一篇名为《一部手机失窃引发的“战争”》的...
一篇名为《一部手机失窃引发的“战争”》的文章记载了这么一件事情:19:30,一位资深渗透工程师的妻子买水果时,华为手机被偷。打电话过去,先是接通了,但随后马上关机。工程师丈夫使用“查找我的手机”功能,给手机发送锁定设备的命令。一般这样操作,手机再开机就会被自动锁死。
但令人想不到的是,盗窃团伙魔高一丈,他们之所以选择晚上七点半作案,是因为这个时间营业厅已经下班。20:50,盗窃犯把SIM卡装进其他手机,通过发短信获得这张卡的手机号。然后登录社保官网,通过短信找回密码,获取了社保账户对应的身份证号和银行卡号。
短信功能、身份证号和银行卡号,获得最重要的三个信息后,盗窃犯修改了中国电信服务密码和华为账号密码,再将手机号和华为账号解绑,并通过至今未知的方法,绕过了华为手机的锁屏密码。
机主没有坐以待毙,因为丈夫是渗透工程师,警惕性很高,马上转移了银行卡、支付宝、微信所有资金,解绑所有的信用卡,再将这些卡冻结。
最后,他打10000挂失手机号,虽然原来的密码已经被修改,但按照流程宝生身份证号和过去联系过的3个电话号码,挂失成功。
然而,事情远没有结束。21:50,妻子给挂失的号码再打过去,竟然还能拨通。10000答复说,一小时前执行的那次挂失确实成功了,但后来又有人解除了。
原来,挂失和解挂的操作是一样的,只要知道手机卡的身份证号和三个曾经拨打过的号码就行。盗窃犯捏着这些信息,无论机主如何挂失号码,他都能在几分钟后解挂。并且,这个时间段营业厅不上班,机主无法办理新的SIM卡,使得老卡彻底失效。
接下来的后半夜,盗窃犯开始表现真正的技术:机主几十次挂失,他们几十次解挂。因为次数太多,客服还劝说“你们自己的私事,不要占用公共资源”。客服这么说,是因为盗窃犯冒充是机主的男朋友,说是双方吵架,女方要冻结男朋友的手机号。
等到5:00,机主发现网上营业厅还有一个功能——关闭短信业务,就抱着试一试的心态执行了关闭。这是盗窃犯没有预料到的,他们再也收不到验证码,犯罪行为终于消停。
早上9:00,营业厅一开门,夫妻俩就补办了SIM卡,清点损失。幸好工程师丈夫提前转移了资金,除了支付宝绑定的手机号被动,以及又注册了一个同样身份信息的小号之外,没有其他异常。
这件事虽然惊无险,但背后的盗窃手法让人细思极恐:
犯罪团伙偷手机,目标根本不是手机里的APP账户,而是SIM卡。拿到SIM卡,搞到身份证和银行卡信息,收着短信,就可以为所欲为地以机主的身份,在花呗、京东白条、美团贷款等一切网贷平台申请贷款,钱到手后立马转移。
这件事后来惊动了工信部,就此事约谈了涉事电信企业负责人,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,要强化安全防护,警惕业务异常办理行为。
网上有个段子,嘲笑穷人没钱,说他们“用六位数的密码,保护两位数的存款”。
面对这种犯罪手法,这个段子就显得没那么幽默了。