被盗刷贷款智能手机失窃后如何补救？如何给SIM卡上锁？

　　近日，一篇题为《一部手机失窃引发的惊心动魄的战争》的公众号文章引发极大关注。作者 ＂信息安全老骆驼＂有着 10 多年的信息安全从业经验，手机失窃后立即进行了一系列操作：电话挂失 SIM 卡，赎回全部理财，活期余额全部转至其他账户，联系多家银行冻结信用卡，把支付宝、微信上的资金转走，绑定的信用卡全删掉。
　　但作者仍然遭受了损失——＂美团被申请贷款，etc 信用卡有各种买卡、充值的记录几大千，银联转账记录几大千 ......＂作者后来还补充道，自从文章发布后，部分网友在公众号留言称有相同经历，损失最严重的一位有 68 万的线上贷款，目前还在索赔中。
　　网友看完纷纷表示 ＂恐怖，看完还是感觉防不胜防＂、＂作者是高手，要是我丢了，估计一分不剩了＂、＂网络安全存在的漏洞太大了＂。
　　在这起盗刷事件中，可以看出犯罪分子运用的技术手段并不高超，但非常巧妙。在窃取受害者手机后，利用了信息安全的 ＂薄弱点＂，将不同 App 包含的关键信息点串联起来，获取手机号码、身份证号、银行卡号，从而进行借贷、转账等操作，对用户财产造成巨大破坏 。盗刷是如何发生的？
　　随着移动互联网的发展，大多数手机用户都开通了微信支付、支付宝以及手机银行等服务，当金融工具与手机深度绑定，手机被盗意味着极大的财产损失风险。
　　搜狐科技查阅相关媒体报道发现，手机盗刷的类似案件层出不穷。比如据东方网报道，2019 年 4 月，上海黄浦警方接到报案，多名受害人手机在四川成都被盗后，信用卡在短时间内被盗刷。今年 10 月，楚天都市报报道称，有受害者手机遗失后，未解绑银行卡，被盗刷 4.4 万元。
　　盗刷蕴含着怎样的技术 ＂玄机＂？文章《一部手机失窃引发的惊心动魄的战争》中提到的犯罪步骤有：1. 获取身份信息修改了运营商服务密码；2. 短信验证码修改华为密码；3. 通过刷机或者抹掉数据的方式进入手机；4. 用掌握的身份信息注册支付平台新账号；5. 通过支付平台使用受害者原账号申请贷款；6. 通过线上、线下完成消费。
　　搜狐科技对文章提及的盗刷犯罪过程进行 ＂还原＂发现，犯罪分子采取的操作主要有获取短信验证码、身份证号、银行卡卡号三个步骤。
　　首先是获取手机及 SIM 卡，犯罪分子会选择营业厅下班后的时间点盗窃手机，失主没办法当晚立即补卡，犯罪分子通过短信验证码进行后续操作。
　　然后，获取身份证号码是第一道需要突破的关卡。犯罪分子通过刷机等方式破解手机密码后，用短信验证码登录飞猪、XX 人社等 App，查看身份证、手机号等信息。比如，通过短信验证码登录飞猪后，点击机票预订后，即可在乘机人信息中获取姓名、身份证号码、手机号码。
　　（飞猪可直接获取身份证号码、手机号码；制图：搜狐科技）
　　并且犯罪分子往往在拿到完整的身份证号后，会通过身份信息修改手机服务密码，取得 SIM 卡的控制权。
　　接下来的关键是获取银行卡卡号。搜狐科技测试发现，通过姓名、身份证号码、短信验证码，可重置招商银行 App 登录密码，重置登录密码后可以登录 App，再通过短信验证码可以查询完整的银行卡卡号。
　　（登录银行 App 查看完整卡号所需步骤；制图：搜狐科技）
　　当然，获取身份证号、银行卡卡号的方式各异，开篇提到的文章中，犯罪团伙利用四川人社 App 查询到了受害人的身份证号、银行卡号，也有报道称可以通过手机恢复软件和 ＂51 信用卡管家＂等养卡软件，或者伪装成持卡人拨打银行客服，以获取被害人完整的银行卡等信息。
　　最后，进行盗刷。首先，犯罪团伙可以直接登录支付宝、苏宁、美团等支付工具进行盗刷。而如果用户解绑手机号，在掌握身份证信息和银行卡信息的情况下，犯罪团伙也可以利用该手机号新建账号进行盗刷。这种方式非常隐蔽，受害人难以察觉银行卡究竟与哪些支付账号关联。
　　如果需要支付密码，犯罪团伙也可以通过已经掌握的信息进行修改。
　　（左为京东忘记支付密码需要的信息，右为支付宝修改支付密码需要的信息）
　　值得一提的是，盗刷的形式有很多，包括通过一切与支付相关的 App，进行贷款、转账、线上线下消费等操作。如何降低财产损失风险？
　　根据对犯罪团队的犯罪过程还原，我们可以发现，一旦用户的短信验证码、身份证号、银行卡账号被掌握，盗刷便可以轻而易举地发生了。
　　而用户遭遇盗刷后，后续的索赔以及维权也困难重重。据《深圳新闻网》报道，广东圣马律师事务所树宏玲律师表示，由于本人过错（未及时挂失）以及技术漏洞，手机用户没有索赔的空间，＂类似于银行卡盗刷案件，此类案件起诉银行，一般都是原告败诉。＂
　　所以，提前采取措施预防盗刷、手机失窃后进行及时有效的补救便显得尤为可贵。首先，一定要注意保管好手机，从源头上减少手机被盗的风险。而手机丢失后，受害者应在第一时间内挂失 SIM 卡。
　　并且，手机丢失后应及时冻结银行卡、各种支付工具，并更换银行卡的预留手机号码，同时应该通过登陆手机银行，用快捷支付管理功能，查看并解绑已经绑定的支付账号。
　　文章开头提及的作者 ＂信息安全老骆驼＂建议大家给 SIM 卡加密，并且为手机设置屏幕锁，确保手机锁屏状态下来短信无法看到短信验证码内容。＂在犯罪分子无法破解开屏密码时，这样操作就不必担心别人拔下卡插进其他手机里继续使用，因为解锁 SIM 需要从运营商获取 PUK 码，而想获取 PUK 码，需要提供身份信息进行验证。＂
　　SIM 卡密码如何设置？如果使用的是苹果手机，用户可以通过 ＂设置—蜂窝网络—蜂窝号码—打开 SIM 卡 PIN 码—输入初始的 PIN 码（一般为 1234 或 0000）＂进行设置，以此激活 SIM 卡的锁定功能，并在激活成功后将初始密码修改。
　　如果使用的是安卓手机，用户需要通过 ＂设置—更多设置—系统安全—SIM 卡锁定方式—锁定 SIM 卡—输入初始的 PIN 码（一般为 1234 或 0000）＂进行操作，以此激活 SIM 卡的锁定功能，并在激活成功后将初始密码修改。（不同机型的操作方法存在差异）
　　而除了用户，与用户身份证信息、支付信息相关的各大出行平台、支付平台、人社 App 等机构方也应该通过优化验证方式、完善风控体系，提高用户的财产安全。
　　快捷方便的 App 在无意中为盗刷提供了 ＂钥匙＂。还原犯罪分子的盗刷过程，也不见得技术手段有多高深，但他们正是利用了信息安全的 ＂薄弱点＂，将不同 App 包含的关键信息点串联起来，完成了对受害者的财产侵占。
　　具体来说，比如出行 App 等应该尽量不要明文展示身份证号码，搜狐科技发现在测试使用飞猪时，完整的身份证号、手机号、姓名会被轻易获取，而同程对身份证信息进行了屏蔽显示处理。
　　（同程旅客信息页面；制图：搜狐科技）
　　在招商银行 App 中，搜狐科技通过在飞猪上获取的姓名、身份证号，再加上短信验证码即可快速修改登录密码，完成银行 App 登录，查看完整的银行卡号也只需要短信验证码，整个操作过程并未触发人脸或指纹识别。
　　在《一部手机失窃引发的惊心动魄的战争》中，四川电信支持电话多次解挂，这导致受害者挂失、犯罪分子解挂的循环。而犯罪分子通过操作四川人社 App，只需要短信验证码即可获取受害者的完整身份证号、银行卡号。庆幸的是，文章发出后，四川电信修改了电话挂失、解挂的业务规则，四川人社 APP 进行了对应安全升级。
　　在知乎一篇名为《遭遇新型网络犯罪，一夜起来一无所有，还背负 68 万多的巨额负债》中，作者认为，＂犯罪份子固然可恨，但回想自己所经历的一切，贷款机构形似虚设的风控及贷款审批程序也难以撇清自己的责任。＂
　　央行科技司司长李伟也曾表示，金融机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时，一定程度上却简化了业务流程、削弱了风控强度、掩盖了业务本质。
　　要打赢 ＂财产安全保卫战＂，用户与机构都责无旁贷。