张兮兮的跨了年,手机一直在手里,准备随时处理各种情况,结果一整夜过去了,什么事也没发生,本以为这事就过去了,结果今早这个号码又给我回拨电话了,再次给我敲响警钟。

总结

一、对方很会选择时间,18:20 分,这个时间正好是我下班回家的路上,骑车肯定不方便看手机,早一会晚一会,我看手机都会很及时,可巧就巧在我今晚为了不错过公司的红包,特意在公司逗留了很久。
二、跨年夜,很多人都应该忙着赶路回家吧,我本来买了高铁票也打算回去的,前一天临时决定不回去了。

所以,似乎我的运气很好,能够在不应该方便的时间里第一时间发现问题并消除对方的设置。

并且会想起前两年的一个新闻,好像也是跨年夜下班在地铁上的时候,手机突然没信号,发现手机卡被补办,银行资产被转移了。

放在这里,一方面给大家提个醒,有类似的攻击手法,其次也是寻求大家的帮助,有没有了解类似情况的。

最后,手机不止可以设置通话呼叫转移,我印象中曾经出现过短信呼转,就是开通以后,短信就不发给你了,转发给另一个号码。所以还好对方没用这个方案,不然我也凉了。

12110 次点击
所在节点    信息安全
72 条回复
yaoyao1128
2022-01-01 14:55:00 +08:00
@mohulai 呼叫转移的一个设置场景是丢了手机 /坏了手机之后临时通过设置呼叫转移接电话(所以这个功能一直有并且还不能取消) 至于客服说只能本人……个人觉得是客服业务知识不到位

@eason1874 新用户默认密码现在大部分不是身份证号码就是随机的 看省份

@InDom 改密码的话各个省份不太一样 有一部分直接用手机发短信到 10086 就行 可以试一下发 修改密码 或者 XGMM 需要验证身份的场景一般是重置密码
Silently
2022-01-01 14:57:13 +08:00
@mohulai 你这个抢先设置呼叫转移这个没有用的、能够覆盖之前设置的
mohulai
2022-01-01 14:57:44 +08:00
最简单的办法 就是弄个新手机号,办一张心银行卡绑定新手机号,所有钱都先转新卡里。剩下的事就不用急着查了
Silently
2022-01-01 14:59:35 +08:00
发现未知的呼叫转移设置短信或者其他验证码、应该第一时间打人工停机 改服务密码 然后去附近营业厅补卡
Zeonjl
2022-01-01 15:02:26 +08:00
嗯,这个只能靠自己了!广告不可信
Youkochan0v0
2022-01-01 15:02:36 +08:00
楼主给可疑手机号的打码方式让我好奇去查了一下这个号码,可惜一无所获
anonydmer
2022-01-01 15:23:23 +08:00
所以到底短信能被呼叫转移么?
alexkkaa
2022-01-01 15:33:18 +08:00
整这些都没用 银行内部本来就是到处都是漏洞。 现在的人都以方便为由办卡时就不要 u 盾密码卡之类的物理介质,出了事就开始怪银行。 其他行业的人还说的过去,但是软件从业人员也是这样。 最有用的就是限额+物理验证。 币圈还有卖 u 盘密保的 怎么银行的这些 u 盾那么多人不要 实在是反智。
ghjexxka
2022-01-01 15:36:14 +08:00
这种行窃方式看着挺吓人
ggmood
2022-01-01 15:42:03 +08:00
抖音有个视频就说这个事情的,后果很严重
uni
2022-01-01 17:12:54 +08:00
你这个码打得太精彩了哈哈哈哈
hw028
2022-01-01 17:42:59 +08:00
@alexkkaa 周五去了一下银行,原本是要办理 u 盾的,银行柜员表示不需要的,让我找大堂经理,直接帮忙在手机客户端改了额度,😭。
alexkkaa
2022-01-01 17:59:55 +08:00
@hw028 银行的安全措施是一塌糊涂。 各个银行都有自己的一套,漏洞百出。 现在流行的什么指纹了 刷脸了 手机验证码 都是安全级别很低的措施。 以前的那些物理介质才是最安全的。即便如此 还有些 bug 级的漏洞 比如 pos 这玩意是不限额的 而且很多银行根本就对 pos 设不了限额 也不需要验证码什么的 拿着卡知道密码一个亿所 7 可以刷出来
wtdd
2022-01-01 18:46:42 +08:00
只发生了一次的话,真的完全不怀疑是误操作导致的么?
christin
2022-01-01 18:54:31 +08:00
站里之前发过一个类似的案例,当时的楼主和对方拉扯了一夜。对方一直在改,就改了一晚上。
wevsty
2022-01-01 18:56:47 +08:00
@alexkkaa
现在银行一般情况下是不给 U 盾这种东西了,原因是断卡行动。
银行的安全措施本身是比大部分 app 要做得好的,认为银行不安全是一种错觉。
指纹,手势密码一类的只是为了方便用户在常用机器上的快速登陆,换设备就没法用了,而且用户可以选择不要启用。
手机验证码是不够安全的,我是支持 U 盾一类安全措施的,只不过大众不能接受。
至于 POS 机盗刷是没必要担心的,现在的芯片卡本身也没办法复制,卡片本身就是一个很好的物理介质了,所以卡片+密码的安全性是没有问题的。

回到主题:
楼主遇到的问题主要是运营商的问题,建议是去运营商处理一下,手机卡什么的补一下,预留信息更新一下,服务密码改一改。

楼主要害怕其实可以直接所有钱转到一个银行,然后直接电话银行客服挂失或者冻结,这样不到银行柜台谁也动不了这些钱了(手动狗头)。
不过运营商的根本问题没解决还是有风险的,毕竟还可以尝试给你借网贷一类的操作,所以还是尽早去运营商营业厅处理。
RobinHu
2022-01-01 19:04:42 +08:00
期待楼主有后续
Xusually
2022-01-01 19:30:40 +08:00
有些网站支持多种验证码,短信验证码收不到的话,可以接听语音电话播报验证码,甚至我记得支付宝就可以?

短信现在不能做转移了,用呼叫转移来曲线实现语音验证码窃取这思路可以的。
ChangeTheWorld
2022-01-01 21:13:35 +08:00
不会是最近的 Log4shell 打到了移动的 HLR 周边的系统,拿到了某些用户的 Ki/OPc 可以直接制卡,这样就能解释的通为什么手机卡还有服务却能不断被设置呼叫转移
israinbow
2022-01-01 21:15:59 +08:00
惊吓感染了, 连忙给活期卡设置了限额.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/825638

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX