一部失窃手机引发的“战争”

在2020年年底，有这样一条新闻：“工信部于10月12日约谈了涉事电信企业相关负责人，要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节，强化安全防护，加强客服人员风险防范意识培训，警惕业务异常办理行为……”

这段话有点难懂，其实是工信部希望堵住一条黑色产业链。

这条产业链上的人可以算是2020年新一代团伙盗窃犯，他们根本不在乎现金和实物，只在意我们的SIM卡。只要搞到了SIM卡，就可以盗走所有的资产。即便你以最快的速度换掉SIM卡，冻结银行卡，也往往赶不上盗窃犯的速度，几十万元的资金在30分钟到2小时内就没有了。

这类案件办理难度极高。很多人中招后，经历长达半年之久的索赔，也只能追回部分资金。

直到有一天，盗窃团伙把一位资深渗透工程师的妻子的手机偷走了，这条黑色产业链才被完整曝光。你可以粗糙地把渗透工程师理解为黑客，他们的工作就是研究各类安全防控体系。

事件的经过是这样的：

晚上7：30，在小区门口水果店里妻子的华为手机被偷。回家发现后，她立刻给手机打了电话。电话接通了，但随后马上关机。然后，丈夫利用电脑登录华为手机账号，使用“查找我的手机”功能。这样做，一是可以看到手机关机前最后的地理位置；二是可以给手机发送锁定设备的命令。这样一来，当手机再次开机时就会被自动锁定，无法操作。

但是没想到，这个专业盗窃团伙的配合严丝合缝。他们从盗窃的时间点开始就做了精准规划，必须等营业厅下班后才行，所以晚上7：30很合适。我们之后再说为什么。

晚上8：50，盗窃犯把SIM卡放在其他手机里，通过发短信的方式获取了这个SIM卡的手机号。然后又登录社保官网，通过短信找回密码功能，获取了社保账户对应的身份证号和银行卡号。而短信功能、身份证号、银行卡号，是实现后续所有操作中最重要的三个信息。盗窃犯先用这些信息，修改了中国电信服务密码和华为账号的密码。然后把手机号和华为账号解绑，通过至今未知的方法绕过了手机的锁屏密码。机主发现“查找我的手机”功能没法登录后，意识到这不是普通的小偷，于是赶紧给10000（中国电信客户服务热线）打电话挂失手机号。但是在提示“请输入服务密码”时发现，原来的密码已经被人改了。于是，丈夫马上按流程报上身份证号和过去联系过的3个电话号码，这才挂失成功。

因为丈夫是渗透工程师，所以并没有止步于此。他警惕性很高，马上把支付宝、微信和所有银行卡的资金，全部转移到家人卡里；所有绑定的信用卡全部解绑并冻结。绝大部分人都不会做这些，以为挂失后就安全了。

晚上9：50，妻子给失窃的手机打电话，竟然拨通了，不过没人接。按理说，手机号挂失后不应该能拨通。妻子就打电话询问10000是怎么回事，对方回复说，一小时前执行的那次挂失确实成功了，但随后又解除了挂失。

原来，挂失和解挂的操作是一样的，只要知道手机卡对应的身份证号和三个曾经拨打过的号码就行。而手机就在盗窃犯那里，已经通过华为新账号解开了锁屏，于是通话记录就可以看到了。而他们又知道身份证号，所以无论机主如何挂失号码，总会在几分钟后被盗窃犯解除挂失。又因为这个时段营业厅不上班，总是不能拿到一张新的实体SIM卡，于是老SIM卡就总能在盗窃犯手里原地复活。

机主的丈夫发现对方不好对付。夜里00：30，支付宝提示“在其他设备上已登录”，他只能继续扩大防御范围，把所有带支付功能的App全部冻结，然后更换这些App绑定的手机号。

但他不知道，盗窃团伙在晚上10：00—12：00这两个小时里已经完成了大部分的操作。他们的方法非常独特，利用盗来的手机号在各个App上注册新用户，然后和他们分析出的那张银行卡绑定。

接下来，就是从夜里00：30到凌晨5：00，机主几十次挂失，盗窃犯又几十次解除挂失。到了凌晨5：00，机主发现网上营业厅还有一个功能——关闭短信业务，就抱着试一试的心态执行了关闭。这一点是盗窃犯没有想到的。因为关闭了短信业务，他们再也收不到验证码，于是犯罪行为停了下来。

早上9：00，营业厅一开门，夫妻俩就进去补办了SIM卡，然后清点损失。

在清点中发现，盗窃犯根本不对机主手机里那些App的账户下手，而是利用身份证号和银行卡号，在很多个App里注册新账户，然后用这些新账户，在花呗、京东白条、美团贷款等一切你知道和不知道的网贷平台申请贷款。有些贷款，批了以后直接转走，更多的是购买虚拟商品、充值卡、游戏装备，然后转走。因为机主夫妻俩防范及时，大平台的网贷只成功了一个。

幸好机主的丈夫是渗透工程师，把证据和线索保留得很完整，支付公司、网贷公司、金融平台都承担了相关的责任，赔偿了损失。

当这极为专业的盗窃操作第一次公布后，就出现了文章开头工信部的行动，目的是在刚刚几个薄弱点堵住漏洞。

建议我们给手机SIM卡加上密码，每次手机重启或SIM卡拔出来再插到其他手机上时，都需要输入密码。盗窃犯不把这一步搞定，后续的一切都不可操作。