被盜刷、貸款：智能手機失竊后如何補救？如何給 SIM 卡上鎖？

近日，一篇題為《一部手機失竊引發(fā)的驚心動魄的戰(zhàn)爭》的公眾號文章引發(fā)極大關注。作者 “信息安全老駱駝”有著 10 多年的信息安全從業(yè)經(jīng)驗，手機失竊后立即進行了一系列操作：電話掛失 SIM 卡，贖回全部理財，活期余額全部轉(zhuǎn)至其他賬戶，聯(lián)系多家銀行凍結信用卡，把支付寶、微信上的資金轉(zhuǎn)走，綁定的信用卡全刪掉。

但作者仍然遭受了損失——“美團被申請貸款，etc 信用卡有各種買卡、充值的記錄幾大千，銀聯(lián)轉(zhuǎn)賬記錄幾大千 ......”作者后來還補充道，自從文章發(fā)布后，部分網(wǎng)友在公眾號留言稱有相同經(jīng)歷，損失最嚴重的一位有 68 萬的線上貸款，目前還在索賠中。

網(wǎng)友看完紛紛表示 “恐怖，看完還是感覺防不勝防”、“作者是高手，要是我丟了，估計一分不剩了”、“網(wǎng)絡安全存在的漏洞太大了”。

在這起盜刷事件中，可以看出犯罪分子運用的技術手段并不高超，但非常巧妙。在竊取受害者手機后，利用了信息安全的 “薄弱點”，將不同 App 包含的關鍵信息點串聯(lián)起來，獲取手機號碼、身份證號、銀行卡號，從而進行借貸、轉(zhuǎn)賬等操作，對用戶財產(chǎn)造成巨大破壞。

盜刷是如何發(fā)生的？

隨著移動互聯(lián)網(wǎng)的發(fā)展，大多數(shù)手機用戶都開通了微信支付、支付寶以及手機銀行等服務，當金融工具與手機深度綁定，手機被盜意味著極大的財產(chǎn)損失風險。

搜狐科技查閱相關媒體報道發(fā)現(xiàn)，手機盜刷的類似案件層出不窮。比如據(jù)東方網(wǎng)報道，2019 年 4 月，上海黃浦警方接到報案，多名受害人手機在四川成都被盜后，信用卡在短時間內(nèi)被盜刷。今年 10 月，楚天都市報報道稱，有受害者手機遺失后，未解綁銀行卡，被盜刷 4.4 萬元。

盜刷蘊含著怎樣的技術 “玄機”？文章《一部手機失竊引發(fā)的驚心動魄的戰(zhàn)爭》中提到的犯罪步驟有：1. 獲取身份信息修改了運營商服務密碼；2. 短信驗證碼修改華為密碼；3. 通過刷機或者抹掉數(shù)據(jù)的方式進入手機；4. 用掌握的身份信息注冊支付平臺新賬號；5. 通過支付平臺使用受害者原賬號申請貸款；6. 通過線上、線下完成消費。

搜狐科技對文章提及的盜刷犯罪過程進行 “還原”發(fā)現(xiàn)，犯罪分子采取的操作主要有獲取短信驗證碼、身份證號、銀行卡卡號三個步驟。

首先是獲取手機及 SIM 卡，犯罪分子會選擇營業(yè)廳下班后的時間點盜竊手機，失主沒辦法當晚立即補卡，犯罪分子通過短信驗證碼進行后續(xù)操作。

然后，獲取身份證號碼是第一道需要突破的關卡。犯罪分子通過刷機等方式破解手機密碼后，用短信驗證碼登錄飛豬、XX 人社等 App，查看身份證、手機號等信息。比如，通過短信驗證碼登錄飛豬后，點擊機票預訂后，即可在乘機人信息中獲取姓名、身份證號碼、手機號碼。

（飛豬可直接獲取身份證號碼、手機號碼；制圖：搜狐科技）

并且犯罪分子往往在拿到完整的身份證號后，會通過身份信息修改手機服務密碼，取得 SIM 卡的控制權。

接下來的關鍵是獲取銀行卡卡號。搜狐科技測試發(fā)現(xiàn)，通過姓名、身份證號碼、短信驗證碼，可重置招商銀行 App 登錄密碼，重置登錄密碼后可以登錄 App，再通過短信驗證碼可以查詢完整的銀行卡卡號。

（登錄銀行 App 查看完整卡號所需步驟；制圖：搜狐科技）

當然，獲取身份證號、銀行卡卡號的方式各異，開篇提到的文章中，犯罪團伙利用四川人社 App 查詢到了受害人的身份證號、銀行卡號，也有報道稱可以通過手機恢復軟件和 “51 信用卡管家”等養(yǎng)卡軟件，或者偽裝成持卡人撥打銀行客服，以獲取被害人完整的銀行卡等信息。

最后，進行盜刷。首先，犯罪團伙可以直接登錄支付寶、蘇寧、美團等支付工具進行盜刷。而如果用戶解綁手機號，在掌握身份證信息和銀行卡信息的情況下，犯罪團伙也可以利用該手機號新建賬號進行盜刷。這種方式非常隱蔽，受害人難以察覺銀行卡究竟與哪些支付賬號關聯(lián)。

如果需要支付密碼，犯罪團伙也可以通過已經(jīng)掌握的信息進行修改。

（左為京東忘記支付密碼需要的信息，右為支付寶修改支付密碼需要的信息）

值得一提的是，盜刷的形式有很多，包括通過一切與支付相關的 App，進行貸款、轉(zhuǎn)賬、線上線下消費等操作。

如何降低財產(chǎn)損失風險？

根據(jù)對犯罪團隊的犯罪過程還原，我們可以發(fā)現(xiàn)，一旦用戶的短信驗證碼、身份證號、銀行卡賬號被掌握，盜刷便可以輕而易舉地發(fā)生了。

而用戶遭遇盜刷后，后續(xù)的索賠以及維權也困難重重。據(jù)《深圳新聞網(wǎng)》報道，廣東圣馬律師事務所樹宏玲律師表示，由于本人過錯（未及時掛失）以及技術漏洞，手機用戶沒有索賠的空間，“類似于銀行卡盜刷案件，此類案件起訴銀行，一般都是原告敗訴?！?/p>

所以，提前采取措施預防盜刷、手機失竊后進行及時有效的補救便顯得尤為可貴。首先，一定要注意保管好手機，從源頭上減少手機被盜的風險。而手機丟失后，受害者應在第一時間內(nèi)掛失 SIM 卡。

并且，手機丟失后應及時凍結銀行卡、各種支付工具，并更換銀行卡的預留手機號碼，同時應該通過登陸手機銀行，用快捷支付管理功能，查看并解綁已經(jīng)綁定的支付賬號。

文章開頭提及的作者 “信息安全老駱駝”建議大家給 SIM 卡加密，并且為手機設置屏幕鎖，確保手機鎖屏狀態(tài)下來短信無法看到短信驗證碼內(nèi)容?！霸诜缸锓肿訜o法破解開屏密碼時，這樣操作就不必擔心別人拔下卡插進其他手機里繼續(xù)使用，因為解鎖 SIM 需要從運營商獲取 PUK 碼，而想獲取 PUK 碼，需要提供身份信息進行驗證?！?/p>

SIM 卡密碼如何設置？如果使用的是蘋果手機，用戶可以通過 “設置—蜂窩網(wǎng)絡—蜂窩號碼—打開 SIM 卡 PIN 碼—輸入初始的 PIN 碼（一般為 1234 或 0000）”進行設置，以此激活 SIM 卡的鎖定功能，并在激活成功后將初始密碼修改。

如果使用的是安卓手機，用戶需要通過 “設置—更多設置—系統(tǒng)安全—SIM 卡鎖定方式—鎖定 SIM 卡—輸入初始的 PIN 碼（一般為 1234 或 0000）“進行操作，以此激活 SIM 卡的鎖定功能，并在激活成功后將初始密碼修改。（不同機型的操作方法存在差異）

而除了用戶，與用戶身份證信息、支付信息相關的各大出行平臺、支付平臺、人社 App 等機構方也應該通過優(yōu)化驗證方式、完善風控體系，提高用戶的財產(chǎn)安全。

快捷方便的 App 在無意中為盜刷提供了 “鑰匙”。還原犯罪分子的盜刷過程，也不見得技術手段有多高深，但他們正是利用了信息安全的 “薄弱點”，將不同 App 包含的關鍵信息點串聯(lián)起來，完成了對受害者的財產(chǎn)侵占。

具體來說，比如出行 App 等應該盡量不要明文展示身份證號碼，搜狐科技發(fā)現(xiàn)在測試使用飛豬時，完整的身份證號、手機號、姓名會被輕易獲取，而同程對身份證信息進行了屏蔽顯示處理。

（同程旅客信息頁面；制圖：搜狐科技）

在招商銀行 App 中，搜狐科技通過在飛豬上獲取的姓名、身份證號，再加上短信驗證碼即可快速修改登錄密碼，完成銀行 App 登錄，查看完整的銀行卡號也只需要短信驗證碼，整個操作過程并未觸發(fā)人臉或指紋識別。

在《一部手機失竊引發(fā)的驚心動魄的戰(zhàn)爭》中，四川電信支持電話多次解掛，這導致受害者掛失、犯罪分子解掛的循環(huán)。而犯罪分子通過操作四川人社 App，只需要短信驗證碼即可獲取受害者的完整身份證號、銀行卡號。慶幸的是，文章發(fā)出后，四川電信修改了電話掛失、解掛的業(yè)務規(guī)則，四川人社 APP 進行了對應安全升級。

在知乎一篇名為《遭遇新型網(wǎng)絡犯罪，一夜起來一無所有，還背負 68 萬多的巨額負債》中，作者認為，“犯罪份子固然可恨，但回想自己所經(jīng)歷的一切，貸款機構形似虛設的風控及貸款審批程序也難以撇清自己的責任。”

央行科技司司長李偉也曾表示，金融機構在利用技術創(chuàng)新業(yè)務模式、提升服務效率、改善用戶體驗的同時，一定程度上卻簡化了業(yè)務流程、削弱了風控強度、掩蓋了業(yè)務本質(zhì)。

要打贏 “財產(chǎn)安全保衛(wèi)戰(zhàn)”，用戶與機構都責無旁貸。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。