移动支付大漏洞：手机一丢，倾家荡产！-技术圈

源 / TOP互联网文/ 互联网君

以前，手机丢了顶多损失一部手机钱；

现在，手机一丢，不仅倾家荡产，而且还有可能背负一身巨债。

对小偷来说，手机不再是目的，手机里的移动支付才价值连城。

教科书般洗劫存款，丢啥不能丢手机！

最近，一个叫“老骆驼”的信息安全专家手机被偷，揭开了移动支付的巨大漏洞！

短短一天，他的银行卡、信用卡、支付宝、微信支付、美团支付、苏宁金融……全部遭到破解，损失惨重。

你能想象吗？盗窃团伙的速度之快、手法之专业，就连安防专家都被摁在地上摩擦！

普通人，那就只能成为砧板上的鱼肉了。

我们赶紧来见识一下犯罪分子登峰造极的作案手法。

按理说，我们手机都有指纹解锁，移动支付更是密码重重，他们是怎样撬开这一扇扇安全门的呢？

进入正题！

第一，窃取手机号码

小偷只是盗窃团伙最基层的一环，他们偷到手机后会以迅雷不及掩耳的速度转移给总部的技术专家。

这是因为失主一般不会立即挂失手机号，而是会先打电话给被盗手机，试图挽救。

盗窃团伙就是利用这个稍纵即逝的空档，第一时间把手机卡拔出来插到自己手机上，随便打个电话发个短信，就窃取到了失主的手机号码。

这是成功的第一步。

第二，套取失主全部身份信息

仅仅拿到手机卡，并不能直接打开移动支付里的钱包。

而且，万一失主挂失手机号，岂不是竹篮打水一场空？

所以，失主的身份证信息就成了关键的第二步。

怎么操作呢？

犯罪分子充分证明了他们的专业能力。

他们打开社保局的APP，点击忘记密码，选择短信验证码登陆，这就打开了失主的电子社保卡账户。

账户里面，身份证号码、社保金融卡等银行卡信息一应俱全。

手机号+身份证信息在手，从此一路绿灯。

第三，反挂失

失主“老骆驼”意识到手机被偷后，很快就挂失了手机号码，并开始了一系列挽救措施，比如：

把手机银行里活期余额全部转出来，联系多家银行冻结借记卡、信用卡，把支付宝、微信上的资金转走，绑定的信用卡全删掉……

但是，很快他就发现遇到高手了。

当天晚上，犯罪团伙偷偷把手机号解挂了。

在我们思维里，解挂需要本人拿着身份证去营业厅。

事实上，一个电话就能解决。

因为犯罪分子拿到手机号与身份证号后，随便编个“夫妻吵架”的理由，就能解除挂失状态。

这说明犯罪分子在作案前，已经把电信业务流程摸得一清二楚。

第四，解锁手机，登陆微信支付宝

我们上面说过，有了手机号+身份证信息就能一路绿灯，下一步就是解锁手机了。

犯罪团伙先打电话给移动运营商客服，修改服务密码，然后配合短信验证码，就能把手机厂商的密码改掉，最后解锁屏幕，进入手机。

很多人以为的钢铁防线，就这样被轻松突破。

打开手机后，他们就能登陆微信、支付宝，把失主挤下线。

第五，瞒天过海，成功套现

上面提到过，失主“老骆驼”是一位工作了十几年的安防专家，他第一时间把手机APP里面的钱转了出去，而且还解除了和银行卡的绑定。

但是，道高一尺魔高一丈，犯罪分子早已看穿了一切。

我们都知道，一个人可以有两个支付宝，犯罪分子正是抓住这一点，用失主的手机号和身份证注册了一个新支付宝。

支付宝要绑定银行卡或信用卡，此时失主已经冻结银行卡了，怎么办？

智者千虑，必有一失。

我们都有这样的经历，早年办了很多银行卡，有的丢了，有的找不到了，被遗忘的这些卡自然想不到去冻结。

另外，失主的信用卡绑定了ETC，如果冻结，高速都上不了，所以他保留了这张信用卡。

恰好，这两个漏洞全部被犯罪分子抓到了。

他们只需要手机号+身份证号码，在卡类管家等软件上一查，就能查到失主所有借记卡、信用卡账户。

他们用漏掉的信用卡绑定新注册的支付宝，设置一个连失主都不知道的支付密码，就能把你的卡刷爆。

当然，在“老骆驼”这起案件中，支付宝风控系统自动识别犯罪团伙异常操作，阻断了交易。

但是，第三方支付可不止支付宝一家，还有京东白条、美团支付、百度钱包、苏宁金融、360借条……几十家支付机构。

为了方便拉新，他们全部推出快速绑卡，只需一个身份证号+短信验证码，就能轻松绑定你的银行卡。

银行卡没钱没关系，网络借贷一大堆。

事实上，犯罪分子就是通过第三方APP绑卡，用失主名义申请贷款，再通过购买虚拟卡币和网络充值成功套现。

这意味着即使你把钱转出来了，但仍然逃不掉从天而降的债务。

新一轮财产安全隐患来了！

有个事实大家可能不知道，“老骆驼”只是偷窃手机、盗刷银行卡受害者中的冰山一角。

目前，全国手机网民接近10亿，丢失手机引发的盗刷现象正在成为新一轮的财产安全隐患。

2019年9月，上海破获全国首起偷窃手机盗刷银行卡大案，从此之后，这种新型犯罪正式浮出水面。

当时，警方突然接到多起信用卡被盗刷的报案，一查，原来所有受害者手机都曾在四川被偷过。

犯罪团伙偷盗手机后首先解锁，再利用SIM卡在携程上找到失主身份证和银行卡信息，然后用身份信息致电运营商更改手机服务密码，取得了手机控制权。

等到失主补办手机号后，才发现银行卡被洗劫一空。

对比“老骆驼”案，真的是一样的手法，一样的配方。

今年国庆节，广西一名男子手机被盗，半天时间12万不翼而飞。

犯罪分子用同样方法破解了他的手机密码和支付密码，然后在京东买了25台苹果和华为手机，全部使用极速达。

当警察赶到收货地址，早已人去楼空。

360有一份统计数据，仅在2020年上半年，360就接到1561起手机盗刷举报，人均损失超过10000元。

毫无疑问，在移动支付高度便利的当下，手机在成为财产柜的同时，也成为了犯罪分子最垂涎的肥肉。

复盘：10亿人的财产安全战争

犯罪团伙的专业手法让人细思恐极。

回过头，我们来复盘一下他们教科书般的手段：

首先，一线小偷蹲点，挑选特定人群盗取手机，转交技术专员。

他们选择营业厅下班后，失主无法补卡的空档期电话解挂手机号，这就给团队争取到了一整晚的作案时间。

其次，技术专员负责窃取身份证、银行卡，修改手机厂商密码，解锁失主手机，全面夺取主动权。

紧接着，他们进入手机，转走银行卡、微信、支付宝所有余额。

最后，如果手机里面没有钱，那就用失主身份注册网贷账号，绑定银行卡。

成功贷款后，他们或者通过购买虚拟卡币套现，或者直接走手机银行转账。

各位发现没有，在这个过程中，犯罪团伙并没有拿枪指着谁，他们全程使用的都是正常业务操作。

这说明了什么？

说明了手机支付、移动支付里面隐藏了巨大的漏洞，比如解锁屏幕、便捷绑卡、验证码登陆等等，这些极其重要的屏障和操作，只要手机一丢，立马全部沦陷。

这就抛给了规则制定者一个问题：

在设计移动支付时，到底是安全重要，还是便捷第一位？

对他们来说，这值得反思，再反思。

那普通人要注意什么呢？

第一，手机不仅要设屏保密码，而且还要设SIM卡密码，这样犯罪团伙就没办法把卡拔下来继续用了。

第二，手机被盗不要心存幻想——第一时间挂失手机卡。我们开头说过，手机丢了可以再买，但是身份信息泄露，全部家当裸奔。

第三，手机里面千万不要留身份证和银行卡照片。

第四，平时不用的银行卡尽量注销，冻结银行卡的时候，一定要全部冻结，不给犯罪分子留任何机会。

最后，希望国家相关部门赶紧完善手机支付的风控监管规则，这涉及到10亿人数以万亿的财产，绝不是开玩笑的！

移动支付大漏洞：手机一丢，倾家荡产！

欢迎小伙伴们转发、点赞、发表神评！