9 月 4 日

7:30：我正带大孩子去理发店理发，老婆过来告诉我，她蹲在小区门口带老二买水果的时候，手机从婴儿车包里被偷了。此时看到P40 pro上市了，一年一度的换机季又到了。我说丢了之后用别的手机打电话，结果对方接通后就关机了。不知道当时我在想什么，想着或许还有机会找回来，没有第一时间挂失SIM卡，设置了华为手机找回的在线通知（这个优柔寡断的决定，导致了后来的悲剧）。

8:51，对方拿出卡插到另一部手机上开机，之后通过查看通话和短信信息，发现短短一个多小时，对方就从高新区直奔成华区，以成都周五上下班的路况来看，这已经算是极端了。

9:24：家人发现被盗手机可以打电话，但我这边的“找回手机”却显示不在线。然而没过两分钟，我的手机就收到提示，手机在成华区在线。我立刻查看找回手机界面，发现设备已解绑。我突然有种不祥的预感，一般小偷不会这么迅速、这么熟练地做这件事。

我立即拨打电话办理手机卡挂失，但此时电信服务密码错误。我核实了身份证号码，提供了上个月联系过的三个挂失电话号码。我开始采取应急措施，登录手机银行立即赎回所有可以赎回的理财产品，将活期余额全部转入账户，联系多家银行冻结信用卡，从支付宝、微信转出资金，删除所有绑定的信用卡。考虑到部分储蓄卡余额为0，对方又不知道我的卡号，所以我没有挂失。

9：48：家人说电话还能拨，我马上打电话问为什么还能拨，对方回复说卡没问题，继续挂失。

9:55：感觉不对劲，又打电话问为什么上次举报失败，回复说第一次举报成功了，但是后来被取消了。

我第一次知道这种操作，就是电话取消挂失。常识告诉我，挂失后，包括后来报案时，都要拿着身份证去营业厅取消挂失。警察听说挂失后可以电话取消挂失，也很惊讶。

但明显对方是有备而来，事后分析认为，连偷手机的时间都是事先定好的，对方对电信业务流程掌握得非常清楚，这也让我后续的补救措施非常被动。

我按照云闪付上的绑定卡信息继续给银行打电话，把储蓄卡一张张冻结，由于建行ETC信用卡已经解绑，第二天还要上高速，所以就没管了。

这期间，我还漏掉了老婆十多年前开的一张建行卡和一张工行卡，这又是一个地雷。

00:23：支付宝、微信相继被发现离线，重要的是登录的设备与丢失的手机是同一型号！完蛋了，遇到高人了，华为锁屏密码被解开了。

我立刻申请冻结（后来发现已经晚了，对方操作很快，而且此时支付宝手机号已经更换，我怀疑是多人同时操作）。同时申请冻结微信，并立刻登录京东、苏宁、国美等常用APP，并更换关联手机号。没过多久，手机收到京东发来的短信验证码，我感觉下面的APP应该可以救回来了（我好自信，最后还是被打脸了），于是喘了口气，休息了。

分析完对方意图后，我想如果不能盗取所有银行卡和支付余额的钱，他可能会用我老婆的信息来申请贷款。但同时想到贷款只能存入自己的银行卡，如果想转出就需要银行卡密码（很长一段时间我的支付密码和银行卡密码是一样的，我甚至忘记了这两个密码不是一回事。后来追查发现对方用了一个变戏法，银行卡密码和支付密码根本影响不了对方），应该问题不大。另外，这期间忙着争夺中国电信手机卡“挂失”和“不挂”的岗位，又漏掉了一张成都银行社保金融卡。

那一晚，我挂失，对方解封，来来回回几十次。至于为什么坚持，我觉得虽然我保存了重要的应用程序和银行账户，但还是看不出对方想干什么。不过，既然对方这么坚持要解封我的 SIM 卡，肯定有紧急原因。抱着敌人想要的，我一定不能给的信念，我坚持了一整晚。

这期间我们很被动，因为不知道他什么时候给我们解绑，只能躺在床上不停地给被盗的手机打电话，等电话接通了再打电话挂失。

我多次向客服反映手机被盗，不法分子正在解封SIM卡用于犯罪，要求他们通知领导，经批准后冻结SIM卡，以便第二天早上去营业厅换卡，但都被拒绝了。

因为我一个晚上办理了几十笔业务，客服还跟我说“这是你自己的私事，不要占用公共资源”。不知道他们是怎么忽悠客服的。我问还有其他方式可以自行挂失吗，答案是没有。我只能继续坚持。最后不知道客服是不是受不了我们了，给我发短信说可以自行去网厅办理。我登录电信网厅，尝试用软件自动挂失，可惜网厅的一些安全限制，无法用软件实行自动挂失，只好继续手动操作。

5:00：我刚刚看到网上有关闭短信的服务，心想如果对方是高手，我关闭后他们可能马上就会发现。但也有可能对方只是流水线上的犯罪脚本操作员。我赌一把吧，反正我没损失，还给他们增加了激活短信的步骤。

（后来我查看短信详情的时候才发现，正是关闭短信功能的操作，才中断了他们后续的犯罪行为，否则损失会更加严重）

一直等到9月5日9点：开车送老婆去等营业厅开门，9点08分完成换卡，婆婆打来电话说老婆打通了，接电话的是个男的，我回答可能是营业厅的销售人员接的。几分钟后老婆办卡回来，我问婆婆打电话的事，她说没接电话，手机在她手里。我查了一下，没有通话记录，手机拨打电话正常，短信收发正常。我继续拨通电话，问手机是否开通了呼叫转移，得到确认回复，核实身份证后关闭服务。关闭前我向接线员要了转移的电话号码（准备提交，以防后面需要报警）。

我开始补仓，查看亏损情况。找回支付宝、微信、银联，发现除了支付宝手机号，其他都没在意，因为账户本身被冻结了。银联管理的银行卡交易记录基本没啥异常，除了一张工行卡多出了280元（奇怪吧？），看到是从钱袋宝转过来的，我觉得奇怪，就下载了一个APP用手机号登录钱袋宝：APP异常，登录不了，就暂时没在意。

和朋友约好去峨眉山泡温泉，喝了一瓶乐虎、一瓶红牛、一瓶咖啡，就出发去峨眉山了。一路上，我不断查看各种支付账户，似乎没有什么异常。下午到达峨眉山，在温泉池里休息恢复体力，打算晚上去电信营业厅查一下明细账单，看看对方到底做了什么。

晚上查看账单明细前，老婆登录支付宝，习惯性地输入手机号，发现密码错误，赶紧用手机找回，突然想起来支付宝账号不是手机号，发现是对方新开的支付宝账号，还绑定了我们忘记的建行卡，还有一张建行ETC信用卡（ETC办下来后就一直搁在抽屉里积灰）。账单里还有充值消费记录，还有被支付宝风控屏蔽后的充值返还记录。这时我们才发现，原来绑定云闪付的信用卡已经被对方从云闪付中解绑了，所以我们才没有察觉到异常。

我登录建行网银，发现9月5日凌晨4点左右有5000元转账到美团，吓了我一跳，再看看ETC信用卡，各种买卡充值记录，几千元银联转账记录，最坏的情况发生了。

我下载了短信和通话记录，开始分析通话和短信记录，一条一条地查看，基本上都是各家银行和银联打来的，短信记录里能找到的源号码有社保局、华为、腾讯、银联、百思买、微信、支付宝，其他106开头的服务号不知道是哪个机构的，所以分析不出结果。

两人开始回忆从头到尾的细节，并开始逐一分析，一个资深渗透测试工程师的优势在这个时候就体现出来了。

这里有几件事不太合理：

我首先想到的可能是这个身份证号在社工库里被查到了，第二个根据百度的结果想到的是，用老版本的华为emui账号登录后，可以远程锁定手机，设置新密码，然后使用新密码解锁屏幕进入手机（这个操作没有实际验证过）。

这是一些没有意义的事情：

1.绑定支付卡需要完整的银行卡号，如何获取？一开始我想问银行客服，后来试了，不行；

但当我查看支付宝的银行卡管理功能时发现，如果我有支付密码，就可以使用支付宝内置的卡号查看功能获取完整的银行卡号，我已经很久没用过这个功能了。

但是有一点不太合理：

2、重置支付密码需要的条件（人脸、短信+密保问题、短信+银行卡信息、银行卡+密保问题）。如果没有照片，人脸应该是不行的，我们设置的密保问题基本都是猜不到的，那就只能短信+银行卡了。

（事实上​​最后我发现，对方可以使用面部验证、短信和银行卡验证，甚至自己新建了支付宝账户并设置了支付密码）。

那么剩下的步骤就比较清楚了。

剩下的就是苏宁金融的信用卡消费了。我至今都怀疑他们是怎么得到我的信用卡CVV的。我们很确定ETC信用卡从我申请到现在一直没离开过抽屉。从银行客服那里我能得到的最多信息就是信用卡有效期。

（后来我发现，现在的支付公司绑定信用卡都不核实有效期和CVV，都是直接用身份信息+卡号+预留手机号，有的甚至连预留手机号都不需要）。

理清了所有情况后，我准备联系各支付公司寻求解释，一轮下来，结果是：

我准备了一些材料，包括通话短信记录，银行账单，以及其他零散的信息，准备冲回去报警。毕竟事情发生在小区门口，而且是团伙作案，很有可能再次发生。我把事情整理了一下，发到了业主群里，让大家小心，提醒大家设置SIM卡密码。大家很震惊，但都对如何获取身份证号和银行卡号表示怀疑。其间，我的手机收到了几次财付通的支付验证码，但登录账户时，并没有发现有卡被绑定。疑惑就留到以后处理吧，反正没有验证码就无法支付。

等我理清思绪的时候已经凌晨四点多了，一大早我就赶往成都，路上银联联系了我们，要求我们报警后提交报案单等材料，好像要赔偿，美团也给我们打电话推卸责任，但还是要求我们提交证据。

派出所的警察听到我们的遭遇都惊讶不已，说从来没有遇到过这种手机被盗的情况，我应该是第一个报案的人。我老婆进去登记了，登记了好几个小时，她出来告诉我里面发生的事情后，警察叔叔们都说“这不可能”、“肯定是你手机里的银行卡信息被泄露了”、“你是不是把身份证照片放手机里了”，登记完后，他们让我们把银行对账单打印出来。我们去了好几家建行，都关门了，只能等到第二天才能拿到报案回执。

晚上，夫妻俩继续在电脑前回忆所有细节，回放整个过程，必要时用我的各种APP和账号来测试验证自己的分析和判断。虽然换了手机卡、冻结了银行卡、找回了有支付功能的软件、改了密码，但我还是觉得哪里不对劲。

突然，我又收到财付通的支付验证码请求，联系到之前的可疑点后，我搞清楚了，他用其他支付账户绑定了我们的银行卡，我用手机号登录苏宁时，发现登录的是别人新建的苏宁账户，支付宝也是新建的，至于他们新建的账户是怎么通过人脸识别实名认证的，这个以后再说。

这就意味着，除了这些应用之外，他们一定还利用我的信息在大量其他应用上创建新账户、绑定银行卡、通过实名认证、设置自己的支付密码。

逐一检查各个APP，我们发现有人用我们的手机号新建了支付宝、苏宁、京东账户，并附有消费记录，这个操作隐蔽性很强，如果我们没有发现并解冻银行卡，他们还是可以用他们创建的支付账户进行消费。

问题又出现了，用我的手机号开的账户我们可以一一试出来，但是用其他手机号开的账户，比如银联闪付、财付通、苏宁金融等我们却猜不到，我们从对账单上找到了这些账户的转账和消费记录，却找不到对应的账户。

我们回到上面的问题：

综上所述，需要有一个地方可以通过手机号和收到的短信验证码获取姓名，身份证号，银行卡号。

这几天我感觉自己有点病了。遇到这次不幸的信用卡诈骗事件，我没有愤怒、沮丧、慌乱，反而是出奇的兴奋。几天来我好几个小时没睡觉，不停地研究分析，差点就搞清楚对方的运营模式了。把IT男一丝不苟的特质发挥到了极致。

我们继续冷静分析一下，与犯罪分子的行动最密切相关的信息，就是电信营业厅获取的短信和通话记录。

我查看短信记录发现，除了犯罪分子给我手机号发的第一条短信外，还收到两条社保局的短信。前两天我并没有留意，以为是老婆公司发来的社保缴纳通知短信，但仔细分析后，发现不对劲。

第一，短信发送的时间可疑，非工作时间发社保缴费通知不正常，连续发两条也不正常，所以这是突破口，社保系统中肯定有身份证信息。

我打开四川省人力资源和社会保障厅网站，看到一个下载四川人力资源和社会保障APP的二维码。下载打开APP的那一刻，我明白了。“快速登录”“短信验证码”“电子社保卡”等关键词映入我的眼帘。

发短信验证码登录，点击“电子社保卡”，发现需要社保密码，继续忘记社保密码，用短信验证码重置社保密码，这一切恰好就是两条短信验证码，然后展现在眼前的内容就直接解释了上面的三个疑点。

身份证信息，身份证照片，社保卡，银行卡信息，有了这些东西，什么事都顺利。

再回过头来说说之前的支付宝绑卡流程，“无需手动输入卡号，快速绑卡”，几年没用过绑卡功能了，现在这么先进。

选择银行点进去之后，直接出现我在该银行下的所有银行卡列表，选择信用卡，绑定卡即可，CVV、有效期都只是简单的短信验证码，这样就可以通过支付宝很方便的查询到自己所有银行卡的卡​​号了。

最后我们来总结分析一下这个黑色生产链的全貌：

在这一系列的过程当中，有几点让我印象比较深刻：

分析完犯罪分子，我们再来看看整个环节中涉案机构都存在哪些“问题”。其实这个环节中每个点，对应业务节点的问题都不大，但是手机丢失之后，这些点全部连在一起，问题就大了：

1、四川电信：我觉得是整个过程中责任最大的一家。挂失解禁业务规则之浮夸，简直让我无话可说。既然已经挂失，难道不能认为手机已经不在失主手中了吗？解禁难道不应该有个时间限制或者需要营业厅来办理吗？即便不考虑之前的失误，同一个手机号半夜被挂失解禁了几十次，包括失主在电话里多次告诉接线员自己遭遇银行卡诈骗，要求停止解禁，但接线员还是用业务说辞敷衍地回复客户，“不好意思，我们挂失解禁有固定的业务流程，只要对方能提供业务密码，就可以正常解禁。” 我们全家一夜没睡，被不法分子扣着手机，最后还是造成了经济损失，对于四川电信，应该进行后续投诉。

2、四川省人社局：作用大家都懂，两次短信验证码及关键信息泄露。

但也不能说他有什么犯罪行为，毕竟他们不是金融机构，对于个人信息如何保护也没有标准。

但这件事情并没有那么简单，把四川人社换成XX人社或者四川XX，也可能得到同样的结果。在设计这个黑色产业链的时候，身份证号码的获取方式可以有多种，至少我在网上下载几个地方社保APP的时候，都能发现和四川人社一样的登录和找回密码的方式，都是采用手机短信验证。

3.华为：其实把华为换成小米，结果都是一样的，只能说找回密码服务的验证太简单了。

网上也有说.0的手机可以远程解锁屏幕和锁定密码，这个我没验证过，不过从我支付宝下线时对方用的手机型号来看，这个是很有可能的。

4、支付宝：先不说为什么同一个身份信息可以注册两个账号，你们的快捷绑卡加速了绑卡的便捷性，但是你们考虑过安全性吗？当然，支付宝的风控很强，确实识别到了异常交易，追回了资金。

但人脸识别实名认证可以被绕过也是事实。

5、美团：我不管你们想发展业务，放宽贷款限制，但你们能不能做好贷款审批的风控？凌晨四点放贷很正常吗？

6、苏宁金融：此次事件中涉及的所有支付机构中，最惨的一家。当案件发生时，他们接到用户报案后，第一个想到的就是推卸责任。“你报案了吗？如果警方需要我们，我们会配合！哎呀，你的财务损失，你自己承担吧。”他们打了两次电话，语气基本都一样。作为支付公司，支付宝的风控可以识别异常欺诈交易，但苏宁金融却一点都没察觉。一个新注册的账户凌晨三四点就绑定了卡，然后购买了各种虚拟卡、充值话费，这些都不容易追踪。这不算高危异常行为吗？

7、银联闪付：和其他支付公司一样，存在卡核查不严的问题。不过他们的态度很好，凌晨三四点客服人员还能和我们沟通，态度非常好，让我们很放心。第二天有专员联系我们，告诉我们昨晚报失的金额被少报了，发现我们还有其他损失，并详细指导我们如何申请赔偿。第二天他们内部调查有了新进展，也会第一时间联系我们告知。

8、财付通：人工客服太难找，不过风控还是比较到位的，这两天有好几笔交易在没通知我们的情况下就被追回了。

9、京东：不想多说，反正“交易已经发生，损失你自己负责”，不过还好只是一张100元的游戏充值卡。

10、百度：对方刚操作的时候，短信功能就已经被我关闭了，对方只是绑定了一张银行卡，还没来得及消费，所以没必要跟它争辩。

大多数支付机构基本都有一个现象：

支付机构都在推广“快捷绑卡”，快捷方便，只需要点几下鼠标就能绑定一张卡。除了短信验证码，支付宝的快捷绑卡还会验证支付密码，不过这个功能好像没什么意义，比如我的情况，支付账户就是别人用我的信息创建的，支付密码也是他设置的。

说完了他们，再来说说我们自己。

这几天走过来，不管剧情有多少跌宕起伏，作为一个有十多年信息安全经验的老骆驼，我也不得不这样折腾。真不希望大家也有和我一样的遭遇，就提几个我认为个人能做到的最简单有效的防护措施吧：

为 SIM 卡设置密码，并为手机设置屏幕锁。这样，如果您丢失了手机，就不必担心别人取出 SIM 卡并将其插入另一部手机继续使用。

以华为手机为例：设置-安全-更多安全设置-加密和凭据-设置卡锁，选择SIM卡，启用密码（此时使用的默认密码是1234或0000），然后选择更改密码，输入原密码1234，然后输入两次新密码，即可完成SIM卡密码设置。

同时，如果你遇到和我一样的情况，除了冻结所有银行卡，还需要把银行卡预留的手机号全部改掉。同时可以登录网银或者手机银行，用快捷支付管理功能查看绑定了哪些支付公司，然后用自己的手机号尝试登录那些APP，说不定会有意想不到的收获。万一支付公司不赔付，自己也可以追回一部分。比如我在对方注册的苏宁账户里发现了一张自己还未消费的购物卡。

那么事情就这么结束了吗？不一定。9月5日我们补办SIM卡的时候，我告诉妻子，要小心陌生电话、短信、微信。对方如果从你手里抢走了一大块肉，掌握了你的部分信息，对方肯定不高兴。小心后续的钓鱼和电话诈骗。这两天，她手机上开始收到可疑短信，我懒得去猜是什么花招，直接无视。

我经历的这个案例，其实跟两年前新闻里报道的那个钱包丢了，对方用偷来的身份证去营业厅补卡，进而导致银行账户损失的案例很像。目标就是手机卡。移动互联网的发展给我们的生活带来了很大的改变，手机的地位也越来越高。希望大家吸取我的经历，提前做好防范。遇到事情不要学我，手机卡、所有银行卡尽快挂失。

后续进展

9 月 9 日 -

在与专业的黑人行业团伙对抗几天之后，我根据自己的收集并分析了一篇文章，“偷窃的手机揭示了一条窃取个人信息的黑人行业链来窃取资金。” ENS如果事件有任何新进展，我将向所有人报告。

下午，参与事件的几家付款公司与我的贷款记录取消了，因为我们损失了数千美元，因为梅图恩的贷款的记录实际上是赔偿金额的，但赔偿金额均不再赔偿。我们也不想要一分钱。

当我发布最后一篇文章时，许多黑市帮派的运营步骤和流程都是根据我可以收集的信息推断出来的。

例如，为了绕过面部识别，当设计其服务时，如果在原始手机上创建和登录的子账户不需要面部验证，前提是，只要匹配现实名称身份验证的标识信息元素由风险控制规则验证，并且与主帐户一致。

今天下午，我们的几位工程师对我的信用卡欺诈事件进行了技术审查。

至于四川电信，他们今天还与我的妻子联系，并向当晚的事件表示感谢。在事件中，我再次致电我的情况，并要求根据SMS源编号来检查该号码所属的公司。

让我们谈论窃取手机，然后使用银行卡以来，几个网民都在微信中留下了消息，称他们经历了完全相同的情况，但最严重的损害数量相对较大。

当我在网上寻找类似的案例时，我在2019年9月找到了一篇新闻文章 - “使用SIM卡登录各种软件！上海警察披露了最新的欺诈方法”。

如前所述，在获得身份信息的相对容易的链接中，犯罪分子仔细设计了一套备用计划，据我所知，使用SMS权限（例如，，，）的“ ID”（例如）的信息，相对容易地获得SMS权限的身份信息。 ，但面对业务的“用户体验”，安全性不再是一个问题。

难以实施技术来保护敏感数据吗？

我不知道通过在编辑界面上以纯文本显示ID号来改善用户体验的数量，但是安全性差异为0％和100％。

今天，我在信仰时刻中看到了一篇名为“中央银行技术部门的局长：金融技术开发人员应该关注个人信息保护”。

第三部分提到，尽管一些机构使用技术来创新业务模型，提高服务效率并提高用户体验，但他们必须在某种程度上简化业务流程，削弱风险控制并隐藏了业务的本质，这对财务监督构成了新的挑战。

回顾一下主要的付款应用程序正在促进的“快速卡绑定”服务，它比以前的银行卡绑定过程更简单，更快，但是金融服务越来越简单，昨天我的文章变得越来越快？

最后，让我们谈论我在上一篇文章中提到的有关您手机的SIM卡密码的问题。

当然，在如此封闭的安全循环中仍然存在一些风险，例如使用中间人的攻击来获得数字，但这对大多数人来说不太可能发生，因此普通人不必考虑尽快丢失手机卡，我希望操作员在我的情况下会进行相应的更改。

俗话说：“如果您依靠树木，那么他们会依靠自己的依赖。”被盗，很难说您是否可以在案件发生后满足薪酬的标准条件。

此外，在上一篇文章中，我将自己的手机的步骤作为示例，因为我发现，由于手机品牌和型号，许多网络可能会锁定他们的SIM卡。如果不及格，您可以与操作员联系以获取PUK代码。

我很长一段时间以来一直对金融行业信息系统进行安全漏洞的检测，而我发现我发现的漏洞直接影响了帐户资金的安全性。可以有时间以每个人都能理解的方式写下我在金融信息安全行业中的专业知识，以提高每个人的安全意识。