近日,一篇题为《一部手机失窃引发的惊心动魄的战争》的公众号文章引发极大关注。作者 “信息安全老骆驼”有着 10 多年的信息安全从业经验,手机失窃后立即进行了一系列操作:电话挂失 SIM 卡,赎回全部理财,活期余额全部转至其他账户,联系多家银行冻结信用卡,把支付宝、微信上的资金转走,绑定的信用卡全删掉。

但作者仍然遭受了损失——“美团被申请贷款,etc 信用卡有各种买卡、充值的记录几大千,银联转账记录几大千 ......”作者后来还补充道,自从文章发布后,部分网友在公众号留言称有相同经历,损失最严重的一位有 68 万的线上贷款,目前还在索赔中。

网友看完纷纷表示 “恐怖,看完还是感觉防不胜防”、“作者是高手,要是我丢了,估计一分不剩了”、“网络安全存在的漏洞太大了”。

在这起盗刷事件中,可以看出犯罪分子运用的技术手段并不高超,但非常巧妙。在窃取受害者手机后,利用了信息安全的 “薄弱点”,将不同 App 包含的关键信息点串联起来,获取手机号码、身份证号、银行卡号,从而进行借贷、转账等操作,对用户财产造成巨大破坏。

盗刷是如何发生的?

随着移动互联网的发展,大多数手机用户都开通了微信支付、支付宝以及手机银行等服务,当金融工具与手机深度绑定,手机被盗意味着极大的财产损失风险。

搜狐科技查阅相关媒体报道发现,手机盗刷的类似案件层出不穷。比如据东方网报道,2019 年 4 月,上海黄浦警方接到报案,多名受害人手机在四川成都被盗后,信用卡在短时间内被盗刷。今年 10 月,楚天都市报报道称,有受害者手机遗失后,未解绑银行卡,被盗刷 4.4 万元。

盗刷蕴含着怎样的技术 “玄机”?文章《一部手机失窃引发的惊心动魄的战争》中提到的犯罪步骤有:1. 获取身份信息修改了运营商服务密码;2. 短信验证码修改华为密码;3. 通过刷机或者抹掉数据的方式进入手机;4. 用掌握的身份信息注册支付平台新账号;5. 通过支付平台使用受害者原账号申请贷款;6. 通过线上、线下完成消费。

搜狐科技对文章提及的盗刷犯罪过程进行 “还原”发现,犯罪分子采取的操作主要有获取短信验证码、身份证号、银行卡卡号三个步骤。

首先是获取手机及 SIM 卡,犯罪分子会选择营业厅下班后的时间点盗窃手机,失主没办法当晚立即补卡,犯罪分子通过短信验证码进行后续操作。

然后,获取身份证号码是第一道需要突破的关卡。犯罪分子通过刷机等方式破解手机密码后,用短信验证码登录飞猪、XX 人社等 App,查看身份证、手机号等信息。比如,通过短信验证码登录飞猪后,点击机票预订后,即可在乘机人信息中获取姓名、身份证号码、手机号码。

并且犯罪分子往往在拿到完整的身份证号后,会通过身份信息修改手机服务密码,取得 SIM 卡的控制权。

接下来的关键是获取银行卡卡号。搜狐科技测试发现,通过姓名、身份证号码、短信验证码,可重置招商银行 App 登录密码,重置登录密码后可以登录 App,再通过短信验证码可以查询完整的银行卡卡号。

当然,获取身份证号、银行卡卡号的方式各异,开篇提到的文章中,犯罪团伙利用四川人社 App 查询到了受害人的身份证号、银行卡号,也有报道称可以通过手机恢复软件和 “51 信用卡管家”等养卡软件,或者伪装成持卡人拨打银行客服,以获取被害人完整的银行卡等信息。

最后,进行盗刷。首先,犯罪团伙可以直接登录支付宝、苏宁、美团等支付工具进行盗刷。而如果用户解绑手机号,在掌握身份证信息和银行卡信息的情况下,犯罪团伙也可以利用该手机号新建账号进行盗刷。这种方式非常隐蔽,受害人难以察觉银行卡究竟与哪些支付账号关联。

如果需要支付密码,犯罪团伙也可以通过已经掌握的信息进行修改。

值得一提的是,盗刷的形式有很多,包括通过一切与支付相关的 App,进行贷款、转账、线上线下消费等操作。

如何降低财产损失风险?

根据对犯罪团队的犯罪过程还原,我们可以发现,一旦用户的短信验证码、身份证号、银行卡账号被掌握,盗刷便可以轻而易举地发生了。

而用户遭遇盗刷后,后续的索赔以及维权也困难重重。据《深圳新闻网》报道,广东圣马律师事务所树宏玲律师表示,由于本人过错(未及时挂失)以及技术漏洞,手机用户没有索赔的空间,“类似于银行卡盗刷案件,此类案件起诉银行,一般都是原告败诉。”

所以,提前采取措施预防盗刷、手机失窃后进行及时有效的补救便显得尤为可贵。首先,一定要注意保管好手机,从源头上减少手机被盗的风险。而手机丢失后,受害者应在第一时间内挂失 SIM 卡。

并且,手机丢失后应及时冻结银行卡、各种支付工具,并更换银行卡的预留手机号码,同时应该通过登陆手机银行,用快捷支付管理功能,查看并解绑已经绑定的支付账号。

文章开头提及的作者 “信息安全老骆驼”建议大家给 SIM 卡加密,并且为手机设置屏幕锁,确保手机锁屏状态下来短信无法看到短信验证码内容。“在犯罪分子无法破解开屏密码时,这样操作就不必担心别人拔下卡插进其他手机里继续使用,因为解锁 SIM 需要从运营商获取 PUK 码,而想获取 PUK 码,需要提供身份信息进行验证。”

SIM 卡密码如何设置?如果使用的是苹果手机,用户可以通过 “设置—蜂窝网络—蜂窝号码—打开 SIM 卡 PIN 码—输入初始的 PIN 码(一般为 1234 或 0000)”进行设置,以此激活 SIM 卡的锁定功能,并在激活成功后将初始密码修改。

如果使用的是安卓手机,用户需要通过 “设置—更多设置—系统安全—SIM 卡锁定方式—锁定 SIM 卡—输入初始的 PIN 码(一般为 1234 或 0000)“进行操作,以此激活 SIM 卡的锁定功能,并在激活成功后将初始密码修改。(不同机型的操作方法存在差异)

而除了用户,与用户身份证信息、支付信息相关的各大出行平台、支付平台、人社 App 等机构方也应该通过优化验证方式、完善风控体系,提高用户的财产安全。

快捷方便的 App 在无意中为盗刷提供了 “钥匙”。还原犯罪分子的盗刷过程,也不见得技术手段有多高深,但他们正是利用了信息安全的 “薄弱点”,将不同 App 包含的关键信息点串联起来,完成了对受害者的财产侵占。

具体来说,比如出行 App 等应该尽量不要明文展示身份证号码,搜狐科技发现在测试使用飞猪时,完整的身份证号、手机号、姓名会被轻易获取,而同程对身份证信息进行了屏蔽显示处理。

在招商银行 App 中,搜狐科技通过在飞猪上获取的姓名、身份证号,再加上短信验证码即可快速修改登录密码,完成银行 App 登录,查看完整的银行卡号也只需要短信验证码,整个操作过程并未触发人脸或指纹识别。

在《一部手机失窃引发的惊心动魄的战争》中,四川电信支持电话多次解挂,这导致受害者挂失、犯罪分子解挂的循环。而犯罪分子通过操作四川人社 App,只需要短信验证码即可获取受害者的完整身份证号、银行卡号。庆幸的是,文章发出后,四川电信修改了电话挂失、解挂的业务规则,四川人社 APP 进行了对应安全升级。

在知乎一篇名为《遭遇新型网络犯罪,一夜起来一无所有,还背负 68 万多的巨额负债》中,作者认为,“犯罪份子固然可恨,但回想自己所经历的一切,贷款机构形似虚设的风控及贷款审批程序也难以撇清自己的责任。”

央行科技司司长李伟也曾表示,金融机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时,一定程度上却简化了业务流程、削弱了风控强度、掩盖了业务本质。

要打赢 “财产安全保卫战”,用户与机构都责无旁贷。