近日，一篇題為《一部手機失竊引發的驚心動魄的戰爭》的公眾號文章引發極大關注。作者“信息安全老駱駝”有著10多年的信息安全從業經驗，手機失竊後立即進行了一系列操作：電話掛失SIM卡，贖回全部理財，活期餘額全部轉至其他賬戶，聯繫多家銀行凍結信用卡，把支付寶、微信上的資金轉走，綁定的信用卡全刪掉。

但作者仍然遭受了損失——“美團被申請貸款，etc信用卡有各種買卡、充值的記錄幾大千，銀聯轉賬記錄幾大千……”作者後來還補充道，自從文章發布後，部分網友在公眾號留言稱有相同經歷，損失最嚴重的一位有68萬的線上貸款，目前還在索賠中。

網友看完紛紛表示“恐怖，看完還是感覺防不勝防”、“作者是高手，要是我丟了，估計一分不剩了”、“網絡安全存在的漏洞太大了”。

在這起盜刷事件中，可以看出犯罪分子運用的技術手段並不高超，但非常巧妙。在竊取受害者手機後，利用了信息安全的“薄弱點”，將不同App包含的關鍵信息點串聯起來，獲取手機號碼、身份證號、銀行卡號，從而進行借貸、轉賬等操作，對用戶財產造成巨大破壞。

盜刷是如何發生的？

隨著移動互聯網的發展，大多數手機用戶都開通了微信支付、支付寶以及手機銀行等服務，當金融工具與手機深度綁定，手機被盜意味著極大的財產損失風險。

搜狐科技查閱相關媒體報導發現，手機盜刷的類似案件層出不窮。比如據東方網報導，2019年4月，上海黃浦警方接到報案，多名受害人手機在四川成都被盜後，信用卡在短時間內被盜刷。今年10月，楚天都市報報導稱，有受害者手機遺失後，未解綁銀行卡，被盜刷4.4萬元。

盜刷蘊含著怎樣的技術“玄機”？文章《一部手機失竊引發的驚心動魄的戰爭》中提到的犯罪步驟有：1.獲取身份信息修改了運營商服務密碼；2.短信驗證碼修改華為密碼；3.通過刷機或者抹掉數據的方式進入手機；4.用掌握的身份信息註冊支付平台新賬號；5.通過支付平台使用受害者原賬號申請貸款；6.通過線上、線下完成消費。

搜狐科技對文章提及的盜刷犯罪過程進行“還原”發現，犯罪分子採取的操作主要有獲取短信驗證碼、身份證號、銀行卡卡號三個步驟。

首先是獲取手機及SIM卡，犯罪分子會選擇營業廳下班後的時間點盜竊手機，失主沒辦法當晚立即補卡，犯罪分子通過短信驗證碼進行後續操作。

然後，獲取身份證號碼是第一道需要突破的關卡。犯罪分子通過刷機等方式破解手機密碼後，用短信驗證碼登錄飛豬、XX人社等App，查看身份證、手機號等信息。比如，通過短信驗證碼登錄飛豬後，點擊機票預訂後，即可在乘機人信息中獲取姓名、身份證號碼、手機號碼。

（飛豬可直接獲取身份證號碼、手機號碼；製圖：搜狐科技）

並且犯罪分子往往在拿到完整的身份證號後，會通過身份信息修改手機服務密碼，取得SIM卡的控制權。

接下來的關鍵是獲取銀行卡卡號。搜狐科技測試發現，通過姓名、身份證號碼、短信驗證碼，可重置招商銀行App登錄密碼，重置登錄密碼後可以登錄App，再通過短信驗證碼可以查詢完整的銀行卡卡號。

（登錄銀行App查看完整卡號所需步驟；製圖：搜狐科技）

當然，獲取身份證號、銀行卡卡號的方式各異，開篇提到的文章中，犯罪團伙利用四川人社App查詢到了受害人的身份證號、銀行卡號，也有報導稱可以通過手機恢復軟件和“51信用卡管家”等養卡軟件，或者偽裝成持卡人撥打銀行客服，以獲取被害人完整的銀行卡等信息。

最後，進行盜刷。首先，犯罪團伙可以直接登錄支付寶、蘇寧、美團等支付工具進行盜刷。而如果用戶解綁手機號，在掌握身份證信息和銀行卡信息的情況下，犯罪團伙也可以利用該手機號新建賬號進行盜刷。這種方式非常隱蔽，受害人難以察覺銀行卡究竟與哪些支付賬號關聯。

如果需要支付密碼，犯罪團伙也可以通過已經掌握的信息進行修改。

（左為京東忘記支付密碼需要的信息，右為支付寶修改支付密碼需要的信息）

值得一提的是，盜刷的形式有很多，包括通過一切與支付相關的App，進行貸款、轉賬、線上線下消費等操作。

如何降低財產損失風險？

根據對犯罪團隊的犯罪過程還原，我們可以發現，一旦用戶的短信驗證碼、身份證號、銀行卡賬號被掌握，盜刷便可以輕而易舉地發生了。

而用戶遭遇盜刷後，後續的索賠以及維權也困難重重。據《深圳新聞網》報導，廣東聖馬律師事務所樹宏玲律師表示，由於本人過錯（未及時掛失）以及技術漏洞，手機用戶沒有索賠的空間，“類似於銀行卡盜刷案件，此類案件起訴銀行，一般都是原告敗訴。”

所以，提前採取措施預防盜刷、手機失竊後進行及時有效的補救便顯得尤為可貴。首先，一定要注意保管好手機，從源頭上減少手機被盜的風險。而手機丟失後，受害者應在第一時間內掛失SIM卡。

並且，手機丟失後應及時凍結銀行卡、各種支付工具，並更換銀行卡的預留手機號碼，同時應該通過登陸手機銀行，用快捷支付管理功能，查看並解綁已經綁定的支付賬號。

文章開頭提及的作者“信息安全老駱駝”建議大家給SIM卡加密，並且為手機設置屏幕鎖，確保手機鎖屏狀態下來短信無法看到短信驗證碼內容。“在犯罪分子無法破解開屏密碼時，這樣操作就不必擔心別人拔下卡插進其他手機裡繼續使用，因為解鎖SIM需要從運營商獲取PUK碼，而想獲取PUK碼，需要提供身份信息進行驗證。”

SIM卡密碼如何設置？如果使用的是蘋果手機，用戶可以通過“設置—蜂窩網絡—蜂窩號碼—打開SIM卡PIN碼—輸入初始的PIN碼（一般為1234或0000）”進行設置，以此激活SIM卡的鎖定功能，並在激活成功後將初始密碼修改。

如果使用的是安卓手機，用戶需要通過“設置—更多設置—系統安全—SIM卡鎖定方式—鎖定SIM卡—輸入初始的PIN碼（一般為1234或0000）“進行操作，以此激活SIM卡的鎖定功能，並在激活成功後將初始密碼修改。（不同機型的操作方法存在差異）

而除了用戶，與用戶身份證信息、支付信息相關的各大出行平台、支付平台、人社App等機構方也應該通過優化驗證方式、完善風控體系，提高用戶的財產安全。

快捷方便的App在無意中為盜刷提供了“鑰匙”。還原犯罪分子的盜刷過程，也不見得技術手段有多高深，但他們正是利用了信息安全的“薄弱點”，將不同App包含的關鍵信息點串聯起來，完成了對受害者的財產侵占。

具體來說，比如出行App等應該盡量不要明文展示身份證號碼，搜狐科技發現在測試使用飛豬時，完整的身份證號、手機號、姓名會被輕易獲取，而同程對身份證信息進行了屏蔽顯示處理。

（同程旅客信息頁面；製圖：搜狐科技）

在招商銀行App中，搜狐科技通過在飛豬上獲取的姓名、身份證號，再加上短信驗證碼即可快速修改登錄密碼，完成銀行App登錄，查看完整的銀行卡號也只需要短信驗證碼，整個操作過程並未觸發人臉或指紋識別。

在《一部手機失竊引發的驚心動魄的戰爭》中，四川電信支持電話多次解掛，這導致受害者掛失、犯罪分子解掛的循環。而犯罪分子通過操作四川人社App，只需要短信驗證碼即可獲取受害者的完整身份證號、銀行卡號。慶幸的是，文章發出後，四川電信修改了電話掛失、解掛的業務規則，四川人社APP進行了對應安全升級。

在知乎一篇名為《遭遇新型網絡犯罪，一夜起來一無所有，還背負68萬多的巨額負債》中，作者認為，“犯罪份子固然可恨，但回想自己所經歷的一切，貸款機構形似虛設的風控及貸款審批程序也難以撇清自己的責任。”

央行科技司司長李偉也曾表示，金融機構在利用技術創新業務模式、提升服務效率、改善用戶體驗的同時，一定程度上卻簡化了業務流程、削弱了風控強度、掩蓋了業務本質。

要打贏“財產安全保衛戰”，用戶與機構都責無旁貸。