一部手機失竊引發(fā)的驚心動魄的戰(zhàn)爭

文章來源：信息安全老駱駝

9月4日 ——

7:30：正帶著大娃在理發(fā)店理發(fā)，老婆過來告訴我，她在小區(qū)門口推著二娃蹲下買水果時嬰兒車袋子里的手機被偷了。這時看到P40 pro上市，一年一度的換機季又到來了。說是丟失后就用其他手機撥打，但對方接通后關機。當時不知道我怎么想的，覺得可能還有機會能找回，沒有未立即掛失手機卡，設置了華為找回手機的上線通知（這個不果斷的決定，導致了后續(xù)悲劇的發(fā)生）。

8:51：對方把卡取出來插在其他手機開機，后面通過查詢通話和短信詳單才知道，才一個小時多點的時間，對方從高新區(qū)直奔成華區(qū)，以周五成都高峰期的交通狀況，算是比較極限了。

9:24：家人發(fā)現(xiàn)被偷手機可以撥通，但我這邊“查找我的手機”顯示還未上線，但沒兩分鐘我的手機收到提示手機在成華區(qū)上線了，瞬間再看找回手機界面，設備被解綁了，突然有種不好的感覺，一般的小偷不會這么快這么熟練的干這些。

立刻致電10000號掛失手機卡，但此時電信服務密碼已經(jīng)不正確了，通過驗證身份證號碼加提供上個月聯(lián)系過的三個電話號碼進行了掛失。開始采取緊急措施，登錄手機銀行把可立即贖回的理財全部贖回，活期余額全部轉(zhuǎn)我賬上，聯(lián)系多家銀行凍結(jié)信用卡，把支付寶、微信上的資金轉(zhuǎn)走，綁定的信用卡全刪掉，考慮到部分儲蓄卡余額為0，且對方不知道我的卡號，就沒去掛失。

9:48：家人說電話還可以打通，立馬致電10000號，詢問為什么還可以撥通，回復說卡是正常狀態(tài)，繼續(xù)掛失。

9:55：越想越不對勁，又致電10000號，問之前掛失失敗的原因是什么。得到答復，第一次掛失是成功了的，但后面又被解掛了。

還有這種操作，打電話解除掛失，我是第一次知道，常識性認為我掛失了就應該是帶上身份證去營業(yè)廳解除掛失，包括后面去報案，民警聽說掛失后還可以電話解掛，也是很驚訝。

但明顯對方是有備而來，后期分析時我認為連偷手機的時間都是事先定好的，對方把電信的業(yè)務流程已經(jīng)掌握得很清楚了，這也導致我后期的補救措施變得很被動。

根據(jù)云閃付上的綁卡信息，繼續(xù)給銀行電話，挨個凍結(jié)儲蓄卡，建行etc信用卡因為已經(jīng)解綁了，且第二天要出行上高速，就沒去管了。

這期間還漏掉一個老婆10多年前辦的一張建行卡，一張工商銀行卡，又埋雷了。

00:23時：發(fā)現(xiàn)支付寶、微信接連被擠下線，重要的是登錄的設備和丟失的手機設備型號一致！完了，遇上高手了，華為的鎖屏密碼被解開了。

立馬申請凍結(jié)（后面發(fā)現(xiàn)，已經(jīng)晚了，對方的操作很迅速，此時支付寶已經(jīng)被更換了手機號碼，懷疑是多人在并發(fā)操作的。）、同時申請凍結(jié)微信，馬上登陸京東，蘇寧、國美等常用的APP，更換關聯(lián)手機號碼。沒過一會，我的手機就收到一條京東的短信驗證碼，感覺后面幾個APP應該是保住了（蜜汁自信，最后還是被打臉），喘一口氣休息下。

分析對方意圖，覺得所有銀行卡和支付余額里偷不到錢的話可能會用老婆的信息申請貸款，但同時想到放款只能是放到本人銀行卡，要想轉(zhuǎn)出去得有銀行卡密碼（長期以來自己支付密碼和銀行卡密碼一致，連自己都忘了這兩個密碼不是一個東西，后面追查時才發(fā)現(xiàn)，對方用了一個神招，什么銀行卡密碼、支付密碼根本影響不到對方），應該問題不大，加上期間緊張于電信手機卡“掛失”、“解掛”陣地搶占，又有張成都銀行社保金融卡漏下了。

后面的一晚上就是循環(huán)的我掛失、對方解掛，在10000號上來來回回幾十次。至于為什么要堅持，因為覺得雖然自己已經(jīng)把重要的APP和銀行賬戶都保住了但還是看不透對方想干什么，不過既然對方這么執(zhí)著的解掛我的手機卡，肯定是有其迫切的原因。抱著凡是敵人想要的，就堅決不能給的信念，一晚上通宵堅持下來了。

這期間我們是很被動的，因為不知道他什么時候解掛，只能躺床上不停打被偷的電話，一撥通立馬再打10000號掛失。

中間多次請求10000號客服，告知手機被偷，犯罪分子正在解掛手機卡用于實施犯罪，請求他們通知領導獲得審批后凍結(jié)手機卡等明早去營業(yè)廳補卡，都被拒絕。

由于一晚上幾十次的業(yè)務辦理，甚至還被客服說“你們自己的私事，不要占用公共資源”，我都不知道對方是怎么忽悠客服的。詢問還有沒有其他途徑自助辦理掛失，回答無。只能繼續(xù)堅持，最后不知道是不是客服自己都受不了我們了，10000發(fā)短信告訴我可以在網(wǎng)廳自助辦理，登錄電信網(wǎng)廳，嘗試用軟件自動掛失，無奈網(wǎng)廳的一些安全限制導致無法用軟件實訓自動化的掛失辦理，繼續(xù)手動操作。

5:00：發(fā)現(xiàn)才注意到網(wǎng)廳有關閉短信的業(yè)務，想著如果對方是高手，我關閉后也可能對方會立馬發(fā)現(xiàn)，但也可能對方只是流水線的犯罪腳本操作工人，可以賭一賭，反正對我沒損失，對他們還增加開通短信的步驟。

（后面查短信詳單時發(fā)現(xiàn)，正是關閉短信功能這個操作，中斷了他們后續(xù)的犯罪行為，不然損失肯定更嚴重）

熬到9月5日9點：開車送老婆蹲守營業(yè)廳開門，9點8分完成補卡，丈母娘來電話說老婆電話打通了，但接電話的是個男的，我回答說可能是營業(yè)廳的營業(yè)員接的。幾分鐘后老婆辦卡歸來，問到剛才丈母娘電話什么情況， 她說沒接到電話啊，手機一直在自己手上。看了下確實沒有通話記錄，手機外撥也是正常的，短信發(fā)送接收也正常。繼續(xù)打10000號，詢問手機是否被開通了呼叫轉(zhuǎn)移，得到確認的答復，驗證身份證后關閉業(yè)務。關閉之前從話務員那邊問到被轉(zhuǎn)移的電話號碼（準備后續(xù)萬一要報警就提交過去）。

開始收復陣地，檢查損失。找回支付寶、微信、云閃付，發(fā)現(xiàn)除了支付寶手機號被改了，但由于賬戶本身凍結(jié)狀態(tài)，就沒管了。從云閃付上管理的銀行卡里交易記錄基本沒什么異常，只有一張工商銀行卡多了280元（詭異吧），一看是從一個錢袋寶轉(zhuǎn)過來的， 覺得蹊蹺下了個APP想用手機號碼登錄錢袋寶看下：APP異常，登錄不上，暫時就沒管了。?

約了朋友一起峨眉山泡溫泉，喝下一瓶樂虎、一瓶紅牛、一瓶咖啡，出發(fā)去峨眉山，途中繼續(xù)檢查了了下各個支付賬戶，好像沒什么異常。下午到了峨眉山，在溫泉池子里休息，恢復體力。準備晚上從電信營業(yè)廳查下詳單，看對方都干了什么。

晚上查詳單前老婆登錄支付寶結(jié)果習慣性輸入手機號碼，發(fā)現(xiàn)密碼錯誤， 趕緊用手機找回，突然想起自己支付寶賬號不是手機號，一看才發(fā)現(xiàn)是對方新建的支付寶賬號，還綁定了那張被我們遺忘的建行卡，以及一張建行ETC信用卡（辦好etc后就一直在抽屜里吃灰），而且賬單里有充值消費記錄，以及被支付寶風控阻斷后的充值退回記錄，這時候才發(fā)現(xiàn)這張原本綁在云閃付上的信用卡被對方從云閃付解綁了，所以我們才沒發(fā)現(xiàn)異常。

登陸建行網(wǎng)銀，發(fā)現(xiàn)9月5日4點多時美團轉(zhuǎn)進 5000元的記錄，跪了，再看etc信用卡有各種買卡、充值 的記錄 幾大千，銀聯(lián)轉(zhuǎn)賬記錄幾大千，最壞的情況還是發(fā)生了。

下載了短信和通話詳單，開始分析通話和短信記錄，挨個查詢，基本上通話的都是各家銀行、銀聯(lián)，短信記錄能查的到源號碼的也就是 社保局、華為、騰訊、銀聯(lián)、翼支付、微信、支付寶，其他106開頭的服務號不知道是哪個機構(gòu)的，分析沒什么結(jié)果。

兩人開始回憶從頭到尾的細節(jié)，開始逐個分析，一個資深滲透測試工程師的優(yōu)勢這時候展示體現(xiàn)出來了。

• 對方第一次上線時已經(jīng)把卡拔出來插到其他手機，從短信發(fā)送記錄上看是給一個手機發(fā)了條短信，獲取到本機手機號碼。

• 然后聯(lián)系電信改了服務密碼，用手機號碼配合短信驗證碼改了華為密碼，把原設備上的賬號注銷了。

• 然后解鎖了華為鎖屏密碼，進入了手機。

這中間有幾個說不通的地方：

1. 修改電信服務密碼需要身份證號碼

2. 有華為密碼從網(wǎng)站上也沒有解鎖鎖屏密碼的功能。

第一個我想的是可能從社工庫查到了身份證號碼，第二個根據(jù)百度結(jié)果說是華為老版本的emui 賬號登錄后可以遠程鎖機，設置一個新密碼，然后用新密碼解鎖屏幕進入手機（這個操作未實際驗證） 。

• 然后對方還修改了支付寶登錄和支付密碼、微信密碼，

• 中間還修改了支付寶手機號碼（為什么這么操作到9月7日晚上的分析才知道），

• 并且綁定了被我們遺漏的銀行卡至支付平臺賬號上進行消費。

這里又有說不通的地方：

1、支付綁卡需要銀行完整的卡號，如何得到的？一開始以為打銀行客服就可以問到，后面試了下是不行的；

但當我查看支付寶的銀行卡管理功能時，發(fā)現(xiàn)有支付密碼的話，可以用支付寶自帶的查看卡號功能獲取銀行卡完整卡號，太長時間沒用這個功能了。

但這樣的話就還有個說不通的：

2、支付密碼的重置需要的條件（人臉 、短信+安全問題 、短信+銀行卡信息、銀行卡+安全問題），沒照片的情況下，人臉應該不行，我們設置的安全問題基本上不會被猜到，那只有短信加銀行卡了

（實際上最后發(fā)現(xiàn)，對方既可以人臉驗證，也可以短信加銀行卡驗證，甚至連支付寶都是自己新建了一個，支付密碼也是自己設置的）。

然后剩下的步驟就比較清晰了，

• 通過綁了卡的美團，申請貸款，放款到建行儲蓄卡

• 再通過支付APP之前的綁卡結(jié)果，通過購買虛擬卡和網(wǎng)絡充值消費掉。

剩下就是蘇寧金融的信用卡消費了，還是抱著懷疑的態(tài)度，他們?nèi)绾胃愕轿业男庞每╟vv的，這一點我們是比較肯定的，etc信用卡從申請下來就沒離開過抽屜。從銀行客服那邊能獲取到的最多也就是信用卡有效期。

（后面才發(fā)現(xiàn)支付公司現(xiàn)在綁信用卡根本不驗證有效日期和CVV，都是簡單粗暴的身份信息+卡號+預留手機號碼，甚至有些連預留手機號都不用）。

整理完所有的情況后，就準備聯(lián)系各個支付公司，準備討要說法了。一圈下來后，得出的結(jié)果是：

1. 銀聯(lián)云閃付態(tài)度極好，說第二天會有專人聯(lián)系?；

2. 財付通 聯(lián)系不上?；

3. 美團借貸 態(tài)度模糊 ，問他為何只是簡單驗證了身份證就放款了，只說這種貸款產(chǎn)品很多其他公司也有的，嗯好像很有道理，大家都做的就是正確的。

4. 蘇寧金融未回應。

準備好一些材料，包括通話、短信記錄、銀行賬單，以及其他零散資料，準備趕回去報警。畢竟事情發(fā)生在小區(qū)門口，而且團伙作案，極有可能還會再犯，把事情整理下發(fā)到業(yè)主群，讓大家小心防范，提醒大家設置好sim卡密碼。大家也都被震驚了，但一致對于怎么獲取身份證號碼、銀行卡號表示疑惑。中間手機陸續(xù)還收到幾條財付通的支付驗證碼，但登陸自己賬號，沒發(fā)現(xiàn)有綁卡，留著疑惑后面再處理，反正不給驗證碼也付不出去。?

思路理清楚了，已經(jīng)凌晨4點多了。一早趕緊往成都趕。路上云閃付主動聯(lián)系我們，讓我們報警后提供報案回執(zhí)單等一些材料提交過去，看樣子有可能要賠付。美團也打電話過來了，想推卸責任，但還是讓我們提供證據(jù)資料提交給他們。

派出所民警聽說了我們的遭遇都表示驚奇，說之前從沒遇到過這種偷手機的。我應該是第一個來報這種案件的 。老婆進去做筆錄，耗時幾個小時， 出來后說了里面的情況，警察大叔們都表示“這不可能”、“肯定是你手機里放銀行卡信息泄露了”、“你是不是放身份證照片在手機里了”，做完筆錄竟然又要我們?nèi)ゴ蛴°y行流水，跑了幾家建行 都是關門的，只能等第二天再來取報案回執(zhí)單了。?

晚上回去兩口子在電腦前繼續(xù)回想所有細節(jié)，把整個過程串一遍，必要時用我的各種APP和賬號進行實驗，驗證自己的分析判斷。雖然補了手機卡， 銀行卡都凍結(jié)了，帶支付功能的軟件都找回來各種修改密碼了，但總覺得哪里就是不對勁。

突然又收到了財付通的支付驗證碼請求，再關聯(lián)起前面的幾個可疑點，一下子想通了。他用其他支付賬號綁了我們的銀行卡，?包括之前用手機號登陸蘇寧時發(fā)現(xiàn)登陸的是別人新創(chuàng)建的蘇寧賬號、包括支付寶也是新建的，至于他們新建的的賬號怎么通過的人臉實名認證，這個留在后面討論。

說明除了這些APP，肯定還在其他一大堆APP上用我的信息新建了賬號，綁了銀行卡、通過了實名認證，并自己設置了支付密碼。

挨個APP檢查， 發(fā)現(xiàn)用我們的手機號碼新建了支付寶、蘇寧、京東且包含有消費記錄，這個操作隱蔽性強，如果我們沒發(fā)現(xiàn)的話，解凍了銀行卡，他們還可以用自己創(chuàng)建的支付賬號進行消費。

問題又來了，他們用我的手機號新建的賬號 我們可以挨個試出來， 但用其他手機號新建的賬號我們猜不到，比如云閃付、財付通、蘇寧金融 ，這幾個從銀行流水里查到有轉(zhuǎn)賬消費記錄，但我們沒找到對應的賬號。

再回到上面有疑惑的幾個問題上：

1. 要在支付寶上查看我綁定的銀行卡信息或者綁新的卡，需要支付密碼而支付密碼的重置，需要短信+一張銀行卡信息的驗證；
2. 一開始整個環(huán)節(jié)的起點，都需要我的身份證號碼，起初我判斷是通過社工庫，但這一番操作分析下來，整個黑產(chǎn)團隊的手法，基本都是利用的各個銀行、支付公司的正常業(yè)務流程來處理的，那么身份證的獲取大概率也不會采用社工庫去查詢；
3. 部分支付APP新建賬號后的實名認證，需要活體人臉驗證，這個如果可以從手機自拍照或者華為云里之前存過的照片，用技術(shù)處理手段處理照片繞過人臉識別（參考2020年的新聞《利用照片偽造動畫頭像“騙過”支付寶人臉識別，一犯罪團伙薅支付寶“羊毛”超4萬元》）?

總結(jié)下來就是，需要有一個地方，通過手機號碼和接收到的短信驗證碼， 能獲取到姓名、身份證號碼、以及一張銀行卡的卡號。

感覺這幾天自己都有點病態(tài)了，遇到這種盜刷的倒霉事，不憤怒、不沮喪、不慌亂，而是出奇的亢奮，幾天下來沒睡幾個小時，不停的研究和分析，快把對方的運作模式研究出來了，把IT男追根刨底的特質(zhì)發(fā)揮的淋漓盡致。

來，繼續(xù)冷靜分析，手頭能跟犯罪分子行為步驟關聯(lián)最緊密的就是電信營業(yè)廳獲取的短信和電話記錄了，

翻出短信記錄，除了第一條犯罪分子發(fā)給自己手機號的記錄，緊接著就是收到兩條12333社保局的短信。最開始兩天都沒注意到，以為是老婆公司給繳納的社保的通知短信，但再仔細分析就發(fā)現(xiàn)不對勁了。

一是短信發(fā)送時間可疑，非工作時間內(nèi)發(fā)送社保繳納通知是不正常的，連發(fā)兩條也是不正常的，那突破點就是它了，社保系統(tǒng)里肯定是有身份證信息。

打開四川省人社廳的網(wǎng)站，看到一個四川人社的APP下載二維碼，下載打開APP的瞬間就明白了， “快捷登錄”、“短信驗證碼”、“電子社保卡” ?這幾個關鍵字明晃晃的扎我眼。

發(fā)送短信驗證碼，登錄進去。點開 “電子社保卡”，發(fā)現(xiàn)需要社保密碼，繼續(xù)忘記社保密碼，短信驗證碼重置社保密碼，這一切剛好是兩條12333的短信驗證碼，隨后展示在眼前的內(nèi)容，直接解釋了上面三條疑惑。

身份證信息、證件照片、社保金融卡的銀行卡信息，有了這些東西，干啥都一路暢通了。

再返回去之前的支付寶綁卡流程，“無需手動輸入卡號，快速綁卡”，幾年沒用綁卡功能，現(xiàn)在都這么高端了。

選一家銀行點進去后，該銀行下我的所有銀行卡列表直接出來了，選上信用卡，綁卡。CVV 、有效期 這些都是浮云，人家就一個簡單的短信驗證碼驗證，這樣的話通過支付寶查看你所有銀行卡的卡號就簡單了。

最后我們再來總結(jié)分析一波，這條黑產(chǎn)鏈的全貌如下：

1. 一線扒手特定時間選定目標：年輕人、移動支付頻率高，在對方注意力分散的情況下出手，運營商營業(yè)廳下班后，失主沒法當晚立即補卡，給團隊預留了一晚上的作案時間；
2. 拿到手機后迅速送到團隊窩點，迅速完成身份證信息獲取、電信服務密碼、手機廠商服務登錄密碼修改，一下子讓受害者陷入被動；
3. 獲取所有銀行卡信息，使用技術(shù)手段繞過活體人臉識別驗證，在各個平臺上創(chuàng)建新賬號，綁定受害者銀行卡。
4. 選好幾家風控不嚴的支付公司，開始申請在線貸款，貸款到賬后通過虛擬卡充值、購買虛擬卡以及銀聯(lián)轉(zhuǎn)賬，將錢轉(zhuǎn)走。
5. 保留新建的支付賬號權(quán)限， 如果未被發(fā)現(xiàn)，后期還可以繼續(xù)竊取資金。

在這一系列過程中，對方有幾點還是讓我比較服的：

1. 全程用的都是正常的業(yè)務操作，只是把各個機構(gòu)的“弱驗證”的相關業(yè)務鏈接起來，形成巨大的破壞；
2. 應該是使用了技術(shù)手段通過的人臉驗證，用圖片處理技術(shù)來繞過活體人臉識別驗證；
3. 團隊分工協(xié)作能力太強，在處理過程中我感覺自己已經(jīng)用了最快的速度，但總還是晚一步；
4. 注重隱蔽，留好后路，包括刪掉我云閃付上的一些卡來防止我查明細，通過新建賬號的方式，如果我沒發(fā)現(xiàn)，貿(mào)然去解凍銀行卡，后續(xù)還有第二波的攻擊；包括趕在我補卡后改服務密碼前，設置了呼叫轉(zhuǎn)移。

分析完犯罪分子，再來看下整個過程中參與的機構(gòu)都有什么“問題”，實際上這個環(huán)節(jié)里的每一個點，放在對應的業(yè)務節(jié)點里都不是什么大問題，但手機丟失后，把所有這些點串起來，問題就大了：?

1、四川電信 ：我認為整個過程責任最大的就是它了，這掛失、解掛的風騷業(yè)務規(guī)則簡直讓我無語，既然都掛失了，不應該考慮到手機已經(jīng)不在失主身上了，解掛不應該有個時間限制或者要求營業(yè)廳辦理么？就算前面的過錯無視了，同一個手機號碼在深夜來來回回掛失解掛幾十次，包括機主幾次在電話中告知話務員自己正在遭受銀行卡盜刷犯罪，要求停止解掛行為，話務員還是拿著業(yè)務話術(shù)來敷衍客戶“對不起，我們的掛失解掛有固定的業(yè)務流程，只要對方能提供服務密碼，正常就是可以解掛的”。我們?nèi)胰司瓦@樣抱著電話陪犯罪分子熬了一夜，到最后還是造成了經(jīng)濟損失。對于四川電信，后續(xù)該投訴投訴。

2、四川人社 ：它所起到的作用，大家也都看得懂。兩條短信驗證碼，關鍵的資料全泄露出去了，

但我不好說他有什么罪，畢竟他們本身也不是金融機構(gòu)， 對個人信息的保護要做成什么樣也沒個標準。

但這個事情沒那么簡單，把四川人社換成XX人社或者四川XX，也可能是一樣的結(jié)果，這個黑產(chǎn)鏈設計的時候身份證號碼的獲取途徑可以是多處的，至少我隨便在網(wǎng)上下載幾個地方社保APP，都能找到和四川人社一樣登錄和密碼找回使用手機短信驗證的。??

3. 華為 ：其實把華為換成小米，結(jié)果也是一樣。我只能說密碼找回這個業(yè)務的驗證太簡單了，

還有就是網(wǎng)上說的用emui 5.0的手機，可以遠程解鎖屏幕鎖屏密碼，這個我沒驗證過， 但從我支付寶被擠下線時提示對方使用的手機型號來判斷，大概率是可以的。

4. 支付寶：先不說為啥同一個身份信息，可以注冊兩個賬號，你的快捷綁卡，是加快了綁卡的便捷性， 但考慮過安全性么？當然，支付寶的風控是強，確實識別到了異常交易，也追回了資金。

但實名認證的人臉識別被繞過，也是事實。

5. 美團：你要發(fā)展業(yè)務，放寬貸款限制，這我不關心，但你能否做好該有的貸款審批風險控制，凌晨4點的貸款行為，這正常么？

6. 蘇寧金融：所有參與這個過程的支付機構(gòu)中態(tài)度最惡劣的一家，出現(xiàn)案件，接到用戶報案后第一時間想到的是推卸責任。“報案了么？如果警方有需要，我們會做好配合工作！哦你的經(jīng)濟損失啊，那只能你自己承擔了”，中間來過兩次電話，基本腔調(diào)就是這樣。同樣是支付公司， 支付寶的風控能識別異常盜刷，蘇寧金融就一點察覺都沒有，一個新注冊的賬號，凌晨三四點綁卡，然后購買各種虛擬卡、充值話費這些不容易被追查的商品，這不算高風險異常行為么？

7. 銀聯(lián)云閃付: 和其他支付公司一樣， 都存在綁卡驗證不嚴的問題。但是，人家態(tài)度是好的啊，凌晨3、4點，客服人員都能用極好的態(tài)度和我們溝通，讓我們放寬心。第二天有專員聯(lián)系我們，告訴我們昨晚報的損失少報了，他們查出來我們還有其他損失，并給了詳細的指引告訴我們怎么去申請理賠，第二天他們內(nèi)部調(diào)查有新的進展也都第一時間聯(lián)系并告知我們。

8. 財付通：人工客服太難找了，不過風控也還是有效的，這兩天在沒有通知我們的情況下，陸陸續(xù)續(xù)追回了幾筆交易金額。

9. 京東：不想說了，反正就是“交易已經(jīng)發(fā)生了，損失你自己承擔”，但還好就一筆100元的游戲充值卡。

10. 百度：對方剛好操作到它的時候短信功能已經(jīng)被我關了，對方也只是綁定了銀行卡，還沒來得及消費，就不用找它理論了。

多數(shù)支付機構(gòu)基本都有一個現(xiàn)象：

• 允許用不同的手機號碼注冊相同實名認證的支付賬號，

• 允許兩個賬號綁定相同的銀行卡，

• 實名認證有人臉活體識別技術(shù)的都被繞過了。

支付機構(gòu)都在推“快捷綁卡”，是快捷了，點幾下鼠標就綁卡了。除了短信驗證碼，支付寶的快捷綁卡還驗證了下支付密碼，但好像意義也不大，比如我這種情況，支付賬號都是別人用我的信息新建的，支付密碼也是他設置的。

說完他們，最后再來說說咱們吧。

通過這幾天的經(jīng)歷，不管中間情節(jié)有多少起伏，我作為一個有10多年信息安全從業(yè)經(jīng)驗的老駱駝，都要被折騰成這樣，我實在是不想讓大家有跟我相同的經(jīng)歷。提個我認為我們個人能做的最簡單最有效的防護措施：

給自己的手機卡上個密碼，給手機設置個屏幕鎖。這樣手機丟了也不用擔心別人拔下卡插其他手機里繼續(xù)使用。

以華為手機為例：設置-安全-更多安全設置-加密和憑據(jù)-設置卡鎖 ， 選定手機卡，啟用密碼（此時使用的為默認密碼1234或者0000），再選擇修改密碼，輸入原密碼1234，再輸入兩次新密碼，完成sim卡的密碼設置。

同時，如果有遇到和我一樣情況的，除了凍結(jié)所有銀行卡后，還需要把銀行卡的預留手機號碼全換掉，同時可以通過登陸網(wǎng)銀或者手機銀行，用快捷支付管理功能，查看都綁了那些支付公司，然后可以嘗試用自己的手機號碼去登陸那些APP，有可能還會有意外收獲，萬一支付公司不給理賠，還能自己追回一點。比如我就在對方注冊的蘇寧賬號上找到還沒來得及消費的購物卡。??

然后這個事情是不是就這樣結(jié)束了？也不一定哈，9月5日我們補辦完手機卡時我就和我老婆說了，后面這段時間內(nèi)要小心陌生的電話和短信、微信。對方快吃進嘴的肉被硬扯下去一大塊，手里又有你的一些信息，肯定不會甘心的，要小心后續(xù)的網(wǎng)絡釣魚、和電話詐騙。這兩天她手機就開始收到有可疑的短信了，什么套路也懶得去猜了，反正不理會就是了。

我所經(jīng)歷的這個案件，其實和前兩年新聞上報道過的錢包丟失，對方用偷到的身份證去營業(yè)廳補了卡，然后導致銀行賬戶損失其實是差不多的，目標都是手機卡。移動互聯(lián)網(wǎng)的發(fā)展給我們的生活帶來了巨大的改變，手機的地位也越來越高，希望大家吸取我的這次經(jīng)驗教訓，提前做好防范，出事別學我，第一時間掛失手機卡、所有銀行卡。

---

后續(xù)進展

---

9月9日——

在經(jīng)歷了與一個專業(yè)黑產(chǎn)團伙的幾天對抗之后，新建了這個微信公眾號，根據(jù)自己搜集整理分析的結(jié)果發(fā)表了《一部手機失竊而揭露的竊取個人信息實現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》一文，這篇文章發(fā)表后引起的轟動效果，完全超出了我的預期。不想原本只是寫給小區(qū)業(yè)主群的案件記錄分析結(jié)果一夜間成了網(wǎng)絡熱文，也答應過網(wǎng)友，事件有了新的進展就匯報給大家。

在今天下午，事件中涉及的幾家支付公司都積極聯(lián)系到我，美團的貸款記錄消除了，蘇寧金融把我們損失的幾千都賠付了。由于美團貸款的記錄消除，實際上還導致蘇寧金融賠付金融比他造成的損失多了300元，已經(jīng)聯(lián)系蘇寧金融進行退款。銀聯(lián)云閃付的賠付也已打電話通知取消。對于賠付金額，該還我們的一分都不能少，但多的我們也一分不多要。

發(fā)上一篇文章的時候，黑產(chǎn)團伙的很多操作步驟流程都是我根據(jù)自己所能搜集到的信息推論判斷出來的，文章的發(fā)表也引來了各方注意，提出了個別文章中推論出錯的地方。

例如人臉識別的繞過，支付寶在進行業(yè)務設計時，對在原手機上創(chuàng)建并登陸的子賬號，在實名認證時匹配身份信息的各項要素通過風控規(guī)則校驗與主賬號一致的情況下是不需要人臉驗證的，

這一點我們辦公室的多位工程師今天下午在對我的被盜刷事件進行技術(shù)復盤時也驗證確實是如此，人臉識別的繞過確實錯怪他們了，這也解釋得通為何犯罪分子需要解鎖偷到的手機進行支付寶的登錄，推測是為了不觸發(fā)支付寶的風控規(guī)則。

至于四川電信，今天也主動聯(lián)系到我老婆，對那晚的事件進行道歉，也解釋了說對方當時跟他們的客服說是男女朋友鬧矛盾，只能說犯罪分子很狡猾，但對于四川電信的遠程掛失和解掛的業(yè)務流程設計，站在安全的角度上考慮，我還是不能認可。中間有個小插曲，我為了調(diào)查案發(fā)時我的短信詳單中一條未知的短信記錄，再次撥打10000號說明了我的情況并根據(jù)短信源號碼要求查詢號碼的歸屬公司，客服拒絕了我。雖然未能查成，但說實話我反而是高興的，至少說明對客戶信息保密的業(yè)務原則還是有效的。

再說下盜取手機進而實現(xiàn)銀行卡盜刷這個案件，自從文章發(fā)布后，也有幾個網(wǎng)友在微信公眾號上留言，說自己經(jīng)歷過一模一樣的場景，只是受損金額都比較大，最嚴重的一位有68萬的線上貸款，目前還在索賠中。

在網(wǎng)上找類似案例的時候，發(fā)現(xiàn)2019年9月有一篇新聞——《憑SIM卡登陸各軟件！上海警方披露最新型盜刷手法》，大家有興趣可以搜一下，看新聞介紹的犯罪手法，基本上和我遇到的這個案件是一致的，只是獲取身份信息的途徑不一樣。

前面也提到，犯罪分子精心設計的這么一套犯罪腳本，在身份信息獲取這種比較容易的環(huán)節(jié)上，一定是會有備用方案的，目前據(jù)我所知的在獲得短信權(quán)限的情況下比較容易獲取的如各類連鎖酒店APP（如華住、錦江）、商旅訂票類（如去哪兒），這些包含身份證信息的APP和網(wǎng)站，對于身份證號碼信息的泄露風險并不是說不知道，只是在業(yè)務的“用戶體驗”面前，安全已經(jīng)不算個問題了，畢竟我這種案件的數(shù)量還是不多。以去哪兒為例，在常用旅客列表中，對身份證信息進行了屏蔽顯示，但點擊進入信息編輯界面時就明文展示了：

對敏感數(shù)據(jù)加個保護的實現(xiàn)技術(shù)有難度么？再看看攜程的處理方式：

我不知道在編輯界面明文展示身份證號碼能提升多少百分比的用戶使用體驗友好度，但安全性的差別就是0%和100%。

今天在朋友圈看到一篇文章《央行科技司司長李偉：金融科技發(fā)展應重視個人信息保護》，我的案子剛好與文章里提到的部分內(nèi)容應景。李司長在9月8日的發(fā)布會上提了三塊內(nèi)容：

• 一是重視個人信息保護，善用數(shù)據(jù)要素價值。
• 二是重視數(shù)字鴻溝問題，踐行數(shù)字普惠金融。
• 三是重視監(jiān)管科技應用，增強數(shù)字化監(jiān)管能力。

其中第三部分提到：部分機構(gòu)在利用技術(shù)創(chuàng)新業(yè)務模式、提升服務效率、改善用戶體驗的同時，一定程度上簡化了業(yè)務流程、削弱了風控強度、掩蓋了業(yè)務本質(zhì)，這給金融監(jiān)管提出新挑戰(zhàn)。

回看現(xiàn)在各大支付APP熱推的”快捷綁卡”業(yè)務，相比之前的銀行卡綁定流程，是簡單快捷了一些，但金融業(yè)務，是越簡單快捷越好么？昨天我的文章火了后，很多鄰居說忘記了自己在哪家銀行開過銀行卡，想找出來注銷掉，問有什么辦法。

最后再談下我上篇文章中提到的讓大家設置手機SIM卡密碼，主要有幾點考慮：?

• 手機鎖屏狀態(tài)下對方無法使用短信功能；
• 如果更換手機卡至新手機則需要輸入SIM卡密碼；
• 要解鎖SIM，需要從運營商獲取PUK碼；
• 要獲取PUK碼，需要提供身份信息進行驗證；
• 未解鎖手機的情況下加上SIM卡加鎖，對方無法知道你的手機號碼，這樣斷了獲取身份信息的路。

當然，這樣一個安全閉環(huán)里也還是有些風險，例如利用GSM中間人攻擊獲取到號碼，但這類一般人遇不到，對普通民眾來說可以不用考慮。第一時間掛失手機卡，這一點還是必要的行動，也希望運營商在我這個案件之后，會作出相應的改變。

俗話說“靠人人跑，靠樹樹倒”，還是靠自己靠譜些，按現(xiàn)在移動金融業(yè)務的發(fā)展趨勢，將來會面臨更加嚴峻的安全挑戰(zhàn)；而且金融業(yè)務用到的部分關鍵要素信息，如手機號碼、身份證號碼在常規(guī)移動互聯(lián)網(wǎng)業(yè)務中的交叉使用，數(shù)據(jù)泄露的風險將越來越大。雖然部分金融機構(gòu)都給出了被盜刷后的賠付承諾，案件發(fā)生在自己身上后你能否符合賠付的標準條件不好說，耗費大量時間精力在這件事上面，也是很心累的。

此外，上篇文章中我按我自己手機的操作流程步驟作為SIM卡設置密碼的例子，后來發(fā)現(xiàn)很多網(wǎng)友可能由于手機品牌型號差異導致操作失誤而鎖住SIM卡，對此給大家造成的不便給大家道個歉，考慮不周啊。大家還是在網(wǎng)上搜索自己的手機對應品牌的SIM卡密碼設置然后按照詳細教程一步一步操作，如遇到SIM卡密碼驗證失敗后出現(xiàn)PUK碼輸入要求，可聯(lián)系運營商獲取PUK碼。請一定小心謹慎，必要時可到運營商營業(yè)廳設置。

自己長期從事金融行業(yè)信息系統(tǒng)的安全漏洞檢測，也曾多次被自己發(fā)現(xiàn)的可直接影響賬戶資金安全的漏洞而震驚，但經(jīng)歷了這次盜刷事件之后我才發(fā)現(xiàn)，相比黑客利用各種高深的技術(shù)漏洞攻擊金融信息系統(tǒng)，更可怕的是這種把每一項看似沒問題的問題組合而成的犯罪，讓人防不勝防。也希望今后在工作之余，能有時間把自己在金融信息安全行業(yè)的專業(yè)知識，用大家都能看得懂的方式寫出來，提高大家的安全防范意識。