30秒快讀

1、丢失一部手機，你将失去什麼？

2、記者調查發現，30分鐘，你的手機就能被解鎖。接着，可怕的事情發生了，對方能輕松通過驗證碼，登錄你的銀行App、支付寶，甚至用你的名義去借網貸......

3、而這類手機解鎖服務在電商平台上堂而皇之地售賣，最後一道安全防線就握在電信運營商手裡，手機丢失後，記得第一時間挂失手機SIM卡。

某種程度，手機号碼已經成為個人的移動“身份證”，而幾乎所有App都支持手機号碼 驗證碼輸入登錄。一條驗證碼背後，你的整個移動互聯網痕迹将被“敞開”，姓名、身份證号、家庭住址、銀行卡号，甚至家人聯系方式。

或許，你會說，不用擔心，手機有屏保密碼，拿到手機的人無法進一步操作。如果你真這麼以為，那隻能說“太天真”。

《IT時報》記者實測，刷機破屏保密碼，已經在網上有成熟産業鍊，30分鐘後，原本被鎖屏的手機“煥然一新”，恢複出廠設置，可以進行任何操作。包括用你的手機号獲取驗證碼後，登錄支付寶、銀行App、網貸平台……

這不是危言聳聽。一名在安全行業浸淫10多年的“白帽子”，在妻子手機丢失之後，與黑産鬥争了一天一夜，卻依然損失數千元，在手機鎖屏密碼被破的那一刻，他其實已經輸了。

值得深思的是，當越來越多的個人隐私和資産與手機相關時，“手機屏幕解鎖”竟然堂而皇之地在不少電商平台銷售，而且不需要購買者提供任何資質，這幾乎相當于一個鎖匠公開在網上吆喝：想開哪的門？來，我給你解鎖！

01

手機丢失後……

“白帽子”與黑産的深夜纏鬥

不久前，一篇《一部手機失竊而揭露的竊取個人信息實現資金盜取的黑色産業鍊》被刷屏，作者是一位從事10多年網絡攻防工作的人士老駱駝（網名），文中，他講述了家人手機丢失後，經曆的一場盜刷事件。

當晚7點30分，得知妻子手機丢失後，老駱駝并未在第一時間挂失手機SIM卡，而是與偷盜者展開了一場“搏鬥”。

手機被盜後的45分鐘内，犯罪分子将其手機卡拔出，插在其他手機上開機，通過發送短信的方式獲取了老駱駝妻子的手機号、通過手機賬号 短信驗證碼登錄App的方式獲得其身份證信息，成功修改了手機SIM卡的服務密碼。

在此期間，對方成功破解了鎖屏密碼，解除了手機定位功能。

由于沒有第一時間挂失手機SIM卡，老駱駝不得不通過向通信運營商提供身份證号碼以及上個月聯系過的三個電話号碼的方式，才成功将妻子已經被修改密碼的手機卡挂失。

吊詭的是，幾分鐘後，對方又解挂了老駱駝的挂失，并開始利用手機号和短信驗證碼盜刷老駱駝妻子的銀行卡。整整一晚在挂失、解挂的循環操作中度過，但智者千慮終有一失，他最終還是損失了數千元。

老駱駝的案例并非個案。文章被大量轉發後，他收到了幾位網友留言，對方表示，與他的經曆相同，損失最嚴重的一位，被人通過線上貸款的方式“盜刷”了68萬元。

2019年9月，上海黃浦警方也曾對外披露過一起新型信用卡盜刷案。受害人均系手機在四川成都被盜後，于短時間内被實施了支付盜刷。

期間，嫌疑人曾僞裝成信用卡用戶撥打銀行客服電話，在報出受害人個人身份信息、預留信息後，重置銀行App登錄密碼實施犯罪。

警方層層追查之後才發現，盡管所有受害人手機均設有密碼鎖，且身份證也未曾有過被盜的情況，但由于手機鎖屏密碼被破解，犯罪嫌疑人利用手機加驗證碼的方式登錄某些出行App後，獲得受害人詳細信息，然後利用這些信息通過了銀行驗證，實現了盜刷。

而據民警介紹，2019年3月份首起接報案件中，嫌疑人完成一套上述操作需要2小時，後期幾起案件中甚至僅僅隻需半小時。

02

記者實測

手機被盜刷究竟需幾步？

通過老駱駝的描述和此前警方披露的案例，記者發現，手機SIM卡挂失解挂、鎖屏密碼被破解，是盜刷成功至關重要的因素。于是，記者做了一番測試。

“去哪兒”個人信息未加密

手機SIM卡到底如何挂失、解挂？

9月22日，《IT時報》記者撥打了三大電信運營商客服電話。

上海移動10086客服告訴記者，如果用戶的手機号碼丢失，需要做停機保号處理，用戶可直接提供自己的服務密碼或者身份證号和姓名進行辦理，之後用戶攜帶身份證前往營業廳補卡，原卡将自動作廢；如果需要解挂，向客服提供身份證号碼和姓名即可。

上海聯通的用戶挂失，則要提供服務密碼或者機主姓名、身份證号碼和身份證地址等信息。如果需要解挂，同樣需要上述信息。

上海電信方面，用戶需要提供手機号、身份證号碼以及手機服務密碼進行挂失，解挂則需要本人攜帶身份證至營業廳補卡。

在警方披露的新型信用卡盜刷案中提到，為了成功實施犯罪，犯罪嫌疑人第一時間會緻電運營商要求更改手機服務密碼，取得手機控制權，即便等到失主補辦好手機卡号時，才發現手機已經遭遇盜刷。

至于更改手機密碼，三大運營商客服均表示：需要使用本機号碼撥打客服電話，提供姓名、身份證号碼進行重置。

問題是，身份證信息在很多網站都是明文存儲，犯罪嫌疑人在獲得用戶手機和SIM卡後，想獲得身份證信息并不難。多位從事網絡安全的人士告訴記者，如果使用過去哪兒、攜程等App，都可以查看到自己的名字和身份證号碼。

9月23日，記者通過短信驗證碼的方式登錄去哪兒App，在“常用信息”中看到，記者的手機号碼、身份證号碼、郵箱号碼直接呈現在眼前，App并未對此做加密處理。

30分鐘成功破解安卓手機屏鎖

梳理老駱駝被盜刷的經曆，另一個關鍵點在于，犯罪分子成功破解了手機屏幕鎖，并解除了老駱駝手機的安全定位。

令人擔憂的是，由于很多銀行App、金融App考慮的主要風控因子之一便是“常用設備登錄”，如果是本機登錄操作，一般會默認是機主本人，簡單手機号碼 驗證碼便可一路暢通無阻。

記者發現，解鎖手機屏幕鎖的操作早已有成熟的鍊條，在電商平台上花費幾十至幾百元，半小時内就能破解手機鎖屏密碼，将手機恢複出廠狀态。

在某主流電商平台搜索關鍵字“手機屏幕解鎖”，會跳出不少賣家。蘋果系統、安卓系統、Win系統，解鎖服務費用大多在50元-200元之間。

9月23日，記者通過某電商平台購買了解鎖華為手機屏幕的服務。賣家告訴記者：“（解鎖）大約需要1小時，賬戶、ID全包，做好了可升級、刷機、可登錄賬戶、數據清空。”

花了160元之後，隻用了30分鐘，對方便順利解開了記者手中的一部華為Mate20 X，将其恢複至出廠狀态。

通過商品詳情信息可見，上述解鎖安卓手機的賣家是一個10人團隊，幾乎可以為所有安卓手機提供“刷機救磚ROOT”“賬戶屏幕鎖”“保留資料解鎖”等服務，已經合作了上萬家維修店鋪。

在其商品界面的用戶評價中，買家給予“性價比高”的評價，有圖/視頻的評價達5502條，追加評價達1174條。

一位從事網絡安全工作的内部人士告訴記者：“此類人士大多都是手機産業内部人士，之所以能夠提供手機解鎖服務，不排除手機廠商有内線洩密。”

手機“鎖匠”可以随便做？

鎖，匡護的是安全，尤其是資産安全。

在現實世界裡，開鎖是一門技術活，提供開鎖服務屬于特種行業，需向所在地縣級公安機關提出申請，取得《特種行業許可證》後才可經營。

《特種行業管理條例》第二十五條規定，經營開鎖業的，承接開鎖業務，應當确認委托人擁有閉鎖物的所有權或者使用權，不能确認的應當拒絕；現場開鎖時，應當如實填寫《開鎖服務記錄單》，由委托開鎖人、開鎖技術人員分别簽名、注明聯系方式并留存備查。

商務部電子商務專家咨詢委員會委員、上海段和段律師事務所合夥人劉春泉表示，開鎖業屬于特種行業，必須到公安部門備案，無證經營會受到處罰。

但在互聯網的世界裡，盡管手機與每個人的移動财産安全息息相關，但似乎很少有人同樣把它看作“一把鎖”，一把關聯“網絡身份”的鎖。

同理，在互聯網上銷售“手機屏幕解鎖服務”，也并沒有被認為是需要特别監管的行業。

“在電商平台上提供相應服務應當受到監管”。劉春泉認為，電商平台也應當對提供手機解鎖服務的商家驗證，出台相應的管理措施，否則不排除這一漏洞被人惡意利用的可能。

目前，政府部門尚未對這一行業出台相應的管理辦法，在電商平台上搜索關鍵字，也能夠直接檢索出與之匹配的服務。

盡管賣家會在商品銷售頁面備注“偷搶機器贓機不解”，但卻沒有任何措施确認買家身份和手機來源。

淘寶客服表示，平台隻能處理買賣雙方錢款交易，但無法保證商家開店後是否會做違法犯罪的事情。隻有消費者向平台進行反饋，并提供相應的憑證，平台才會針對反饋内容對店鋪進行處理。

相關鍊接

手機丢失後，

第一時間要做這些！

手機丢失後，很多人會更在意手機的價值而忽略SIM卡的重要性，而正因為人們對SIM卡重視程度不高，才給犯罪分子留下了可乘之機。

因此，如果手機丢失，第一時間一定要做的是，挂失号碼，補辦新卡，同時挂失所有的銀行卡。

“破解手機後，除了進行上述盜刷操作，有經驗的騙子還會打印出手機話費詳單，通過手機号碼來分辨哪些可能是家人，再進行電話詐騙。”

一位從事網絡安全工作的人士表示：“如果機主不挂失SIM卡，一旦手機卡流入黑市，犯罪分子還會用來注冊微信号進行詐騙，後果不堪設想。

隻有新的手機、新SIM卡到手，成功登錄微信、支付寶等重要App後，才能确保萬無一失。”

另外，除了給手機屏幕上鎖之外，手機卡也需要上密碼。

這樣，換了手機便無法正常使用手機卡，具體的設置根據手機型号不同有所區别。

以華為手機為例，打開設置-安全-更多安全設置-加密和憑據-設置卡鎖，選定手機卡後，啟用密碼（通常初始密碼為1234或者0000），用戶隻需重置密碼後便能完成對手機SIM卡的密碼設置。

蘋果手機的這一操作需要打開設置-蜂窩網絡-SIM卡PIN碼-更改PIN碼-輸入初始密碼（通常為1234或0000）後，進行重置即可。

作者／IT時報記者 李丹琦

編輯／挨踢妹

排版／黃建

圖片／IT時報、Unsplash、網絡

來源／《IT時報》公衆号vittimes

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!