近日，一篇題為《一部手機失竊引發的驚心動魄的戰爭》的公眾號文章引發極大關注。作者 “資訊保安老駱駝”有著 10 多年的資訊保安從業經驗，手機失竊後立即進行了一系列操作：電話掛失 SIM 卡，贖回全部理財，活期餘額全部轉至其他賬戶，聯絡多家銀行凍結信用卡，把支付寶、微信上的資金轉走，繫結的信用卡全刪掉。

但作者仍然遭受了損失——“美團被申請貸款，etc 信用卡有各種買卡、充值的記錄幾大千，銀聯轉賬記錄幾大千 ......”作者後來還補充道，自從文章釋出後，部分網友在公眾號留言稱有相同經歷，損失最嚴重的一位有 68 萬的線上貸款，目前還在索賠中。

網友看完紛紛表示 “恐怖，看完還是感覺防不勝防”、“作者是高手，要是我丟了，估計一分不剩了”、“網路安全存在的漏洞太大了”。

在這起盜刷事件中，可以看出犯罪分子運用的技術手段並不高超，但非常巧妙。在竊取受害者手機後，利用了資訊保安的 “薄弱點”，將不同 App 包含的關鍵資訊點串聯起來，獲取手機號碼、身份證號、銀行卡號，從而進行借貸、轉賬等操作，對使用者財產造成巨大破壞。

盜刷是如何發生的？

隨著移動網際網路的發展，大多數手機使用者都開通了微信支付、支付寶以及手機銀行等服務，當金融工具與手機深度繫結，手機被盜意味著極大的財產損失風險。

搜狐科技查閱相關媒體報道發現，手機盜刷的類似案件層出不窮。比如據東方網報道，2019 年 4 月，上海黃浦警方接到報案，多名受害人手機在四川成都被盜後，信用卡在短時間內被盜刷。今年 10 月，楚天都市報報道稱，有受害者手機遺失後，未解綁銀行卡，被盜刷 4.4 萬元。

盜刷蘊含著怎樣的技術 “玄機”？文章《一部手機失竊引發的驚心動魄的戰爭》中提到的犯罪步驟有：1. 獲取身份資訊修改了運營商服務密碼；2. 簡訊驗證碼修改華為密碼；3. 通過刷機或者抹掉資料的方式進入手機；4. 用掌握的身份資訊註冊支付平臺新賬號；5. 通過支付平臺使用受害者原賬號申請貸款；6. 通過線上、線下完成消費。

搜狐科技對文章提及的盜刷犯罪過程進行 “還原”發現，犯罪分子採取的操作主要有獲取簡訊驗證碼、身份證號、銀行卡卡號三個步驟。

首先是獲取手機及 SIM 卡，犯罪分子會選擇營業廳下班後的時間點盜竊手機，失主沒辦法當晚立即補卡，犯罪分子通過簡訊驗證碼進行後續操作。

然後，獲取身份證號碼是第一道需要突破的關卡。犯罪分子通過刷機等方式破解手機密碼後，用簡訊驗證碼登入飛豬、XX 人社等 App，檢視身份證、手機號等資訊。比如，通過簡訊驗證碼登入飛豬後，點選機票預訂後，即可在乘機人資訊中獲取姓名、身份證號碼、手機號碼。

（飛豬可直接獲取身份證號碼、手機號碼；製圖：搜狐科技）

並且犯罪分子往往在拿到完整的身份證號後，會通過身份資訊修改手機服務密碼，取得 SIM 卡的控制權。

接下來的關鍵是獲取銀行卡卡號。搜狐科技測試發現，通過姓名、身份證號碼、簡訊驗證碼，可重置招商銀行 App 登入密碼，重置登入密碼後可以登入 App，再通過簡訊驗證碼可以查詢完整的銀行卡卡號。

（登入銀行 App 檢視完整卡號所需步驟；製圖：搜狐科技）

當然，獲取身份證號、銀行卡卡號的方式各異，開篇提到的文章中，犯罪團伙利用四川人社 App 查詢到了受害人的身份證號、銀行卡號，也有報道稱可以通過手機恢復軟體和 “51 信用卡管家”等養卡軟體，或者偽裝成持卡人撥打銀行客服，以獲取被害人完整的銀行卡等資訊。

最後，進行盜刷。首先，犯罪團伙可以直接登入支付寶、蘇寧、美團等支付工具進行盜刷。而如果使用者解綁手機號，在掌握身份證資訊和銀行卡資訊的情況下，犯罪團伙也可以利用該手機號新建賬號進行盜刷。這種方式非常隱蔽，受害人難以察覺銀行卡究竟與哪些支付賬號關聯。

如果需要支付密碼，犯罪團伙也可以通過已經掌握的資訊進行修改。

（左為京東忘記支付密碼需要的資訊，右為支付寶修改支付密碼需要的資訊）

值得一提的是，盜刷的形式有很多，包括通過一切與支付相關的 App，進行貸款、轉賬、線上線下消費等操作。

如何降低財產損失風險？

根據對犯罪團隊的犯罪過程還原，我們可以發現，一旦使用者的簡訊驗證碼、身份證號、銀行卡賬號被掌握，盜刷便可以輕而易舉地發生了。

而使用者遭遇盜刷後，後續的索賠以及維權也困難重重。據《深圳新聞網》報道，廣東聖馬律師事務所樹巨集玲律師表示，由於本人過錯（未及時掛失）以及技術漏洞，手機使用者沒有索賠的空間，“類似於銀行卡盜刷案件，此類案件起訴銀行，一般都是原告敗訴。”

所以，提前採取措施預防盜刷、手機失竊後進行及時有效的補救便顯得尤為可貴。首先，一定要注意保管好手機，從源頭上減少手機被盜的風險。而手機丟失後，受害者應在第一時間內掛失 SIM 卡。

並且，手機丟失後應及時凍結銀行卡、各種支付工具，並更換銀行卡的預留手機號碼，同時應該通過登陸手機銀行，用快捷支付管理功能，檢視並解綁已經繫結的支付賬號。

文章開頭提及的作者 “資訊保安老駱駝”建議大家給 SIM 卡加密，並且為手機設定螢幕鎖，確保手機鎖屏狀態下來簡訊無法看到簡訊驗證碼內容。“在犯罪分子無法破解開屏密碼時，這樣操作就不必擔心別人拔下卡插進其他手機裡繼續使用，因為解鎖 SIM 需要從運營商獲取 PUK 碼，而想獲取 PUK 碼，需要提供身份資訊進行驗證。”

SIM 卡密碼如何設定？如果使用的是蘋果手機，使用者可以通過 “設定—蜂窩網路—蜂窩號碼—開啟 SIM 卡 PIN 碼—輸入初始的 PIN 碼（一般為 1234 或 0000）”進行設定，以此啟用 SIM 卡的鎖定功能，並在啟用成功後將初始密碼修改。

如果使用的是安卓手機，使用者需要通過 “設定—更多設定—系統安全—SIM 卡鎖定方式—鎖定 SIM 卡—輸入初始的 PIN 碼（一般為 1234 或 0000）“進行操作，以此啟用 SIM 卡的鎖定功能，並在啟用成功後將初始密碼修改。（不同機型的操作方法存在差異）

而除了使用者，與使用者身份證資訊、支付資訊相關的各大出行平臺、支付平臺、人社 App 等機構方也應該通過優化驗證方式、完善風控體系，提高使用者的財產安全。

快捷方便的 App 在無意中為盜刷提供了 “鑰匙”。還原犯罪分子的盜刷過程，也不見得技術手段有多高深，但他們正是利用了資訊保安的 “薄弱點”，將不同 App 包含的關鍵資訊點串聯起來，完成了對受害者的財產侵佔。

具體來說，比如出行 App 等應該儘量不要明文展示身份證號碼，搜狐科技發現在測試使用飛豬時，完整的身份證號、手機號、姓名會被輕易獲取，而同程對身份證資訊進行了遮蔽顯示處理。

（同程旅客資訊頁面；製圖：搜狐科技）

在招商銀行 App 中，搜狐科技通過在飛豬上獲取的姓名、身份證號，再加上簡訊驗證碼即可快速修改登入密碼，完成銀行 App 登入，檢視完整的銀行卡號也只需要簡訊驗證碼，整個操作過程並未觸發人臉或指紋識別。

在《一部手機失竊引發的驚心動魄的戰爭》中，四川電信支援電話多次解掛，這導致受害者掛失、犯罪分子解掛的迴圈。而犯罪分子通過操作四川人社 App，只需要簡訊驗證碼即可獲取受害者的完整身份證號、銀行卡號。慶幸的是，文章發出後，四川電信修改了電話掛失、解掛的業務規則，四川人社 APP 進行了對應安全升級。

在知乎一篇名為《遭遇新型網路犯罪，一夜起來一無所有，還揹負 68 萬多的鉅額負債》中，作者認為，“犯罪份子固然可恨，但回想自己所經歷的一切，貸款機構形似虛設的風控及貸款審批程式也難以撇清自己的責任。”

央行科技司司長李偉也曾表示，金融機構在利用技術創新業務模式、提升服務效率、改善使用者體驗的同時，一定程度上卻簡化了業務流程、削弱了風控強度、掩蓋了業務本質。

要打贏 “財產安全保衛戰”，使用者與機構都責無旁貸。