一部手機失竊引發的“戰爭”

卓克

2020年年底，有這樣一條新聞，“工信部于10月12日約談了涉事電信企業相關負責人，要求三家基礎電信企業在服務密碼重置、解掛等涉及用戶身份的敏感環節，強化安全防護，加強客服人員風險防范意識培訓，警惕業務異常辦理行為……”

這段話有點難懂，其實是工信部希望堵住一條黑色產業鏈。

這條產業鏈上的人可以算是2020年新一代團伙盜竊犯，他們根本不在乎現金和實物，只在意我們的SIM卡。只要搞到了SIM卡，就可以盜走所有的資產。即便你以最快的速度換掉SIM卡，凍結銀行卡，也往往趕不上盜竊犯的速度，幾十萬的資金在30分鐘到2小時內就沒有了。

這類案件辦理難度極高。很多人中招后，經歷長達半年之久的索賠，也只能追回部分資金。

黑色產業鏈被曝光的經過

直到有一天，盜竊團伙把一位資深滲透工程師妻子的手機偷走了，這條黑色產業鏈才被完整曝光。你可以粗糙地把滲透工程師理解為黑客，他們的工作就是研究各類安全防控體系。

事件的經過是這樣的：

晚上7：30，在小區門口水果店里妻子的華為手機被偷。回家發現后，立刻給手機打了電話。電話接通了，但隨后馬上關機。然后，丈夫利用電腦登錄華為手機賬號，使用“查找我的手機”功能。這樣做，一是可以看到手機關機前最后的地理位置，二是可以給手機發送鎖定設備的命令。這樣一來，當手機再次開機時就會被自動鎖定，無法操作。

但是沒想到，這個專業盜竊團伙的配合嚴絲合縫。他們從盜竊的時間點開始就做了精準規劃，必須等營業廳下班后才行，所以晚上7：30很合適。我們之后再說為什么。

晚上8：50，盜竊犯把SIM卡放在其他手機里，通過發短信的方式獲取了這個SIM卡的手機號。然后又登錄社保官網，通過短信找回密碼功能，獲取了社保賬戶對應的身份證號和銀行卡號。而短信功能、身份證號、銀行卡號，是實現后續所有操作中最重要的三個信息。盜竊犯先用這些信息，修改了中國電信服務密碼和華為賬號的密碼。然后把手機號和華為賬號解綁，通過至今未知的方法繞過了手機的鎖屏密碼。

機主發現“查找我的手機”功能沒法登錄后，意識到這不是普通的小偷，于是趕緊給10000打電話掛失手機號。但是在提示“請輸入服務密碼”時發現，原來的密碼已經被人改了。于是，馬上按流程報上身份證號和過去聯系過的3個電話號碼，這才掛失成功。

因為丈夫是滲透工程師，所以并沒有止步于此。他警惕性很高，馬上把支付寶、微信和所有銀行卡的資金，全部轉移到家人卡里；所有綁定的信用卡全部解綁并凍結。絕大部分人都不會做這些，以為掛失后就安全了。

晚上9：50，妻子給失竊的手機打電話，竟然撥通了，不過沒人接。按說，手機號掛失后不應該能撥通。妻子就打電話詢問10000是怎么回事，對方回復說，一小時前執行的那次掛失確實成功了，但隨后又解除了掛失。

原來，掛失和解掛的操作是一樣的，只要知道手機卡的身份證號和三個曾經撥打過的號碼就行。而手機就在盜竊犯那里，已經通過華為新賬號解開了鎖屏，于是通話記錄就可以看到了。而他們又知道身份證號，所以無論機主如何掛失號碼，總會在幾分鐘后被盜竊犯解除掛失。又因為這個時段營業廳不上班，總是不能拿到一張新的實體SIM卡，于是老SIM卡就總能在盜竊犯手里原地復活。

機主的丈夫發現對方不好對付。夜里00：30，支付寶提示“在其他設備上已登錄”，他只能繼續擴大防御范圍，把所有帶支付功能的app全部凍結，然后更換這些app綁定的手機號。

但他不知道，盜竊團伙在晚上10：00?12：00這兩個小時里已經完成了大部分的操作。他們的方法非常獨特，利用盜來的手機號在各個app上注冊新用戶，然后和他們分析出的那張銀行卡綁定。

接下來，就是從夜里00：30到第二天05：00，機主幾十次掛失，盜竊犯又幾十次解除掛失。因為次數太多，客服還勸機主說：“你們自己的私事，不要再占用公共資源了。”客服之所以這么說，是因為盜竊犯撥打客服電話時說，他們是男女朋友吵架，女方要凍結男朋友的手機號。

到了05：00，機主發現網上營業廳還有一個功能——關閉短信業務，就抱著試一試的心態執行了關閉。這一點是盜竊犯沒有想到的。因為關閉了短信業務，他們再也收不到驗證碼，于是犯罪行為停了下來。

事故的真相

早上9：00，營業廳一開門，夫妻倆就進去補辦了SIM卡，然后清點損失。

在清點中發現，盜竊犯根本不對機主手機里那些app的賬戶下手，而是利用身份證和銀行卡，在很多個app里另外注冊新賬戶，然后用這些新賬戶，在花唄、京東白條、美團貸款等一切你知道和不知道的網貸平臺申請貸款。有些貸款，批了以后直接轉走，更多的是購買虛擬商品、充值卡、游戲裝備，然后轉走。因為機主夫妻倆防范及時，大平臺的網貸只成功了一個。

幸好機主丈夫是滲透工程師，把證據和線索保留得很完整，支付公司、網貸公司、金融平臺都承擔了相關的責任，賠償了損失。

如果是普通人想找回損失，那簡直太難了，一是很難封住資金外流的所有通道，二是很難說清到底損失了什么。因為那些消費都是用他們根本不知道的賬號操作的，只有等貸款逾期、追債的找上門來，才能意識到和幾個月前手機被偷有關。

如何守護網上資產安全

當這極為專業的盜竊操作第一次公布出來后，就出現了文章開頭工信部的行動，目的是在剛剛幾個薄弱點上堵住漏洞。

首先是各省的社保官網。它們會陸續把短信找回密碼登錄后，身份證號、銀行卡號全部數位可見改為部分字段可見。其次是電信部門對異常時段，比如，夜里2?3點，異常頻繁的掛失、解除掛失設置了限制。

最后，就是我們自己能加強的保護。有一招是絕妙的，那就是給手機SIM卡加上密碼。操作以后，每次手機重啟或SIM卡拔出來再插到其他手機上時，都需要輸入密碼。盜竊犯不把這一步搞定，后續的一切都不可操作。

如果他們用窮舉法硬來呢？不怕。SIM卡密碼如果連續輸入三次錯誤，就只能輸入PUK碼才能解鎖。你可能都忘了什么是PUK碼了。我們去營業廳辦卡時，SIM卡不都鑲嵌在一張更大的卡上嗎？PUK碼就在那張大卡片上寫著呢。當然，估計你已經找不到這張卡了，不過可以在網上營業廳或者線下營業廳查詢。

現在，就去設置SIM卡密碼吧。

（摘自“得到”app，小黑孩圖）