WooYun.org

从社会工程学角度研究新时期的个人网络安全问题
—————以丢失手机后破解失主支付宝账户安全为例
昌吉学院·冯翔
2014-2-6
一、前言
在智能手机的普及和3G网络的飞速发展的今天，越来越多的移动应用在丰富着我们的移动生活，这些应用的安全问题越来越受到人们的关注，其中理财支付类的应用由于其与经济利益息息相关二最受关注，支付宝则是该领域的领头羊，据易观国际发布的《2012年中国第三方互联网支付市场交易额份额》显示，支付宝交易份额为46.6%高居榜首，所以说，支付宝账户资金的安全影响到中国大部分网民的资金安全。
尽管在技术上的升级换代使支付宝账户日益安全，但是我们从社会工程学的角度可以发现漏洞仍然存在，下面我们就以“一个普通网民的手机丢失后如何破解其支付宝账户”为例，演示这一漏洞，并给予解决方案。
二、情景设计：
丢失者：
一名普通的网民，它使用的手机是安卓系统的智能手机，ta在使用的移动APP有QQ、微信、微博、淘宝（关联支付宝），使用的是中国联通的3G网络，平时网购主要通过淘宝进行，开通了快捷支付及余额宝，但手机设有手势密码。
破解者：
一名捡拾到其手机的别有用心者（其有着丰富的社会工程学经验）。
三、步骤演示
1.取出丢失者的SIM卡，插进自己的手机，发送短信MMCZ#123450到10010将密码重置为123450.（如图1）

2.拨打电话到另外一部手机，得知这手机号码。
3.使用手机登陆mob.10010.com，点击“业务查询-我的信息”，可以看到机主身份证的前四位和后四位。（通过前四位我们判断ta应该是个本地人），所以我们实际上知道了ta身份证号码的前六位和后四位。（如图2）

4.破解ta的微博账号，并且将ta的手机存入另一部手机的通讯录，登陆一个QQ号，点通讯录查询到ta的QQ号，并且查看ta的微博及QQ（含空间）资料，判断其具体生日是某年某月某日。
5.这样我们可以得知ta的具体的身份证号码。
6.挂上一个位于美国的VPN，登陆支付宝，点击找回密码，我们通过刚才获取的信息，成功修改其登陆密码。（如图）

7.试图用“支付宝钱包”破解其支付密码，遇到密保问题，发现这个问题是“我父亲的名字”。通过查看其电话本查询到其父亲的电话，但是姓名是“老爹”，然后我通过交话费的方式，查到他父亲的名字，然后成功修改支付密码。（如图）

8.将其资金通过洗钱的方式（如比特币）迅速转移，销毁一切作案工具。
四、防范策略
Ⅰ、支付宝方面
1. 应用更人性化和在逻辑上更安全的安全策略，如：设置急用密保手机，这个手机号可以是其朋友或家人的，只有一个功能，就是发送短信“锁定”到95188，可以迅速锁定支付宝账户，并且在24小时内无法使用支付宝的任何功能。
2. 使用其他依赖的密保方式，减少对手机短信的依赖。
Ⅱ、运营商方面
1. 通过更人性化的方式防止手机在丢失后卡号别恶意利用。（如与手机绑定的方式）
2. 严格保护用户的资料和隐私。
Ⅲ、用户方面
1. 学会使用PIN码。
2. 尽量避免将个人真实资料发到较为公开的社交网络上。
3. 手机丢失后及时联系客服要求冻结（或锁定）账户。
4. 及时去补卡
5. 密保问题要尽量“仅自己知道”，如，密保问题为：“我父亲的名字是？”答案：不应该是：“张三”，而应该是“张san”。
6. 尽量不要“越狱”、“ROOT”或“打开USB调试”。
7. 不要使用来源不明的应用，不应给应用过多的权限（如读取信息记录、读取通话记录和读取手机位置等）。
五、反思总结
在新的时期，有两个趋势：1.应用移动化愈来愈强。 2.应用账户的安全的愈来愈重要。我们应该更加重视用户账户的安全，不仅是理财支付账户的安全、还应该有社交账户的及其他账户，云时代的来临，用户将有更多的信息会保存在云端，但是加密算法的进步和用户步骤简约的要求，我们该如何保证用户账户的安全呢？这是个问题，我们要共同努力！
联系方式：[email protected]
新疆昌吉市昌吉学院·中文系 冯翔
2014年2月7日0:05:09