手機SIM卡雖小,安全問題重大,強烈建議“上鎖”
2020年10月21日16:08

  來源:IT時報

  IT時報記者 李丹琦

  手機失竊,重則傾家蕩產

  手機不慎被盜,你需要做的第一件事是什麼?答案很明確,立即掛失手機SIM卡並以最快的速度補辦手機SIM卡。

  或許有人會問,需要這樣“如臨大敵”嗎?實際案例證明,這樣做非常有必要。如果SIM卡和手機落入不法分子手中,不僅個人信息會泄露,手機支付、銀行卡、信用卡極有可能會被盜刷,甚至會產生意想不到的貸款,損失無法估量。

  9月25日,本報報導《手機被盜,30分鐘後你可能傾家蕩產》引起廣泛關注,文中講述了一位從事10多年網絡攻防工作的人士“老駱駝”(網名),在家人手機丟失後,與黑產分子展開一番較量。但最終,“老駱駝”還是被盜刷了數千元。需要注意的是,此類事件並不少見,越來越多的用戶手機被盜後“中招”,遭遇財產損失。

  這些慘痛教訓告訴我們,需要給自己的手機屏幕和SIM卡上一把密碼鎖。

  9小時被盜刷數萬元

  “老駱駝”的經曆並非個例。

  據封面新聞報導,四川眉山大學生張靈(化名)在自己的手機被偷9小時內,雖然採取了各種措施,但依然損失了1.2萬元,其中微信被轉賬5388元,京東白條消費7300元。

  類似的事情,也發生蘇蘇(化名)身上。手機被偷後,蘇蘇沒有及時掛失手機SIM卡,不法分子搶先修改了蘇蘇的手機服務密碼,將其信用卡綁定在另一個微信上,還申請了郵政銀行、建設銀行以及京東的借貸。最終,不法分子轉走了蘇蘇微信賬戶中的錢款,而且通過京東白條借款3000元、京東金條借款15000元。

  一不小心“被”貸款

  手機被盜,不法分子在借貸平台上申請貸款會很睏難嗎?答案是,NO!

  上述案例中,蘇蘇補辦電話卡後,立刻收到了郵儲銀行發來9筆不同金額交易提醒的短信通知。儘管對多張銀行卡及時做了掛失處理,但因為漏掉了一張多年不用的銀行卡,還是被盜刷,而且在京東白條和京東金條上“被”借款。

  10月15日,沿著蘇蘇被盜刷的軌跡,記者登錄京東金融App瞭解貸款細則,通過手機號碼和短信驗證的方式即可登錄。點擊“激活京東白條”後,界面跳出了兩張記者本人名下的銀行卡,不需要輸入銀行卡號任選一張銀行卡,設置支付密碼、同意相關協議後就能激活白條,可以進行話費充值、借款等。

  令人擔憂的是,由於很多銀行類、金融類App都提供“常用設備登錄”,如果是本機登錄操作,一般會預設是機主本人,通過手機號碼和驗證碼方式便可登錄。一定程度上,這為不法分子提供了便利。

  屏幕鎖能輕易被打開

  梳理用戶被盜刷案例後,記者發現,儘管有些用戶設置手機屏幕密碼鎖,但被破解的難度不高,在這背後有成熟的產業鏈條,在電商平台上花費幾十至幾百元,半小時內就能破解手機鎖屏密碼,將手機恢復出廠狀態。

  在某主流電商平台,記者輸入關鍵字“手機屏幕解鎖”並搜索,跳出不少提供此類服務的商戶,費用大多在50元至200元之間,iOS系統、Android系統、Win系統手機都可以解鎖。

  記者曾在9月23日通過某電商平台購買瞭解鎖華為手機屏幕的服務。賣家告訴記者:“(解鎖)大約需要1小時,賬戶、ID全包,做好了可升級、刷機、可登錄賬戶、數據清空。”

  花了160元之後,只用了30分鐘,對方便順利解開了一部華為Mate20 X,將其恢復至出廠狀態。

  通過商品詳情信息可見,上述解鎖Android手機的賣家是一個10人團隊,為Android手機提供“刷機救磚ROOT”“賬戶屏幕鎖”“保留資料解鎖”等服務,與上萬家維修店舖達成合作。

  至於大眾普遍認為安全係數較高的Apple手機,記者也於9月23日通過電商平台購買了相關的屏幕解鎖服務,賣家承諾5天內破解。但直至發稿,並無實質性消息。

  手機卡也應設置密碼

  如果手機丟失,第一時間一定要掛失號碼、補辦新卡,同時掛失所有的銀行卡。

  “破解手機後,除了進行上述盜刷操作,有經驗的騙子還會打印出手機話費詳單,通過手機號碼來分辨哪些可能是家人,再進行電話詐騙,”一位從事網絡安全工作的人士表示:“如果機主不掛失SIM卡,一旦手機卡流入黑市,犯罪分子還會用來註冊微信號進行詐騙,後果不堪設想。只有新的手機、新SIM卡到手,成功登錄微信、支付寶等重要App後,才能確保萬無一失。”

  技術專家建議,除了給手機屏幕上鎖之外,手機卡也需要上密碼。這樣,換了手機便無法正常使用手機卡,具體的設置根據手機型號不同有所區別。

  受害人“老駱駝”對此深有感觸:“哪種手機更安全的問題可以忽視,設置SIM卡密碼才是關鍵。”

  掛失/解掛手機卡

  或可引入活體認證

  梳理這些實際案例,可以發現,手機卡掛失/解掛是問題的關鍵。通常情況下,掛失/解掛需要用戶提供手機服務密碼及個人信息進行驗證,通過後即可掛失/解掛。一旦用戶掛失不及時,不法分子在掌握了機主的身份信息後搶先修改手機服務密碼,藉機實施盜刷。

  以“老駱駝”的經曆為例,不法分子通過一些途徑獲取了機主的個人信息,搶先修改了手機SIM卡密碼,致使“老駱駝”在後續掛失手機卡過程中遭遇困難。

  另外,即便失主搶先掛失了手機卡,也不能保證不法分子解除掛失的可能。“老駱駝”之所以與不法分子展開了一夜的“搏鬥”,原因在於不法分子解掛了手機SIM卡。

  10月14日,《IT時報》記者致電四川、北京、浙江、上海等地運營商,瞭解手機卡掛失及解綁規則。

  各地運營商的普遍做法是,在用戶知道自己手機卡服務密碼的情況下,可直接辦理掛失。不過,不少用戶記不住自己的手機卡服務密碼,這時用戶需要提供機主姓名、身份證號碼以及近1-3個月主動呼叫過的3個手機號碼。

  如果以上驗證方式仍有難度,不同運營商做法不同。北京移動客服人員表示,用戶報出近3個月消費金額、入網時間、最後一次為手機充值的金額,再對申請提出掛失的手機號碼進行電話驗證,通過後辦理掛失。北京聯通客服表示,在聯通App里上傳身份證信息,進行人臉面部識別後掛失手機卡。

  解掛方面,上海移動、上海聯通、四川移動、北京電信、北京移動、北京聯通的客服人員表示,需要用戶提供姓名、身份證號以及近3個月撥出的電話,驗證成功後解掛。

  手機卡解掛受理方式方面,運營商做法不一,有的需要掛失者本人去營業廳辦理,有的可以通過App客戶端人臉識別後進行操作,有的需要用戶正確回答多個問題後才能辦理。

  在“老駱駝”手機卡丟失並被盜刷事件發生後,當地運營商對解掛規則進行了優化,用戶在撥打人工客服進行解掛的同時,需要提供手機服務密碼、機主姓名、身份證號等方式驗證外,24小時之內只能解掛一次。

  技術人員建議,在運營商受理手機卡掛失或者解掛的過程中,可以引入活體認證方式,進一步提升安全性,也在一定程度上方便用戶。

視頻精選
更多新聞