被盗刷、贷款：手机失窃后如何补救？如何给SIM卡上锁？

但作者仍然遭受了损失——“美团被申请贷款，etc信用卡有各种买卡、充值的记录几大千，银联转账记录几大千......”作者后来还补充道，自从文章发布后，部分网友在公众号留言称有相同经历，损失最严重的一位有68万的线上贷款，目前还在索赔中。

网友看完纷纷表示“恐怖，看完还是感觉防不胜防”、“作者是高手，要是我丢了，估计一分不剩了”、“网络安全存在的漏洞太大了”。

在这起盗刷事件中，可以看出犯罪分子运用的技术手段并不高超，但非常巧妙。在窃取受害者手机后，利用了信息安全的“薄弱点”，将不同App包含的关键信息点串联起来，获取手机号码、身份证号、银行卡号，从而进行借贷、转账等操作，对用户财产造成巨大破坏。

盗刷是如何发生的？

随着移动互联网的发展，大多数手机用户都开通了微信支付、支付宝以及手机银行等服务，当金融工具与手机深度绑定，手机被盗意味着极大的财产损失风险。

搜狐科技查阅相关媒体报道发现，手机盗刷的类似案件层出不穷。比如据东方网报道，2019年4月，上海黄浦警方接到报案，多名受害人手机在四川成都被盗后，信用卡在短时间内被盗刷。今年10月，楚天都市报报道称，有受害者手机遗失后，未解绑银行卡，被盗刷4.4万元。

盗刷蕴含着怎样的技术“玄机”？文章《一部手机失窃引发的惊心动魄的战争》中提到的犯罪步骤有：1.获取身份信息修改了运营商服务密码；2.短信验证码修改华为密码；3.通过刷机或者抹掉数据的方式进入手机；4.用掌握的身份信息注册支付平台新账号；5.通过支付平台使用受害者原账号申请贷款；6.通过线上、线下完成消费。

搜狐科技对文章提及的盗刷犯罪过程进行“还原”发现，犯罪分子采取的操作主要有获取短信验证码、身份证号、银行卡卡号三个步骤。

首先是获取手机及SIM卡，犯罪分子会选择营业厅下班后的时间点盗窃手机，失主没办法当晚立即补卡，犯罪分子通过短信验证码进行后续操作。

然后，获取身份证号码是第一道需要突破的关卡。犯罪分子通过刷机等方式破解手机密码后，用短信验证码登录飞猪、XX人社等App，查看身份证、手机号等信息。比如，通过短信验证码登录飞猪后，点击机票预订后，即可在乘机人信息中获取姓名、身份证号码、手机号码。

（飞猪可直接获取身份证号码、手机号码；制图：搜狐科技）

并且犯罪分子往往在拿到完整的身份证号后，会通过身份信息修改手机服务密码，取得SIM卡的控制权。

接下来的关键是获取银行卡卡号。搜狐科技测试发现，通过姓名、身份证号码、短信验证码，可重置招商银行App登录密码，重置登录密码后可以登录App，再通过短信验证码可以查询完整的银行卡卡号。

（登录银行App查看完整卡号所需步骤；制图：搜狐科技）

当然，获取身份证号、银行卡卡号的方式各异，开篇提到的文章中，犯罪团伙利用四川人社App查询到了受害人的身份证号、银行卡号，也有报道称可以通过手机恢复软件和“51信用卡管家”等养卡软件，或者伪装成持卡人拨打银行客服，以获取被害人完整的银行卡等信息。

最后，进行盗刷。首先，犯罪团伙可以直接登录支付宝、苏宁、美团等支付工具进行盗刷。而如果用户解绑手机号，在掌握身份证信息和银行卡信息的情况下，犯罪团伙也可以利用该手机号新建账号进行盗刷。这种方式非常隐蔽，受害人难以察觉银行卡究竟与哪些支付账号关联。

如果需要支付密码，犯罪团伙也可以通过已经掌握的信息进行修改。

（左为京东忘记支付密码需要的信息，右为支付宝修改支付密码需要的信息）

值得一提的是，盗刷的形式有很多，包括通过一切与支付相关的App，进行贷款、转账、线上线下消费等操作。

如何降低财产损失风险？

根据对犯罪团队的犯罪过程还原，我们可以发现，一旦用户的短信验证码、身份证号、银行卡账号被掌握，盗刷便可以轻而易举地发生了。

而用户遭遇盗刷后，后续的索赔以及维权也困难重重。据《深圳新闻网》报道，广东圣马律师事务所树宏玲律师表示，由于本人过错（未及时挂失）以及技术漏洞，手机用户没有索赔的空间，“类似于银行卡盗刷案件，此类案件起诉银行，一般都是原告败诉。”

所以，提前采取措施预防盗刷、手机失窃后进行及时有效的补救便显得尤为可贵。首先，一定要注意保管好手机，从源头上减少手机被盗的风险。而手机丢失后，受害者应在第一时间内挂失SIM卡。

并且，手机丢失后应及时冻结银行卡、各种支付工具，并更换银行卡的预留手机号码，同时应该通过登陆手机银行，用快捷支付管理功能，查看并解绑已经绑定的支付账号。

文章开头提及的作者“信息安全老骆驼”建议大家给SIM卡加密，并且为手机设置屏幕锁，确保手机锁屏状态下来短信无法看到短信验证码内容。“在犯罪分子无法破解开屏密码时，这样操作就不必担心别人拔下卡插进其他手机里继续使用，因为解锁SIM需要从运营商获取PUK码，而想获取PUK码，需要提供身份信息进行验证。”

SIM卡密码如何设置？如果使用的是苹果手机，用户可以通过“设置—蜂窝网络—蜂窝号码—打开SIM卡PIN码—输入初始的PIN码（一般为1234或0000）”进行设置，以此激活SIM卡的锁定功能，并在激活成功后将初始密码修改。

如果使用的是安卓手机，用户需要通过“设置—更多设置—系统安全—SIM卡锁定方式—锁定SIM卡—输入初始的PIN码（一般为1234或0000）“进行操作，以此激活SIM卡的锁定功能，并在激活成功后将初始密码修改。（不同机型的操作方法存在差异）

而除了用户，与用户身份证信息、支付信息相关的各大出行平台、支付平台、人社App等机构方也应该通过优化验证方式、完善风控体系，提高用户的财产安全。

快捷方便的App在无意中为盗刷提供了“钥匙”。还原犯罪分子的盗刷过程，也不见得技术手段有多高深，但他们正是利用了信息安全的“薄弱点”，将不同App包含的关键信息点串联起来，完成了对受害者的财产侵占。

具体来说，比如出行App等应该尽量不要明文展示身份证号码，搜狐科技发现在测试使用飞猪时，完整的身份证号、手机号、姓名会被轻易获取，而同程对身份证信息进行了屏蔽显示处理。

（同程旅客信息页面；制图：搜狐科技）

在招商银行App中，搜狐科技通过在飞猪上获取的姓名、身份证号，再加上短信验证码即可快速修改登录密码，完成银行App登录，查看完整的银行卡号也只需要短信验证码，整个操作过程并未触发人脸或指纹识别。

在《一部手机失窃引发的惊心动魄的战争》中，四川电信支持电话多次解挂，这导致受害者挂失、犯罪分子解挂的循环。而犯罪分子通过操作四川人社App，只需要短信验证码即可获取受害者的完整身份证号、银行卡号。庆幸的是，文章发出后，四川电信修改了电话挂失、解挂的业务规则，四川人社APP进行了对应安全升级。

在知乎一篇名为《遭遇新型网络犯罪，一夜起来一无所有，还背负68万多的巨额负债》中，作者认为，“犯罪份子固然可恨，但回想自己所经历的一切，贷款机构形似虚设的风控及贷款审批程序也难以撇清自己的责任。”

央行科技司司长李伟也曾表示，金融机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时，一定程度上却简化了业务流程、削弱了风控强度、掩盖了业务本质。

要打赢“财产安全保卫战”，用户与机构都责无旁贷。