一個小偷，能對你的手機(jī)干什么呢?

手機(jī)安全，這曾經(jīng)一個其實(shí)沒有太大必要的東西，但在如今各種微信支付，apple pay 風(fēng)行之后，這一個安全反而變得重要了起來，甚至達(dá)到了相當(dāng)關(guān)鍵的一環(huán)個人財(cái)產(chǎn)安全防護(hù);

可能有人對于手機(jī)的安全性表示懷疑，畢竟不是每個美國人聽到棱鏡后都會去游行，也不是每個人都會在手機(jī)被盜后快速反應(yīng)的凍結(jié)賬號;畢竟有著那么多驗(yàn)證和密碼，誰能盜號?所以今天我想在這里闡述一下，一個普通的小偷(不是hack 甚至不具備一些比較高級的工具，比如復(fù)制信用卡的機(jī)器)能對每個人的手機(jī)做什么。

首先，我們有著一臺手機(jī)，有著你的電話號碼，但卻有開機(jī)密碼，我們假定這小偷偷到了你的手機(jī)，但卻無法解鎖，那怎么辦呢?難道這種防護(hù)他就沒法進(jìn)一步了嗎?不，他根本不需要解鎖你的手機(jī)，只需要刷回原來的系統(tǒng)，或者我們更加簡單粗暴一點(diǎn)，把手機(jī)卡拔出來，換臺一次性手機(jī)(這樣可以防止追蹤)，手機(jī)就能用了;

因?yàn)楸娝苤?，qq有一個神奇的登錄，是的“手機(jī)號登錄”在現(xiàn)在所有的qq新用戶注冊都要求手機(jī)號注冊的情況下，每個qq都綁定著你的手機(jī)號碼，只要你開啟了手機(jī)號登錄，誰都可以用你的手機(jī)號登錄上去;

什么?你說你沒開啟?你以為我就找不到了你的qq號碼了嗎? Naïve !只要你打開qq添加好友哪怕對方?jīng)]有開啟手機(jī)號登錄，我也可以直接查到你的賬號;

這就意味著你的賬號已經(jīng)落入別人手，接下來，他只需要找回密碼就行了，什么?你還有那個很強(qiáng)大的設(shè)備鎖?抱歉，我現(xiàn)在偷來的，就是你的設(shè)備啊，何況設(shè)備鎖也能取消的。。。

接下來，要拿取密碼。。。然而，qq找回密碼，靠的也全是手機(jī)。。。。。。

因此，這個時(shí)候你的qq已經(jīng)淪陷，同樣的， 能用qq和手機(jī)號登陸的微信，也已經(jīng)淪陷了;(btw 那四位支付密碼也是可以改的你們不會不知道吧)

這個時(shí)候小偷還能盜什么呢?如果這時(shí)候，你最常用的是qq郵箱怎么辦，那你慘了，因?yàn)槟阒饕拿鼙｀]箱qq郵箱，已經(jīng)是別人的了;什么，你說你用的是網(wǎng)易?

更糟糕的是，接下來，只要是你綁定過qq和微信的所有論壇，例如：知乎，需要郵箱驗(yàn)證的steam，都是別人的了，BTW. 淘寶也是可以這樣的，你以為淘寶偷錢是怎么來的。。。

結(jié)語：

1. Woc這么糟糕 那我們的安全怎么防范啊?

沒有辦法，看好你的手機(jī)，丟了不僅要立刻報(bào)警，還要記得趕緊去登陸鎖定你的賬號，不要到時(shí)出現(xiàn)你無法證明這是你的賬號這種搞笑事情就沒辦法了。

2. 你為什么要在這種公共平臺上發(fā)出來?這會讓犯罪分子學(xué)習(xí)一個的啊?

那你們就too young了 你以為我不發(fā)他們就不會了? 實(shí)話實(shí)說，他們不僅會，而且還有更加高效率的手法，寫個腳本直接流水線盜竊，基本上幾分鐘拿光你的賬號和綁定著的錢，所以我這里只是寫一個比較簡單低效的流程而已，要是我上，根本不需要這么麻煩。

3. 那難道我們就一直無法防范這些盜取了嗎?

坦誠來說是的，各大安全廠商和bat也在努力加強(qiáng)自己的防護(hù)措施，比如設(shè)備鎖，比如臨時(shí)的四位密碼驗(yàn)證這些，起碼比曾經(jīng)的一驗(yàn)證就能盜號的情況好很多了，比如神奇的一個例子是，像必勝客這種網(wǎng)上外賣，曾經(jīng)居然只要輸入手機(jī)號碼，就能直接看到你的地址，雖然現(xiàn)在已經(jīng)添加了一個需要密碼的機(jī)制了，但仍然不是強(qiáng)制性的，(話說這簡直為入室搶劫盜竊提供良機(jī)啊喂)但是俗話說道高一尺，魔高一丈，無論你如何防備，總是有的破解之法，五角大樓幾十年前就被凱文搞定了，伊朗的核設(shè)施能因?yàn)橐粋€病毒而被耽誤兩年，就是美國國家機(jī)關(guān)NSA最近也被人黑了，這就是一場技術(shù)競逐的戰(zhàn)斗，看的就是我們誰能快一步，拿出破解之道。

4. 丟了手機(jī)會丟失幾乎一切賬號，那別的賬號呢?

事實(shí)上，互聯(lián)網(wǎng)發(fā)展有利有弊之處，就是在于用戶之間的聯(lián)系，是相當(dāng)緊密的，就好像我當(dāng)初只拿了一個qq號，卻能接連不斷的盜取別的賬號，直到你一無所有;在所有賬號里，qq微信這種社交主要平臺是防護(hù)的重中之重，因?yàn)楝F(xiàn)在大部分論壇都是靠這個登錄的;

其次，我要提一個安全廠商曾經(jīng)犯下的重大錯誤，這點(diǎn)是最近幾年才進(jìn)行更正的，也就是從前的密碼找回，并不是像今天這樣讓你直接寫個新的密碼上去，而是直接把你的密碼發(fā)到你的密保賬號(郵箱，手機(jī))上面，這樣導(dǎo)致那個時(shí)候的撞庫極為猖狂，通常對于很多沒有太大安全意識，很多賬號都共用一個密碼的人來說更是如此，因此，強(qiáng)烈建議各位常備幾個密碼，并且不要在里面摻雜手機(jī)號，生日，姓名這種敏感字眼。

補(bǔ)充：

5.我手機(jī)真的加了很多防護(hù)了啊 pin開了 密碼改成復(fù)雜的了 定位也開了 為什么還是擋不住

Σ( ° △ °|||)?

首先我想聲明一點(diǎn)，真的沒有黑不進(jìn)的手機(jī)，如果你的手機(jī)被盜但卻沒有丟失任何財(cái)產(chǎn);那只能說你比較幸運(yùn)，但并不代表就真的黑不進(jìn)了，強(qiáng)如apple都跪在了破解者的面前，更別提最近NSA爆出來的那批巨硬和apple的私匙被拿到之后能干嗎了，你沒被黑一是你沒這種資格去被被人用高級的方式破解，二是對方并不不專業(yè)，可能干脆就是偷來掛咸魚而已;有心針對你的，直接肩窺拿到密碼(比如PIN還是規(guī)定數(shù)字的4-8位)，基本上你手機(jī)里就連聊天短信記錄都能被人拿掉;

6. 正規(guī)小偷/黑產(chǎn)團(tuán)體是怎么作案的呢?

首先，正規(guī)的團(tuán)體一般手上都有一套已經(jīng)寫好了的破解軟件or機(jī)器，因此可以流水線一樣的破譯密碼，同時(shí)，他們并不會隨隨便便街邊找個人就偷，大部分都會集中在繁華區(qū)域，盯著那些用著微信，支付寶支付的有錢人，先肩窺你的密碼，然后一扒，轉(zhuǎn)身就去找接頭的把你的錢全刷了，完全沒我前面所說的那么復(fù)雜，我那種是屬于針對性的;

至于黑產(chǎn)團(tuán)隊(duì)呢，除了刻意接單針對某人外，他們的主要目標(biāo) 基本上不注重密碼安全的，多個論壇平臺使用同一組賬號 昵稱 密碼的人，他們拖下一個論壇的褲子，就可以拿去不斷的撞庫，然后賬號生賬號，組成龐大的黑產(chǎn)鏈，這些賬號甚至可以作為水軍，廣告發(fā)放者進(jìn)行二次販賣，這樣所構(gòu)成的黑產(chǎn)鏈?zhǔn)菢O為強(qiáng)大的;舉個例子，一個微博大v被盜，沒有及時(shí)發(fā)覺，然后背后的人使用他的賬號發(fā)布了一個釣魚鏈接，可想而知會有多少人的賬號會落網(wǎng)。