被盜刷、貸款：智能手機(jī)失竊后如何補(bǔ)救？如何給 SIM 卡上鎖？

近日，一篇題為《一部手機(jī)失竊引發(fā)的驚心動(dòng)魄的戰(zhàn)爭》的公眾號(hào)文章引發(fā)極大關(guān)注。作者 “信息安全老駱駝”有著 10 多年的信息安全從業(yè)經(jīng)驗(yàn)，手機(jī)失竊后立即進(jìn)行了一系列操作：電話掛失 SIM 卡，贖回全部理財(cái)，活期余額全部轉(zhuǎn)至其他賬戶，聯(lián)系多家銀行凍結(jié)信用卡，把支付寶、微信上的資金轉(zhuǎn)走，綁定的信用卡全刪掉。

但作者仍然遭受了損失——“美團(tuán)被申請(qǐng)貸款，etc 信用卡有各種買卡、充值的記錄幾大千，銀聯(lián)轉(zhuǎn)賬記錄幾大千 ......”作者后來還補(bǔ)充道，自從文章發(fā)布后，部分網(wǎng)友在公眾號(hào)留言稱有相同經(jīng)歷，損失最嚴(yán)重的一位有 68 萬的線上貸款，目前還在索賠中。

網(wǎng)友看完紛紛表示 “恐怖，看完還是感覺防不勝防”、“作者是高手，要是我丟了，估計(jì)一分不剩了”、“網(wǎng)絡(luò)安全存在的漏洞太大了”。

在這起盜刷事件中，可以看出犯罪分子運(yùn)用的技術(shù)手段并不高超，但非常巧妙。在竊取受害者手機(jī)后，利用了信息安全的 “薄弱點(diǎn)”，將不同 App 包含的關(guān)鍵信息點(diǎn)串聯(lián)起來，獲取手機(jī)號(hào)碼、身份證號(hào)、銀行卡號(hào)，從而進(jìn)行借貸、轉(zhuǎn)賬等操作，對(duì)用戶財(cái)產(chǎn)造成巨大破壞。

盜刷是如何發(fā)生的？

隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，大多數(shù)手機(jī)用戶都開通了微信支付、支付寶以及手機(jī)銀行等服務(wù)，當(dāng)金融工具與手機(jī)深度綁定，手機(jī)被盜意味著極大的財(cái)產(chǎn)損失風(fēng)險(xiǎn)。

搜狐科技查閱相關(guān)媒體報(bào)道發(fā)現(xiàn)，手機(jī)盜刷的類似案件層出不窮。比如據(jù)東方網(wǎng)報(bào)道，2019 年 4 月，上海黃浦警方接到報(bào)案，多名受害人手機(jī)在四川成都被盜后，信用卡在短時(shí)間內(nèi)被盜刷。今年 10 月，楚天都市報(bào)報(bào)道稱，有受害者手機(jī)遺失后，未解綁銀行卡，被盜刷 4.4 萬元。

盜刷蘊(yùn)含著怎樣的技術(shù) “玄機(jī)”？文章《一部手機(jī)失竊引發(fā)的驚心動(dòng)魄的戰(zhàn)爭》中提到的犯罪步驟有：1. 獲取身份信息修改了運(yùn)營商服務(wù)密碼；2. 短信驗(yàn)證碼修改華為密碼；3. 通過刷機(jī)或者抹掉數(shù)據(jù)的方式進(jìn)入手機(jī)；4. 用掌握的身份信息注冊(cè)支付平臺(tái)新賬號(hào)；5. 通過支付平臺(tái)使用受害者原賬號(hào)申請(qǐng)貸款；6. 通過線上、線下完成消費(fèi)。

搜狐科技對(duì)文章提及的盜刷犯罪過程進(jìn)行 “還原”發(fā)現(xiàn)，犯罪分子采取的操作主要有獲取短信驗(yàn)證碼、身份證號(hào)、銀行卡卡號(hào)三個(gè)步驟。

首先是獲取手機(jī)及 SIM 卡，犯罪分子會(huì)選擇營業(yè)廳下班后的時(shí)間點(diǎn)盜竊手機(jī)，失主沒辦法當(dāng)晚立即補(bǔ)卡，犯罪分子通過短信驗(yàn)證碼進(jìn)行后續(xù)操作。

然后，獲取身份證號(hào)碼是第一道需要突破的關(guān)卡。犯罪分子通過刷機(jī)等方式破解手機(jī)密碼后，用短信驗(yàn)證碼登錄飛豬、XX 人社等 App，查看身份證、手機(jī)號(hào)等信息。比如，通過短信驗(yàn)證碼登錄飛豬后，點(diǎn)擊機(jī)票預(yù)訂后，即可在乘機(jī)人信息中獲取姓名、身份證號(hào)碼、手機(jī)號(hào)碼。

（飛豬可直接獲取身份證號(hào)碼、手機(jī)號(hào)碼；制圖：搜狐科技）

并且犯罪分子往往在拿到完整的身份證號(hào)后，會(huì)通過身份信息修改手機(jī)服務(wù)密碼，取得 SIM 卡的控制權(quán)。

接下來的關(guān)鍵是獲取銀行卡卡號(hào)。搜狐科技測(cè)試發(fā)現(xiàn)，通過姓名、身份證號(hào)碼、短信驗(yàn)證碼，可重置招商銀行 App 登錄密碼，重置登錄密碼后可以登錄 App，再通過短信驗(yàn)證碼可以查詢完整的銀行卡卡號(hào)。

（登錄銀行 App 查看完整卡號(hào)所需步驟；制圖：搜狐科技）

當(dāng)然，獲取身份證號(hào)、銀行卡卡號(hào)的方式各異，開篇提到的文章中，犯罪團(tuán)伙利用四川人社 App 查詢到了受害人的身份證號(hào)、銀行卡號(hào)，也有報(bào)道稱可以通過手機(jī)恢復(fù)軟件和 “51 信用卡管家”等養(yǎng)卡軟件，或者偽裝成持卡人撥打銀行客服，以獲取被害人完整的銀行卡等信息。

最后，進(jìn)行盜刷。首先，犯罪團(tuán)伙可以直接登錄支付寶、蘇寧、美團(tuán)等支付工具進(jìn)行盜刷。而如果用戶解綁手機(jī)號(hào)，在掌握身份證信息和銀行卡信息的情況下，犯罪團(tuán)伙也可以利用該手機(jī)號(hào)新建賬號(hào)進(jìn)行盜刷。這種方式非常隱蔽，受害人難以察覺銀行卡究竟與哪些支付賬號(hào)關(guān)聯(lián)。

如果需要支付密碼，犯罪團(tuán)伙也可以通過已經(jīng)掌握的信息進(jìn)行修改。

（左為京東忘記支付密碼需要的信息，右為支付寶修改支付密碼需要的信息）

值得一提的是，盜刷的形式有很多，包括通過一切與支付相關(guān)的 App，進(jìn)行貸款、轉(zhuǎn)賬、線上線下消費(fèi)等操作。

如何降低財(cái)產(chǎn)損失風(fēng)險(xiǎn)？

根據(jù)對(duì)犯罪團(tuán)隊(duì)的犯罪過程還原，我們可以發(fā)現(xiàn)，一旦用戶的短信驗(yàn)證碼、身份證號(hào)、銀行卡賬號(hào)被掌握，盜刷便可以輕而易舉地發(fā)生了。

而用戶遭遇盜刷后，后續(xù)的索賠以及維權(quán)也困難重重。據(jù)《深圳新聞網(wǎng)》報(bào)道，廣東圣馬律師事務(wù)所樹宏玲律師表示，由于本人過錯(cuò)（未及時(shí)掛失）以及技術(shù)漏洞，手機(jī)用戶沒有索賠的空間，“類似于銀行卡盜刷案件，此類案件起訴銀行，一般都是原告敗訴。”

所以，提前采取措施預(yù)防盜刷、手機(jī)失竊后進(jìn)行及時(shí)有效的補(bǔ)救便顯得尤為可貴。首先，一定要注意保管好手機(jī)，從源頭上減少手機(jī)被盜的風(fēng)險(xiǎn)。而手機(jī)丟失后，受害者應(yīng)在第一時(shí)間內(nèi)掛失 SIM 卡。

并且，手機(jī)丟失后應(yīng)及時(shí)凍結(jié)銀行卡、各種支付工具，并更換銀行卡的預(yù)留手機(jī)號(hào)碼，同時(shí)應(yīng)該通過登陸手機(jī)銀行，用快捷支付管理功能，查看并解綁已經(jīng)綁定的支付賬號(hào)。

文章開頭提及的作者 “信息安全老駱駝”建議大家給 SIM 卡加密，并且為手機(jī)設(shè)置屏幕鎖，確保手機(jī)鎖屏狀態(tài)下來短信無法看到短信驗(yàn)證碼內(nèi)容?！霸诜缸锓肿訜o法破解開屏密碼時(shí)，這樣操作就不必?fù)?dān)心別人拔下卡插進(jìn)其他手機(jī)里繼續(xù)使用，因?yàn)榻怄i SIM 需要從運(yùn)營商獲取 PUK 碼，而想獲取 PUK 碼，需要提供身份信息進(jìn)行驗(yàn)證?！?/p>

SIM 卡密碼如何設(shè)置？如果使用的是蘋果手機(jī)，用戶可以通過 “設(shè)置—蜂窩網(wǎng)絡(luò)—蜂窩號(hào)碼—打開 SIM 卡 PIN 碼—輸入初始的 PIN 碼（一般為 1234 或 0000）”進(jìn)行設(shè)置，以此激活 SIM 卡的鎖定功能，并在激活成功后將初始密碼修改。

如果使用的是安卓手機(jī)，用戶需要通過 “設(shè)置—更多設(shè)置—系統(tǒng)安全—SIM 卡鎖定方式—鎖定 SIM 卡—輸入初始的 PIN 碼（一般為 1234 或 0000）“進(jìn)行操作，以此激活 SIM 卡的鎖定功能，并在激活成功后將初始密碼修改。（不同機(jī)型的操作方法存在差異）

而除了用戶，與用戶身份證信息、支付信息相關(guān)的各大出行平臺(tái)、支付平臺(tái)、人社 App 等機(jī)構(gòu)方也應(yīng)該通過優(yōu)化驗(yàn)證方式、完善風(fēng)控體系，提高用戶的財(cái)產(chǎn)安全。

快捷方便的 App 在無意中為盜刷提供了 “鑰匙”。還原犯罪分子的盜刷過程，也不見得技術(shù)手段有多高深，但他們正是利用了信息安全的 “薄弱點(diǎn)”，將不同 App 包含的關(guān)鍵信息點(diǎn)串聯(lián)起來，完成了對(duì)受害者的財(cái)產(chǎn)侵占。

具體來說，比如出行 App 等應(yīng)該盡量不要明文展示身份證號(hào)碼，搜狐科技發(fā)現(xiàn)在測(cè)試使用飛豬時(shí)，完整的身份證號(hào)、手機(jī)號(hào)、姓名會(huì)被輕易獲取，而同程對(duì)身份證信息進(jìn)行了屏蔽顯示處理。

（同程旅客信息頁面；制圖：搜狐科技）

在招商銀行 App 中，搜狐科技通過在飛豬上獲取的姓名、身份證號(hào)，再加上短信驗(yàn)證碼即可快速修改登錄密碼，完成銀行 App 登錄，查看完整的銀行卡號(hào)也只需要短信驗(yàn)證碼，整個(gè)操作過程并未觸發(fā)人臉或指紋識(shí)別。

在《一部手機(jī)失竊引發(fā)的驚心動(dòng)魄的戰(zhàn)爭》中，四川電信支持電話多次解掛，這導(dǎo)致受害者掛失、犯罪分子解掛的循環(huán)。而犯罪分子通過操作四川人社 App，只需要短信驗(yàn)證碼即可獲取受害者的完整身份證號(hào)、銀行卡號(hào)。慶幸的是，文章發(fā)出后，四川電信修改了電話掛失、解掛的業(yè)務(wù)規(guī)則，四川人社 APP 進(jìn)行了對(duì)應(yīng)安全升級(jí)。

在知乎一篇名為《遭遇新型網(wǎng)絡(luò)犯罪，一夜起來一無所有，還背負(fù) 68 萬多的巨額負(fù)債》中，作者認(rèn)為，“犯罪份子固然可恨，但回想自己所經(jīng)歷的一切，貸款機(jī)構(gòu)形似虛設(shè)的風(fēng)控及貸款審批程序也難以撇清自己的責(zé)任?！?/p>

央行科技司司長李偉也曾表示，金融機(jī)構(gòu)在利用技術(shù)創(chuàng)新業(yè)務(wù)模式、提升服務(wù)效率、改善用戶體驗(yàn)的同時(shí)，一定程度上卻簡化了業(yè)務(wù)流程、削弱了風(fēng)控強(qiáng)度、掩蓋了業(yè)務(wù)本質(zhì)。

要打贏 “財(cái)產(chǎn)安全保衛(wèi)戰(zhàn)”，用戶與機(jī)構(gòu)都責(zé)無旁貸。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。