假如你的号码被其他用户购买

近日我办理了学校的移动业务,获得一个本地移动号码。当我把号码放进 mifi 设备后,上面的 web SMS 平台总是出现一些奇怪的消息:

您尾号为 xxxx 的农行卡余额不足,下个月您的短信提醒业务将会停止。

我意识到了两个信息:

  • 这是一个回收号码
  • 该回收号码绑定了银行卡

于是顺藤摸瓜下去:

  • 获取了该用户的支付宝账号,同时通过转账的实名认证检查来推测全名(查阅了当地人口姓氏排名)
  • 该用户未用此手机注册或绑定微信
  • 阿里的密码保护做的相对较好,通过检查用户的 UA, 设备型号, IP 归属,来判断是否是常用环境,我输了
  • 携程,去哪儿,美团,饿了么,滴滴出行,均在只有短信验证的情况下成功登录

这里也借助了一般的社工手段,并没有取得密码和相关邮箱(很重要)。绝大多数的密码找回都是单一短信验证,而阿里系需要身份证或者银行卡号,但并不是不可能,因为你的外卖 app 可能会将此泄漏,而提问的时候关于地点、好友,都有可能被别的 app 泄漏。特别是某些出行类,旅行相关 app, 由于涉及到实名认证,身份证不可避免会出现主要区间,而很多时候不同的 app 可以进行补全,假若获得邮箱并进入,那基本就是 full access 了,然而现实情况是获取邮箱之后通过社工取得密码的概率很高。

所以基本上的结果是:

  • 别随意让号码停机然后被别人选购
  • 开启必要的邮箱验证
  • 切勿过度依赖单一验证的 app 服务
  • 绝对不要在单一验证的 app 服务上登记实名内容

然而假设我获取了用户登记的收获地址,那么取得他的身份证号码就是时间问题,因为现实生活中的社工并不会更难。有时候去村委会兜一圈,或者是通过营业执照的登记,或者公司法人登记,那就一下清楚了。

这下搞得我都不敢小看短信验证了。