一部手机失窃引发的惊心动魄的战争

胶大

9月4日 ——
7:30：正带着大娃在理发店理发，老婆过来告诉我，她在小区门口推着二娃蹲下买水果时婴儿车袋子里的手机被偷了。这时看到P40 pro上市，一年一度的换机季又到来了。说是丢失后就用其他手机拨打，但对方接通后关机。当时不知道我怎么想的，觉得可能还有机会能找回，没有未立即挂失手机卡，设置了华为找回手机的上线通知（这个不果断的决定，导致了后续悲剧的发生）。
8:51：对方把卡取出来插在其他手机开机，后面通过查询通话和短信详单才知道，才一个小时多点的时间，对方从高新区直奔成华区，以周五成都高峰期的交通状况，算是比较极限了。

8 I" a1 e0 {* V- f! h& o9:24：家人发现被偷手机可以拨通，但我这边“查找我的手机”显示还未上线，但没两分钟我的手机收到提示手机在成华区上线了，瞬间再看找回手机界面，设备被解绑了，突然有种不好的感觉，一般的小偷不会这么快这么熟练的干这些。
' u- e+ `5 e% k立刻致电10000号挂失手机卡，但此时电信服务密码已经不正确了，通过验证身份证号码加提供上个月联系过的三个电话号码进行了挂失。开始采取紧急措施，登录手机银行把可立即赎回的理财全部赎回，活期余额全部转我账上，联系多家银行冻结信用卡，把支付宝、微信上的资金转走，绑定的信用卡全删掉，考虑到部分储蓄卡余额为0，且对方不知道我的卡号，就没去挂失。
+ s, `& y: ]9 O. M9:48：家人说电话还可以打通，立马致电10000号，询问为什么还可以拨通，回复说卡是正常状态，继续挂失。
9:55：越想越不对劲，又致电10000号，问之前挂失失败的原因是什么。得到答复，第一次挂失是成功了的，但后面又被解挂了。
  _/ u! e2 ~7 G! X6 B* y/ L还有这种操作，打电话解除挂失，我是第一次知道，常识性认为我挂失了就应该是带上身份证去营业厅解除挂失，包括后面去报案，民警听说挂失后还可以电话解挂，也是很惊讶。
8 ~5 D2 N( y8 s但明显对方是有备而来，后期分析时我认为连偷手机的时间都是事先定好的，对方把电信的业务流程已经掌握得很清楚了，这也导致我后期的补救措施变得很被动。
根据云闪付上的绑卡信息，继续给银行电话，挨个冻结储蓄卡，建行etc信用卡因为已经解绑了，且第二天要出行上高速，就没去管了。
这期间还漏掉一个老婆10多年前办的一张建行卡，一张工商银行卡，又埋雷了。

00:23时：发现支付宝、微信接连被挤下线，重要的是登录的设备和丢失的手机设备型号一致！完了，遇上高手了，华为的锁屏密码被解开了。
立马申请冻结（后面发现，已经晚了，对方的操作很迅速，此时支付宝已经被更换了手机号码，怀疑是多人在并发操作的。）、同时申请冻结微信，马上登陆京东，苏宁、国美等常用的APP，更换关联手机号码。没过一会，我的手机就收到一条京东的短信验证码，感觉后面几个APP应该是保住了（蜜汁自信，最后还是被打脸），喘一口气休息下。
* Y* J: ~) _$ d& V7 o& x* b分析对方意图，觉得所有银行卡和支付余额里偷不到钱的话可能会用老婆的信息申请贷款，但同时想到放款只能是放到本人银行卡，要想转出去得有银行卡密码（长期以来自己支付密码和银行卡密码一致，连自己都忘了这两个密码不是一个东西，后面追查时才发现，对方用了一个神招，什么银行卡密码、支付密码根本影响不到对方），应该问题不大，加上期间紧张于电信手机卡“挂失”、“解挂”阵地抢占，又有张成都银行社保金融卡漏下了。
  g* a9 I+ l% F2 b! `' b3 O后面的一晚上就是循环的我挂失、对方解挂，在10000号上来来回回几十次。至于为什么要坚持，因为觉得虽然自己已经把重要的APP和银行账户都保住了但还是看不透对方想干什么，不过既然对方这么执着的解挂我的手机卡，肯定是有其迫切的原因。抱着凡是敌人想要的，就坚决不能给的信念，一晚上通宵坚持下来了。
这期间我们是很被动的，因为不知道他什么时候解挂，只能躺床上不停打被偷的电话，一拨通立马再打10000号挂失。

# }) R5 \( p0 T
3 a2 ^( A& d1 G$ ?2 f/ J, m中间多次请求10000号客服，告知手机被偷，犯罪分子正在解挂手机卡用于实施犯罪，请求他们通知领导获得审批后冻结手机卡等明早去营业厅补卡，都被拒绝。
由于一晚上几十次的业务办理，甚至还被客服说“你们自己的私事，不要占用公共资源”，我都不知道对方是怎么忽悠客服的。询问还有没有其他途径自助办理挂失，回答无。只能继续坚持，最后不知道是不是客服自己都受不了我们了，10000发短信告诉我可以在网厅自助办理，登录电信网厅，尝试用软件自动挂失，无奈网厅的一些安全限制导致无法用软件实训自动化的挂失办理，继续手动操作。
* C) m3 W2 R7 S- K. ~  E
5:00：发现才注意到网厅有关闭短信的业务，想着如果对方是高手，我关闭后也可能对方会立马发现，但也可能对方只是流水线的犯罪脚本操作工人，可以赌一赌，反正对我没损失，对他们还增加开通短信的步骤。
: H) ]- Q  i6 s（后面查短信详单时发现，正是关闭短信功能这个操作，中断了他们后续的犯罪行为，不然损失肯定更严重）
熬到9月5日9点：开车送老婆蹲守营业厅开门，9点8分完成补卡，丈母娘来电话说老婆电话打通了，但接电话的是个男的，我回答说可能是营业厅的营业员接的。几分钟后老婆办卡归来，问到刚才丈母娘电话什么情况， 她说没接到电话啊，手机一直在自己手上。看了下确实没有通话记录，手机外拨也是正常的，短信发送接收也正常。继续打10000号，询问手机是否被开通了呼叫转移，得到确认的答复，验证身份证后关闭业务。关闭之前从话务员那边问到被转移的电话号码（准备后续万一要报警就提交过去）。

" ?4 h2 q9 ?& ]) @开始收复阵地，检查损失。找回支付宝、微信、云闪付，发现除了支付宝手机号被改了，但由于账户本身冻结状态，就没管了。从云闪付上管理的银行卡里交易记录基本没什么异常，只有一张工商银行卡多了280元（诡异吧），一看是从一个钱袋宝转过来的， 觉得蹊跷下了个APP想用手机号码登录钱袋宝看下：APP异常，登录不上，暂时就没管了。
1 S1 \+ f4 d2 L7 G6 I约了朋友一起峨眉山泡温泉，喝下一瓶乐虎、一瓶红牛、一瓶咖啡，出发去峨眉山，途中继续检查了了下各个支付账户，好像没什么异常。下午到了峨眉山，在温泉池子里休息，恢复体力。准备晚上从电信营业厅查下详单，看对方都干了什么。
# F1 u0 P2 O4 E# F0 w; r晚上查详单前老婆登录支付宝结果习惯性输入手机号码，发现密码错误， 赶紧用手机找回，突然想起自己支付宝账号不是手机号，一看才发现是对方新建的支付宝账号，还绑定了那张被我们遗忘的建行卡，以及一张建行ETC信用卡（办好etc后就一直在抽屉里吃灰），而且账单里有充值消费记录，以及被支付宝风控阻断后的充值退回记录，这时候才发现这张原本绑在云闪付上的信用卡被对方从云闪付解绑了，所以我们才没发现异常。
0 V. h3 F$ d$ a+ W5 r( _& {登陆建行网银，发现9月5日4点多时美团转进 5000元的记录，跪了，再看etc信用卡有各种买卡、充值 的记录 几大千，银联转账记录几大千，最坏的情况还是发生了。
4 B4 _5 k* A& n: @下载了短信和通话详单，开始分析通话和短信记录，挨个查询，基本上通话的都是各家银行、银联，短信记录能查的到源号码的也就是 社保局、华为、腾讯、银联、翼支付、微信、支付宝，其他106开头的服务号不知道是哪个机构的，分析没什么结果。
两人开始回忆从头到尾的细节，开始逐个分析，一个资深渗透测试工程师的优势这时候展示体现出来了。
对方第一次上线时已经把卡拔出来插到其他手机，从短信发送记录上看是给一个手机发了条短信，获取到本机手机号码。

! K  K. {" B4 P" H( j8 V然后联系电信改了服务密码，用手机号码配合短信验证码改了华为密码，把原设备上的账号注销了。

然后解锁了华为锁屏密码，进入了手机。

这中间有几个说不通的地方：
$ H  D" ~: k5 e- P6 C1. 修改电信服务密码需要身份证号码

2. 有华为密码从网站上也没有解锁锁屏密码的功能。
$ w$ g5 {$ g# o, b) b" g2 l
第一个我想的是可能从社工库查到了身份证号码，第二个根据百度结果说是华为老版本的emui 账号登录后可以远程锁机，设置一个新密码，然后用新密码解锁屏幕进入手机（这个操作未实际验证） 。
/ p+ t9 p' C9 ^  d) X然后对方还修改了支付宝登录和支付密码、微信密码，
7 f& |' j* A2 S. g1 j* L6 X- H1 x8 a
中间还修改了支付宝手机号码（为什么这么操作到9月7日晚上的分析才知道），
5 L* j+ `& f/ O- p
0 T, b. G3 p$ P4 M. p并且绑定了被我们遗漏的银行卡至支付平台账号上进行消费。
7 M1 n2 ]# n8 e
这里又有说不通的地方：
: k8 O* T. w5 [( _# a4 i: B6 c/ W1、支付绑卡需要银行完整的卡号，如何得到的？一开始以为打银行客服就可以问到，后面试了下是不行的；
4 ~) e6 n: ~3 a/ g  H" q

但当我查看支付宝的银行卡管理功能时，发现有支付密码的话，可以用支付宝自带的查看卡号功能获取银行卡完整卡号，太长时间没用这个功能了。
- _% Y( F3 \* R) Z2 I! B但这样的话就还有个说不通的：
; I2 I( c% z* W2、支付密码的重置需要的条件（人脸 、短信+安全问题 、短信+银行卡信息、银行卡+安全问题），没照片的情况下，人脸应该不行，我们设置的安全问题基本上不会被猜到，那只有短信加银行卡了
（实际上最后发现，对方既可以人脸验证，也可以短信加银行卡验证，甚至连支付宝都是自己新建了一个，支付密码也是自己设置的）。
# a5 k9 a( e/ P4 H0 ]+ X# T
$ ^& R( Y# d! O: f; V/ Q% \2 y
然后剩下的步骤就比较清晰了，
7 L% R( X; I/ e$ Z* u; A通过绑了卡的美团，申请贷款，放款到建行储蓄卡
0 f+ e8 x3 M; B  ~
再通过支付APP之前的绑卡结果，通过购买虚拟卡和网络充值消费掉。

剩下就是苏宁金融的信用卡消费了，还是抱着怀疑的态度，他们如何搞到我的信用卡cvv的，这一点我们是比较肯定的，etc信用卡从申请下来就没离开过抽屉。从银行客服那边能获取到的最多也就是信用卡有效期。
' z4 k& M- b, M: N1 s1 f. T! k（后面才发现支付公司现在绑信用卡根本不验证有效日期和CVV，都是简单粗暴的身份信息+卡号+预留手机号码，甚至有些连预留手机号都不用）。
整理完所有的情况后，就准备联系各个支付公司，准备讨要说法了。一圈下来后，得出的结果是：

: v9 m/ @0 |+ C3 a" E& s8 o# B银联云闪付态度极好，说第二天会有专人联系 ；
& a, t+ e, ?; s8 Z; l/ Z
财付通 联系不上 ；
% `( h6 J- s  d% D
% U6 s' J; @3 Q2 F) I7 Y3 D6 d美团借贷 态度模糊 ，问他为何只是简单验证了身份证就放款了，只说这种贷款产品很多其他公司也有的，嗯好像很有道理，大家都做的就是正确的。
! w$ R% H1 O; V/ v0 Q/ y7 {
, ^+ ~3 q, E4 k2 Z- j苏宁金融未回应。
( c, m5 f/ \* y  F
准备好一些材料，包括通话、短信记录、银行账单，以及其他零散资料，准备赶回去报警。毕竟事情发生在小区门口，而且团伙作案，极有可能还会再犯，把事情整理下发到业主群，让大家小心防范，提醒大家设置好sim卡密码。大家也都被震惊了，但一致对于怎么获取身份证号码、银行卡号表示疑惑。中间手机陆续还收到几条财付通的支付验证码，但登陆自己账号，没发现有绑卡，留着疑惑后面再处理，反正不给验证码也付不出去。
思路理清楚了，已经凌晨4点多了。一早赶紧往成都赶。路上云闪付主动联系我们，让我们报警后提供报案回执单等一些材料提交过去，看样子有可能要赔付。美团也打电话过来了，想推卸责任，但还是让我们提供证据资料提交给他们。
3 N( @* L" r6 h, a: t# A派出所民警听说了我们的遭遇都表示惊奇，说之前从没遇到过这种偷手机的。我应该是第一个来报这种案件的 。老婆进去做笔录，耗时几个小时， 出来后说了里面的情况，警察大叔们都表示“这不可能”、“肯定是你手机里放银行卡信息泄露了”、“你是不是放身份证照片在手机里了”，做完笔录竟然又要我们去打印银行流水，跑了几家建行 都是关门的，只能等第二天再来取报案回执单了。
6 m5 L6 e7 }7 Z" h; \- m晚上回去两口子在电脑前继续回想所有细节，把整个过程串一遍，必要时用我的各种APP和账号进行实验，验证自己的分析判断。虽然补了手机卡， 银行卡都冻结了，带支付功能的软件都找回来各种修改密码了，但总觉得哪里就是不对劲。
7 z! Q$ d8 _/ {3 t突然又收到了财付通的支付验证码请求，再关联起前面的几个可疑点，一下子想通了。他用其他支付账号绑了我们的银行卡， 包括之前用手机号登陆苏宁时发现登陆的是别人新创建的苏宁账号、包括支付宝也是新建的，至于他们新建的的账号怎么通过的人脸实名认证，这个留在后面讨论。
说明除了这些APP，肯定还在其他一大堆APP上用我的信息新建了账号，绑了银行卡、通过了实名认证，并自己设置了支付密码。
& U% z. r/ K7 u5 e$ J挨个APP检查， 发现用我们的手机号码新建了支付宝、苏宁、京东且包含有消费记录，这个操作隐蔽性强，如果我们没发现的话，解冻了银行卡，他们还可以用自己创建的支付账号进行消费。
问题又来了，他们用我的手机号新建的账号 我们可以挨个试出来， 但用其他手机号新建的账号我们猜不到，比如云闪付、财付通、苏宁金融 ，这几个从银行流水里查到有转账消费记录，但我们没找到对应的账号。
/ _0 }* B- N( J! Y( y: F再回到上面有疑惑的几个问题上：
要在支付宝上查看我绑定的银行卡信息或者绑新的卡，需要支付密码而支付密码的重置，需要短信+一张银行卡信息的验证；
6 o- b5 ~$ [) ~# x一开始整个环节的起点，都需要我的身份证号码，起初我判断是通过社工库，但这一番操作分析下来，整个黑产团队的手法，基本都是利用的各个银行、支付公司的正常业务流程来处理的，那么身份证的获取大概率也不会采用社工库去查询；
部分支付APP新建账号后的实名认证，需要活体人脸验证，这个如果可以从手机自拍照或者华为云里之前存过的照片，用技术处理手段处理照片绕过人脸识别（参考2020年的新闻《利用照片伪造动画头像“骗过”支付宝人脸识别，一犯罪团伙薅支付宝“羊毛”超4万元》）
总结下来就是，需要有一个地方，通过手机号码和接收到的短信验证码， 能获取到姓名、身份证号码、以及一张银行卡的卡号。
3 i9 z5 `" l: [2 T感觉这几天自己都有点病态了，遇到这种盗刷的倒霉事，不愤怒、不沮丧、不慌乱，而是出奇的亢奋，几天下来没睡几个小时，不停的研究和分析，快把对方的运作模式研究出来了，把IT男追根刨底的特质发挥的淋漓尽致。

来，继续冷静分析，手头能跟犯罪分子行为步骤关联最紧密的就是电信营业厅获取的短信和电话记录了，
$ x2 V! x2 b. g$ m; G9 e翻出短信记录，除了第一条犯罪分子发给自己手机号的记录，紧接着就是收到两条12333社保局的短信。最开始两天都没注意到，以为是老婆公司给缴纳的社保的通知短信，但再仔细分析就发现不对劲了。
一是短信发送时间可疑，非工作时间内发送社保缴纳通知是不正常的，连发两条也是不正常的，那突破点就是它了，社保系统里肯定是有身份证信息。
打开四川省人社厅的网站，看到一个四川人社的APP下载二维码，下载打开APP的瞬间就明白了， “快捷登录”、“短信验证码”、“电子社保卡”  这几个关键字明晃晃的扎我眼。

/ i1 c: y5 X9 F( C, ]- u1 u
$ z# N' e: {% ?. k0 a1 M8 C发送短信验证码，登录进去。点开 “电子社保卡”，发现需要社保密码，继续忘记社保密码，短信验证码重置社保密码，这一切刚好是两条12333的短信验证码，随后展示在眼前的内容，直接解释了上面三条疑惑。
身份证信息、证件照片、社保金融卡的银行卡信息，有了这些东西，干啥都一路畅通了。

再返回去之前的支付宝绑卡流程，“无需手动输入卡号，快速绑卡”，几年没用绑卡功能，现在都这么高端了。
  f& A- H0 i- J3 _. N选一家银行点进去后，该银行下我的所有银行卡列表直接出来了，选上信用卡，绑卡。CVV 、有效期 这些都是浮云，人家就一个简单的短信验证码验证，这样的话通过支付宝查看你所有银行卡的卡号就简单了。
最后我们再来总结分析一波，这条黑产链的全貌如下：
/ p: x# S2 [3 g0 s: b
一线扒手特定时间选定目标：年轻人、移动支付频率高，在对方注意力分散的情况下出手，运营商营业厅下班后，失主没法当晚立即补卡，给团队预留了一晚上的作案时间；
拿到手机后迅速送到团队窝点，迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改，一下子让受害者陷入被动；
1 E+ `7 y- g% k( o0 ?2 A2 e. s' y获取所有银行卡信息，使用技术手段绕过活体人脸识别验证，在各个平台上创建新账号，绑定受害者银行卡。
选好几家风控不严的支付公司，开始申请在线贷款，贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账，将钱转走。
8 Z- ]; @/ z& i保留新建的支付账号权限， 如果未被发现，后期还可以继续窃取资金。
7 q1 `8 g5 Z' s6 Y& e1 V/ Y在这一系列过程中，对方有几点还是让我比较服的：
7 T+ w9 h' j$ h9 Y全程用的都是正常的业务操作，只是把各个机构的“弱验证”的相关业务链接起来，形成巨大的破坏；
( u( H7 o! U' ?3 ~9 c+ m4 x% p$ R应该是使用了技术手段通过的人脸验证，用图片处理技术来绕过活体人脸识别验证；
& g% N+ T2 s' i7 H" m团队分工协作能力太强，在处理过程中我感觉自己已经用了最快的速度，但总还是晚一步；
注重隐蔽，留好后路，包括删掉我云闪付上的一些卡来防止我查明细，通过新建账号的方式，如果我没发现，贸然去解冻银行卡，后续还有第二波的攻击；包括赶在我补卡后改服务密码前，设置了呼叫转移。
: T, E& n; W8 h9 ]7 W& u分析完犯罪分子，再来看下整个过程中参与的机构都有什么“问题”，实际上这个环节里的每一个点，放在对应的业务节点里都不是什么大问题，但手机丢失后，把所有这些点串起来，问题就大了：
1、四川电信 ：我认为整个过程责任最大的就是它了，这挂失、解挂的风骚业务规则简直让我无语，既然都挂失了，不应该考虑到手机已经不在失主身上了，解挂不应该有个时间限制或者要求营业厅办理么？就算前面的过错无视了，同一个手机号码在深夜来来回回挂失解挂几十次，包括机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪，要求停止解挂行为，话务员还是拿着业务话术来敷衍客户“对不起，我们的挂失解挂有固定的业务流程，只要对方能提供服务密码，正常就是可以解挂的”。我们全家人就这样抱着电话陪犯罪分子熬了一夜，到最后还是造成了经济损失。对于四川电信，后续该投诉投诉。
2、四川人社 ：它所起到的作用，大家也都看得懂。两条短信验证码，关键的资料全泄露出去了，
3 Z7 g, j1 X: }/ a6 J但我不好说他有什么罪，毕竟他们本身也不是金融机构， 对个人信息的保护要做成什么样也没个标准。
* }9 F" p3 w! q' \但这个事情没那么简单，把四川人社换成XX人社或者四川XX，也可能是一样的结果，这个黑产链设计的时候身份证号码的获取途径可以是多处的，至少我随便在网上下载几个地方社保APP，都能找到和四川人社一样登录和密码找回使用手机短信验证的。  
  x1 t9 T) t! e, Z

3. 华为 ：其实把华为换成小米，结果也是一样。我只能说密码找回这个业务的验证太简单了，
还有就是网上说的用emui 5.0的手机，可以远程解锁屏幕锁屏密码，这个我没验证过， 但从我支付宝被挤下线时提示对方使用的手机型号来判断，大概率是可以的。
4. 支付宝：先不说为啥同一个身份信息，可以注册两个账号，你的快捷绑卡，是加快了绑卡的便捷性， 但考虑过安全性么？当然，支付宝的风控是强，确实识别到了异常交易，也追回了资金。
但实名认证的人脸识别被绕过，也是事实。
5. 美团：你要发展业务，放宽贷款限制，这我不关心，但你能否做好该有的贷款审批风险控制，凌晨4点的贷款行为，这正常么？
6. 苏宁金融：所有参与这个过程的支付机构中态度最恶劣的一家，出现案件，接到用户报案后第一时间想到的是推卸责任。“报案了么？如果警方有需要，我们会做好配合工作！哦你的经济损失啊，那只能你自己承担了”，中间来过两次电话，基本腔调就是这样。同样是支付公司， 支付宝的风控能识别异常盗刷，苏宁金融就一点察觉都没有，一个新注册的账号，凌晨三四点绑卡，然后购买各种虚拟卡、充值话费这些不容易被追查的商品，这不算高风险异常行为么？
7. 银联云闪付: 和其他支付公司一样， 都存在绑卡验证不严的问题。但是，人家态度是好的啊，凌晨3、4点，客服人员都能用极好的态度和我们沟通，让我们放宽心。第二天有专员联系我们，告诉我们昨晚报的损失少报了，他们查出来我们还有其他损失，并给了详细的指引告诉我们怎么去申请理赔，第二天他们内部调查有新的进展也都第一时间联系并告知我们。
1 o/ f2 S2 N" V  ?: i8. 财付通：人工客服太难找了，不过风控也还是有效的，这两天在没有通知我们的情况下，陆陆续续追回了几笔交易金额。
' H& Q# a, o# W7 k' o! g& t9. 京东：不想说了，反正就是“交易已经发生了，损失你自己承担”，但还好就一笔100元的游戏充值卡。
) p; e' E5 ?  D10. 百度：对方刚好操作到它的时候短信功能已经被我关了，对方也只是绑定了银行卡，还没来得及消费，就不用找它理论了。
多数支付机构基本都有一个现象：
: b$ C! S* p0 P4 x2 D允许用不同的手机号码注册相同实名认证的支付账号，

8 w4 L( ~7 i0 f2 Q+ |0 }  z允许两个账号绑定相同的银行卡，

实名认证有人脸活体识别技术的都被绕过了。

支付机构都在推“快捷绑卡”，是快捷了，点几下鼠标就绑卡了。除了短信验证码，支付宝的快捷绑卡还验证了下支付密码，但好像意义也不大，比如我这种情况，支付账号都是别人用我的信息新建的，支付密码也是他设置的。
- C1 T% q4 t  ^说完他们，最后再来说说咱们吧。
& n* O4 s6 r6 n通过这几天的经历，不管中间情节有多少起伏，我作为一个有10多年信息安全从业经验的老骆驼，都要被折腾成这样，我实在是不想让大家有跟我相同的经历。提个我认为我们个人能做的最简单最有效的防护措施：
, _4 ]1 ~* T- {1 q0 T% ?4 E给自己的手机卡上个密码，给手机设置个屏幕锁。这样手机丢了也不用担心别人拔下卡插其他手机里继续使用。
以华为手机为例：设置-安全-更多安全设置-加密和凭据-设置卡锁 ， 选定手机卡，启用密码（此时使用的为默认密码1234或者0000），再选择修改密码，输入原密码1234，再输入两次新密码，完成sim卡的密码设置。
- ^3 i9 M* _2 T5 |3 t同时，如果有遇到和我一样情况的，除了冻结所有银行卡后，还需要把银行卡的预留手机号码全换掉，同时可以通过登陆网银或者手机银行，用快捷支付管理功能，查看都绑了那些支付公司，然后可以尝试用自己的手机号码去登陆那些APP，有可能还会有意外收获，万一支付公司不给理赔，还能自己追回一点。比如我就在对方注册的苏宁账号上找到还没来得及消费的购物卡。  
' M# S! T8 m6 D3 p6 h

然后这个事情是不是就这样结束了？也不一定哈，9月5日我们补办完手机卡时我就和我老婆说了，后面这段时间内要小心陌生的电话和短信、微信。对方快吃进嘴的肉被硬扯下去一大块，手里又有你的一些信息，肯定不会甘心的，要小心后续的网络钓鱼、和电话诈骗。这两天她手机就开始收到有可疑的短信了，什么套路也懒得去猜了，反正不理会就是了。

我所经历的这个案件，其实和前两年新闻上报道过的钱包丢失，对方用偷到的身份证去营业厅补了卡，然后导致银行账户损失其实是差不多的，目标都是手机卡。移动互联网的发展给我们的生活带来了巨大的改变，手机的地位也越来越高，希望大家吸取我的这次经验教训，提前做好防范，出事别学我，第一时间挂失手机卡、所有银行卡。
* H7 g; s$ n" D. z- O
后续进展
4 H: m5 k: T0 f, t% E* n
9月9日——
在经历了与一个专业黑产团伙的几天对抗之后，新建了这个微信公众号，根据自己搜集整理分析的结果发表了《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文，这篇文章发表后引起的轰动效果，完全超出了我的预期。不想原本只是写给小区业主群的案件记录分析结果一夜间成了网络热文，也答应过网友，事件有了新的进展就汇报给大家。
在今天下午，事件中涉及的几家支付公司都积极联系到我，美团的贷款记录消除了，苏宁金融把我们损失的几千都赔付了。由于美团贷款的记录消除，实际上还导致苏宁金融赔付金融比他造成的损失多了300元，已经联系苏宁金融进行退款。银联云闪付的赔付也已打电话通知取消。对于赔付金额，该还我们的一分都不能少，但多的我们也一分不多要。
3 e( Z! i! O$ w: S发上一篇文章的时候，黑产团伙的很多操作步骤流程都是我根据自己所能搜集到的信息推论判断出来的，文章的发表也引来了各方注意，提出了个别文章中推论出错的地方。
6 x  E+ P# z; ]4 s( N" s例如人脸识别的绕过，支付宝在进行业务设计时，对在原手机上创建并登陆的子账号，在实名认证时匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的，
4 M9 H/ g( h; D, H' D; I, i这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此，人脸识别的绕过确实错怪他们了，这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录，推测是为了不触发支付宝的风控规则。
) v, |& ~1 [* n) j( t至于四川电信，今天也主动联系到我老婆，对那晚的事件进行道歉，也解释了说对方当时跟他们的客服说是男女朋友闹矛盾，只能说犯罪分子很狡猾，但对于四川电信的远程挂失和解挂的业务流程设计，站在安全的角度上考虑，我还是不能认可。中间有个小插曲，我为了调查案发时我的短信详单中一条未知的短信记录，再次拨打10000号说明了我的情况并根据短信源号码要求查询号码的归属公司，客服拒绝了我。虽然未能查成，但说实话我反而是高兴的，至少说明对客户信息保密的业务原则还是有效的。
再说下盗取手机进而实现银行卡盗刷这个案件，自从文章发布后，也有几个网友在微信公众号上留言，说自己经历过一模一样的场景，只是受损金额都比较大，最严重的一位有68万的线上贷款，目前还在索赔中。
$ a: o8 W! R, u: T% M! y在网上找类似案例的时候，发现2019年9月有一篇新闻——《凭SIM卡登陆各软件！上海警方披露最新型盗刷手法》，大家有兴趣可以搜一下，看新闻介绍的犯罪手法，基本上和我遇到的这个案件是一致的，只是获取身份信息的途径不一样。
0 ^5 Y# Q& ~6 P5 p  w# G% @- ]前面也提到，犯罪分子精心设计的这么一套犯罪脚本，在身份信息获取这种比较容易的环节上，一定是会有备用方案的，目前据我所知的在获得短信权限的情况下比较容易获取的如各类连锁酒店APP（如华住、锦江）、商旅订票类（如去哪儿），这些包含身份证信息的APP和网站，对于身份证号码信息的泄露风险并不是说不知道，只是在业务的“用户体验”面前，安全已经不算个问题了，毕竟我这种案件的数量还是不多。以去哪儿为例，在常用旅客列表中，对身份证信息进行了屏蔽显示，但点击进入信息编辑界面时就明文展示了：



' `. G2 x2 m" w1 @; l! A" z
对敏感数据加个保护的实现技术有难度么？再看看携程的处理方式：

* ?$ \) J; b2 W9 I: {" N3 ~
  i0 h5 o9 l2 r+ e- S5 A5 c
我不知道在编辑界面明文展示身份证号码能提升多少百分比的用户使用体验友好度，但安全性的差别就是0%和100%。
今天在朋友圈看到一篇文章《央行科技司司长李伟：金融科技发展应重视个人信息保护》，我的案子刚好与文章里提到的部分内容应景。李司长在9月8日的发布会上提了三块内容：
一是重视个人信息保护，善用数据要素价值。
二是重视数字鸿沟问题，践行数字普惠金融。
9 c  _: z# A4 G) t$ i- f三是重视监管科技应用，增强数字化监管能力。
- W4 Q3 F. h! h" j5 [! i: ^+ F2 h其中第三部分提到：部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时，一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质，这给金融监管提出新挑战。
回看现在各大支付APP热推的”快捷绑卡”业务，相比之前的银行卡绑定流程，是简单快捷了一些，但金融业务，是越简单快捷越好么？昨天我的文章火了后，很多邻居说忘记了自己在哪家银行开过银行卡，想找出来注销掉，问有什么办法。
# a! F" H8 g7 C1 M0 t/ W
3 r; @! y) r  C  ]! x6 k最后再谈下我上篇文章中提到的让大家设置手机SIM卡密码，主要有几点考虑：
手机锁屏状态下对方无法使用短信功能；
! K* }9 V6 J8 Z6 B4 C) i# ^" M' R如果更换手机卡至新手机则需要输入SIM卡密码；
9 M& \4 b; l- N+ L  |' Z. V要解锁SIM，需要从运营商获取PUK码；
6 l5 p# Q" f" E. M要获取PUK码，需要提供身份信息进行验证；
未解锁手机的情况下加上SIM卡加锁，对方无法知道你的手机号码，这样断了获取身份信息的路。
$ R, c4 I" n$ p1 z, }$ W当然，这样一个安全闭环里也还是有些风险，例如利用GSM中间人攻击获取到号码，但这类一般人遇不到，对普通民众来说可以不用考虑。第一时间挂失手机卡，这一点还是必要的行动，也希望运营商在我这个案件之后，会作出相应的改变。
俗话说“靠人人跑，靠树树倒”，还是靠自己靠谱些，按现在移动金融业务的发展趋势，将来会面临更加严峻的安全挑战；而且金融业务用到的部分关键要素信息，如手机号码、身份证号码在常规移动互联网业务中的交叉使用，数据泄露的风险将越来越大。虽然部分金融机构都给出了被盗刷后的赔付承诺，案件发生在自己身上后你能否符合赔付的标准条件不好说，耗费大量时间精力在这件事上面，也是很心累的。
此外，上篇文章中我按我自己手机的操作流程步骤作为SIM卡设置密码的例子，后来发现很多网友可能由于手机品牌型号差异导致操作失误而锁住SIM卡，对此给大家造成的不便给大家道个歉，考虑不周啊。大家还是在网上搜索自己的手机对应品牌的SIM卡密码设置然后按照详细教程一步一步操作，如遇到SIM卡密码验证失败后出现PUK码输入要求，可联系运营商获取PUK码。请一定小心谨慎，必要时可到运营商营业厅设置。
自己长期从事金融行业信息系统的安全漏洞检测，也曾多次被自己发现的可直接影响账户资金安全的漏洞而震惊，但经历了这次盗刷事件之后我才发现，相比黑客利用各种高深的技术漏洞攻击金融信息系统，更可怕的是这种把每一项看似没问题的问题组合而成的犯罪，让人防不胜防。也希望今后在工作之余，能有时间把自己在金融信息安全行业的专业知识，用大家都能看得懂的方式写出来，提高大家的安全防范意识。
; f! R5 r' G( j' p


feel
3 d+ \2 `8 ]' S, O7 s( w7 l
很想知道如果是苹果手机呢？
3 {5 N1 z% U3 c, ~  N- n/ G$ j
  p! a& I2 n6 D; l- Q无论什么手机，都要第一时间挂失手机卡（SIM卡）。
: I( Q! b! M: ^- ]2 Y该案中，犯罪分子第一天并没有解开手机锁屏密码，于是干脆直接把“手机卡”从原手机拔出，插在其他手机上开机使用。
) M/ _* r5 }1 N6 }5 u8 d' l; P由于当时该手机卡既没有挂失，也没有设SIM卡密码，所以在其他手机上可以正常使用。
6 Y3 C5 s) a5 L% T  L这样在原手机没有解锁的情况下，犯罪分子利用失主的手机卡，先是获取了失主的手机号码，又利用一些APP漏洞，通过手机短信验证的方式获取了失主的身份证号码、照片等。
3 Q* e, d0 e! j7 ]" o$ [5 U' F, h, h
福田.佳灵(忆香香)
& t5 ?% z+ T" f
, i! F' H- A7 C% ]太吓人了，我花了半个多小时看完了，你们高手能这样，我们对于其中的某些东西都看不懂，更别说操作了，唉，科技进步了，危险也增加了
/ K4 B: T7 L. B3 S. A9 K+ ?8 [
别怕，SIM卡设个密码、手机设锁屏密码、丢失手机后马上挂失手机号，做到这三点，就很安全了。如果像文中一样，既没有设SIM卡密码，也没有及时挂及，就会很被动。

刘洋 liu yang

; g& ?5 c/ S. h) I+ J5 Q8 \; X* G 看了文章，马上设置SIM卡密码。联通的是1234。 移动1234不对，再次0000也不对，结果锁机了。
) N: X) W* N8 T! L# Q$ }; X
可好，需要PUK才能解锁。没办法跑去移动营业厅，可乐的是 前面一个大哥，我一听也是要PUK的，也是看这篇文章；再可乐的是 营业厅业务告诉我，这三天尽是来解锁的，都是看了这篇文章。
* {3 _6 S8 Z% r; |8 u- ^& J+ Z
最后告诉你移动的默认密码是1688，也不知道移动怎么跟马爸爸混一起了

谢谢分享。虽很多SIM卡的PIN码默认是1234或0000，但不都是，而三次输入错误就会锁机，只能用PUK码或联系运营商解锁。
保险起见，可以提前先查好自己的PUK码，再设置PIN码，有备无患；或者直接到营业厅办理设置。
! z. @& P7 X3 l+ R2 N% @) l- _
2 `! h9 t5 V# C3 [8 z
2 C( _3 J0 M$ @' t0 f0 U 整个问题起点就是挂失不了你的卡。电信公司有这么牛逼挂了还能解挂。关键是你说出手机被盗，客服还相信偷卡者花言巧语解挂，为何不找110帮你解释，事情的严重性，我就不信了

+ S6 l  _" j2 y8 H. s1 o2 D& v一杯清水
6 V( M! X' W6 n! E8 D7 r: P, }1971
0 |. C  w; i2 L5 _" H 首先挂失电话卡，然后电话给卡里有钱的银行，停止一切转账，APP支付。剩下的你就不要怕了。那个平台乱贷款你不用理他，让他找你然后去中国人民银行举报。什么京东苏宁都会乖乖地理赔！谁放贷谁负责！谁违规谁负责！
  x+ H- `8 m/ s5 ~
% c' E5 D2 k$ t1 N8 |
( ^+ U& Q, H% Y# b1 w' K6 ~% e 我刚刚想设置自己的sim卡密码，打电话给移动客服索要puk码，结果她居然什么也没验证就直接告诉我了，我问她不是应该先验证一下我的身份吗，她立马解释说她是今天刚刚到岗的，向我表示歉意。好气，所以就算设置了sim卡密码也不是万无一失的，手机信息安全，手机运营商一定要守好第一关啊！
7 g8 I5 P0 U: e; }: I$ E" e, h9 U4 e
应该核实身份证号码，但也不用担心。多数手机失窃都是陌生人作案，手机卡设了密码，小偷拿到就是废卡一张：既不知道手机号，也不能用这卡打电话收短信。那也就无法向运营商要PUK码了。
0 i9 ^- v1 u: ~0 e4 r6 l9 G' u) M" `
8 O' }% g- N' c: I: l. c/ e热德莱·库尔乔斯·占莱巴齐

4 m6 ~# `1 s" ]+ ^0 [. M 我两个手机，常用的生活手机上各个app，验证码都会发送到另一个工作手机上。

6 q0 a5 t- u8 ~; a9 D* F5 x1 q苫小牧
2 u0 T( d3 a  d6 ?: P0 B
# C) g( D5 @3 q- \- C( a 最笨的方法也是最有效的.所有涉及财产的主号用一个备用功能机（非智能机）。办一个副卡或者单独的号用在智能机上。智能机平时作为主力机。涉及任何验证码都使用备用机接收短信。把备用机号码（主号码）设置呼叫转移到智能机这个号码。平时微信上网刷视频接电话都不影响。就是需要转账或者验证码的时候用到备用机

N.Latitude 33
: u' \9 {0 f2 t' o
! ?1 a. C( l! }2 Y 感慨居然有这离奇的事，没有造成太大的损也算幸运。作为一个前运营商从业者说几句：电信的移网业务从3G时代才开始，比不上移动联通沉淀了20余年，所以特殊业务规则设计有不足之处。但所有规则是为了应对普遍化的、大概率的事件，为这种极小概率的事做一套繁复流程套用所有用户是任何一家公司都不可能发生的事，何况SIM卡密码从2G时代就已经有了。
, B* i7 @8 _& K# V3 s. W贴主想吐槽的是这种极其特殊的事件为何电信没有特殊应对吧，换位思考下，你是电信客服，一边是SIM卡持有人通过本机号码致电10000号，且有手机号密码和身份证号，另一边贴主你用的是其他手机号打10000号，电信客服应该相信谁呢？从保护客户信息角度看，10000号应该拒绝你才对（假如真有恶意的人想窃取手机号持有人的SIM卡呢，对吧？）
3 K7 ~) D! Z  M: }2 R8 w) W. ]4 s所以整件事能否这么解决：带着所有证明你本人信息的资料跑一趟派出所报案，请所里警员用固定电话致电10000号说明具体情况，申请挂失。
. K( K9 T/ ]# N0 W# Z! {% _最后，希望所有人都不会遇到这么倒霉的事
% u  ~4 O( O9 @! L' P8 k
Miya
/ O+ C/ f  Q( H# w0 ^2 n
$ S  N: v3 n3 l- B8 `/ y0 }# W 所以特别讨厌各大app改成手机密码实时登录，以前设置密码都打水漂了
作者
" c$ Y: |- N& t( M3 a
/ J, c1 `7 P# X短信验证确实是个注意点，文中在打电话挂失手机卡不顺利的情况下，就是靠电信网厅自助关闭了短信业务，有效中断了后续犯罪行为。

6 r+ _! b1 q$ b" l' A2 m* E: s婧婧
" O  t; T) g7 W2 f1 _
4 {2 U) X/ i( ^3 v2 a6 Y0 [! E4 [ 楼下说换iphone的，iphone被黑的在这里~直接变白砖头，黑客发来短信和邮件，解锁800，先支付，再解锁，对方连我设置的安全问题都可以改，都不知道他们怎么做到的。
* Y; ~! ?+ v& g  Q0 f
安，律师一枚..里格，
9 U; ~) t% Z* j0 q
6 ]# A" Q' ^' v; X6 R+ s) v2 A1 r% P1 I 四川人社，最大的漏洞，怎么说? 似乎没有下文啊
% x' ]) e) }7 i
作者在文中也说了，把四川人社换成其他地方社保APP也类似，发两条验证短信，身份证、照片、社保金融卡等重要信息就获取了，但他们本身不是金融机构， 对个人信息的保护要做成什么样也没个标准。只能说犯罪分子太狡猾，总能找到你想不到的渠道来获取身份证信息。
$ s8 n$ f* H8 Z: t& W
BD.King
. u1 M- P# F' v$ E- E
9 i# L* Z# D  d5 r8 D) v2 K9 ~0 z 我想跟@N.Latitude 33说，亏你还是电信从业人员呢，说这么不专业的话，就凭犯罪分子用的是本手机号，你就有理由相信它啊？何况是那么极端情况下，先别说去派出所报案的能不能受理，就算受理，能三分钟就受理（一般也会有个非常长的时间和程序），警察的座机打过去客服就能相信了？凭什么相信？再退一万步，安全问题他们没考虑周全就是没考虑周全，说一大堆废话逃避责任，就连你这个前人员都这么固执何况他们在任的呢！想想吧。解绑就是需要必要的流程和时间的，这是安全的前提，也是你自己泄露了手机密码自己应该承担的后果，管你泄露给了男女朋友还是啥人，只要报丢了，就得严格按着程序，去现场解除，这才是正确的程序。
; ]' Y/ J3 N/ l! t
* @  `0 S* a  f  @6 c7 h, I等待

一堆麻烦都是自找的。手机丢了带上身份证第一时间去营业厅挂失、补卡，不就完事了么?

7 l) M2 D: T; X" k1 \( s第一时间及时挂失、补卡是最好的。作者开头也提到了：当时不知道我怎么想的，觉得可能还有机会能找回，没有立即挂失手机卡，设置了华为找回手机的上线通知（这个不果断的决定，导致了后续悲剧的发生）

不紧张的小福贵

' J1 }* N% u6 l- W& T 刚被偷了一个苹果手机，有开机密码。被偷当时立马挂失手机号目前看起来一切正常，他们说苹果设置开机密码的话一般需要刷机，刷机后里面的信息都没有了！
) l- u* Y$ A  n$ k  z; t) Y
# q* M+ n) B. K6 n去留无意
2 ?" |3 b' w3 Y
看的胆战心惊，但是又欲罢不能。信息安全老骆驼，好伟大
& c. X8 E! ^4 S  g' c
# B4 x9 e8 R2 n9 Q7 p% b
你可以试试用携程订一张机票，选乘机人，所有绑定乘机人身份证/护照都是明码显示哦。
/ R3 _; c  }3 r4 q  R$ m
# p. V- s; z* C老板🌵再来一碗
341
也是厉害，都这样了，还去泡温泉

2 k$ S: z3 V: y$ q; Y眯眼猫Baby

! {4 Q' Y1 |/ H  K 16年苹果手机刚买了半年，晚上9点在自家楼下路口被盗！当时懵了一会后立马找旁边好德便利店，向营业员阿姨告知手机被偷需要借用电话，然后先把手机号码挂失，随后给每个银行打电话，要求把名下所有卡全部冻结，不用报卡号，转人工报身份证号，但是一定说是所有卡，（因为丢失状态下怎么可能记得带着所有的银行卡进行冻结呢）这里营业员阿姨还不收我电话费，并一直帮我想办法。挂失冻结结束，马上回家，打开电脑、平板，登陆所有社交APP，发送消息手机丢失，请勿相信借款、请误帮忙验证号码找回。早上等移动开门立马补了电话卡，并且银行卡在等待了半个月我才进行解冻，在冻结期间卡上的钱被转走银行担责任的，所以不怕！（16年小偷的盗窃流程应该还没发展金融借贷，不过套路短信天天有，从来不点开）

司乐
- a: _+ a2 _! d$ f4 J3 Z" P; {2 w
" m0 Z6 Q( h+ R" g5 P! y 个人补充一条：手机要设置锁屏时关闭短信内容预览，不然不用解锁手机也能看到短信验证码。iphone是在设置-通知-显示预览，选“解锁时”；或者选“从不”直接关闭，就是平时在app里收和贴验证码没那么方便。
' a1 H& F% ]4 j6 S* c* q
# k( e. S& M+ h; `' fpluto1018
4 l" i( Q5 d* ?1 |5 K' J
" l; b7 J9 Z/ q$ m* r5 s& E0 L" h 现在手机上的锁屏也不用密码了，都是指纹的，有问题吗？
5 u/ Y, h& i! W- G  ]  t- @
+ G" G- p& ~; \/ ?" ]; I指纹系统的安全性（指纹识别出错的概率）大致是五万分之一。密码系统则依赖于用户的使用习惯。对谨慎且记忆力好的人，密码更安全；但对于比较马虎的普通人，设置密码有点随便的，指纹更安全。

" M, S$ F, ^  _SHS DRS
$ o3 r9 C: g" c  b2 F
才知道电信如此之烂。移动没问题。丢过两次手机，第一时间挂失sim card. 非常安全。

able
% N. z3 W+ w! U+ F
0 }& o# A: `% j* S 手机号实名制都推广多少年了，还是不能落实。我记得2016年的时候就说，没实名制的手机号会停机。
- i; S- v& ~0 T$ o+ U小偷偷到手机，基本都要跟自己的手机号联系起来，发短信或者打电话。只要建立联系，通过手机号查对应的人，小偷是谁就确定了。
4 l. Y; ^5 p3 s$ t
当当
192
提醒一下，换手机号之前，一定要将绑定的各种账户解绑。亲身经历，我新换的手机号，注册支付宝，发现原来被注册过，而且信息不能更改，凭短信就能重置密码，登录之后发现还绑着银行卡，还能消费，也联系不到原使用人，不知道该怎么办
  g, X2 i3 h$ L
皮大叔2⁰2⁰

* z" q% v0 [% X# h 整个流程应该是：
4 m! T. O4 i! L# q- B' K% T9 @拔出手机卡插到其他手机，然后通过短信验证码登陆华为帐号（其他品牌手机也可以类似操作），重置手机登陆密码，解锁手机，然后在社保网站通过手机号码和验证码登录，取得身份证图像等信息，然后一步步进行其他转账、盗刷、开新卡、贷款操作。
( f7 ]. w  _( Z! i1 x- i注：通过设置SIM卡密码可以防止这种攻击。

  C8 B' d1 z* l. B) s潘欣荣
& T6 a/ s0 W1 S4 H/ ~- o
作为一个老IT人，我不会放过任何新技术、新业务的应用，但一条原则始终不变，就是手机坚决不绑信用卡以及大额借记卡。支付宝和银行卡之间根据船闸原理，根据需要用银行卡充一定数额，充值完毕关联即断开；必须绑卡的应用比如微信、滴滴出行可以绑一张保留少量金额的借记卡，余额不足时用别的银行卡向这张借记卡充值，这张借记卡和别的银行卡之间也形成船闸关系。作为招行的老用户，坚持在电脑上使用专业版，至今手机未装招行App。一次为办理某些业务，招行客服让我装App，但在安装过程中提示必须关联招行账户，果断卸载。我的电脑、手机使用频率不低于绝大部分用户，但我清楚在安全机制中手机是密码找回的主要手段，而手机自身丢失或被盗就失去了这种安全机制。

  R+ P6 e2 y( T7 C6 [, Xfree

我自己在2020年4月1日晚就手机被盗就遭受了此等遭遇，被不法分子在京东金融贷款接近3万，支付宝5万。警察叔叔立案了，但是至今没任何消息，我一直很疑惑为啥犯罪分子能弄到我社保卡然后绑卡套现从财付通转走，看了你这个我真是长知识了，谢谢解惑，最不要脸的京东金融每天还追我还款，一把辛酸泪。
1 C2 j0 C0 e/ M7 ~6 P1 Yfree
# _/ \" v* ^' {  {
, [& c) D) I+ `2 @' [气糊涂了，支付宝500，至今感谢支付宝的风控才没造成更大损失

猫姐Ada
. y) x5 {, [& E9 W8 D) P0 o) F
; n9 S; x, M+ b6 h: W" X. [2 A  N+ A# [ 呵呵，有趣的事情来了，文里的安全推荐，我马上试着设PIN码，然后电话移动公司客服先确定我是否设置过pin密码，然后服务员也没正面回答我是否设置，直接告诉我默认的一般是啥密码，精彩的来了，我还没问PUK密码，服务员就主动告诉我了，还说这个密码可能也会有用的，之前没有要求我做过任何安全验证啊！按这个文章说，这个PUK密码是最后一个重要的防线啊！然后被我说了几句，客服人员先是狡辩说，我这个是本机来电，所以才会告知，我说我是有歹心的非机主哪，她继续狡辩说，手机一般都设屏保密码的，然后我继续说，如果我不是机主然后把手机卡拿出来，用其他手机来电哪，在我的质问下客服人员才去翻阅标准安全流程是什么，然后才告诉我，应该先通过服务安全密码，然后才是告知身份证号码，最后才可以知道PUK密码的，然后才说了很多赔礼道歉的话。太有趣了，感情人家推文作者的心思白花了。希望我这个客服人员是个列。回头用其他手机号试下他们客服人员的安全性。
/ S: T5 f9 R' k, D6 j, W) D) R
8 G2 f9 q8 |1 k% ]' ~. `9 ]0 W8 g6 @亚蓝
138
移动也是真的坑，之前新办的移动sim卡，转天晚上就把手机丢了，还没来得及设置服务密码，赶紧打电话给客服，告诉我12点之后没有服务密码不能办理挂失，提供任何身份信息也没用，我说如果这期间坏人用我的手机卡做坏事，我遭受损失怎么办，告诉我没有办法，无法挂失，只能早晨八点以后再致电办理，太气愤了。
- T; X0 }* Y7 o
0 R0 ^8 {, c# S4 H3 d鹏鹏
+ k. G5 U. f3 `
8 v! p( q, U) w$ P" m0 d: j0 n 和上次那个案子一样，最初的漏洞都在运营商，上次那个案子后，运营商取消了远程换卡业务，希望运营商再改进一下。
: o6 @6 j0 E  t1 `/ C
5 _3 l/ J, U0 l: [; M+ R: E1 f葉? 峯

SIM卡密码就是PIN密码，PIN输错三次后，需要PUK码解锁，PUK码可以从买手机卡片上面找到，也可以联系运营商获取
2 @8 X, s- T  Y/ X1 D  F  F& M
六面体
1 K4 `' T9 }. n, }) W1 g; |( w3 |
* y) v: u- N2 ?) C& n5 k; K: h 楼主，我之前掉的手机也是在40分钟左右到了你定位的地方。
% J6 O  y, Y3 }3 r
WW

; x! n6 \* `' y# I" E  R/ H6 o& E 请教下，如果设了手机pin码，对方不将卡取出来，是不是也有机会破解手机开屏码？

% \6 R2 J1 X) m& i- c: g8 ]) z7 S
" |4 {/ s5 o3 |; o. D- n6 s0 G+ _2 q理论上是。但那就看犯罪分子需要多长时间才能破解锁屏密码了。如果破解需要的时间长，失主就可以抓住这段时间及时挂失手机卡，完成资金保护。

! m  x# d: r5 M( r% z; t' hiHTC

PIN码：为个人识别密码，统一初始密码为1234（目测自己的移动电信都是1234，刚改了密码了），客户购卡后，可参照手机说明书将其激活，也可自行进行修改，但如果启用了SIM卡的PIN码，开机后连续三次输入错误PIN密码将被锁定，需要PUK码解锁，客户可到营业厅办理免费解锁，解锁后的密码仍为初始密码1234。
鉴于各省业务规定存在差异，您可以详询当地10086。
8 u5 [& t# a! x0 Y" s. y1 u3 K; M
H.Eros

不可能啊。我挂失过，解挂麻烦求的很，要求各种认证。只要挂失电话卡，就可能避免很多操作。

紫色尘埃
! J$ q8 d5 w3 m3 N8 R" {
曾经在公交车上手机被偷，等发现已经转了另外一辆公交了，还好有好心人借给我手机马上打电话挂失手机号，到家立刻去营业厅重新办理新卡。不然后果不敢想象
' a# f6 o6 h  e7 z# b
  T1 n) {4 S9 y& h- g' omee.toon

5 @; n5 g/ m! ?! x8 W0 L* b4 @1 F7 ^" T N.Latitude 33 同学说得有道理，运营商在电话上很难分辨谁是真正的卡主。各大运营商应该设立24小时实体店，接受本人+身份证办理紧急业务，并且赋予实体办理最大权限

燕燕
. z+ [6 ^! v' B& z
我手机被我自己不慎丢失后，立刻用家属手机登录微信和支付宝并修改密码。同时致电手机绑定的银行卡客服冻结银行卡。因为手机营业厅人工客服已下班，只能第二天一早去营业厅补办卡，并当场验证我是否能接到电话。未开通云闪付。看了你的文章，决定把电子社保卡也解除了。

% R5 p; c! E( qzw
& ~& M5 x4 w' ]
  M9 d2 F8 v/ g! N1 ? 很好奇手机锁屏密码是怎么破解的。暴力破解？我没试过，按理说应该是输错几次密码以后，系统应该要隔一段时间才允许下一次尝试吧？6位数字密码，理论上需要试探100万次，一个晚上如何破解开？或者是安卓系统有其他漏洞可以有助于快速破解？
+ P: g! @9 v+ x7 D3 F2 \6 {9 D
3 L7 V) y' m* v/ Y  J- x+ r3 x+ H4 ULYNN

& L, g% N& v4 ~& z1 T 坐标昆明 8月底带着孩子去小板桥市场买菜时被偷了P30  当时报警无果 回来就立马电话挂失了号码 后来补了卡 换了P40 仍心痛娃一年多的照片未曾拷出来保存…
3 w# }  _) R4 t+ g9 w
9 E4 o& l8 ?1 O4 o' E; qjar

$ @6 B' d* z, i3 R 触目惊心。。看了两遍还有一事想不明白，倘若你手机丢失后立马挂失sim卡，为啥后面就安全了呢？犯罪分子不也一样可以取出卡放置到别的手机里，然后打10000解挂？
作者

4 n& v  s1 z. Z: lSIM卡能用，才能获取到手机号，才能收验证短信来获取身份证号等信息
$ B* o% V3 \- J$ _6 Y1 ?5 djar

哦哦，感谢回复。
4 \# w; S( l& {刚我拨打10000号咨询了（成都地区），客服告知我他们自己改进策略了，24小时之内可以挂失两次，但解挂只能一次

dlz
/ I$ Q  c7 J9 Y; o+ `
我就想知道手机号码的运营商服务密码没有身份证号码是怎么改的？你的第一步就存在问题
  z% S5 w! t7 r& E9 B作者
! t" Y! j1 ^( z+ g9 A4 ^
+ \3 ^( J; K5 U# I& d2 |6 y( j" ]0 g四川人社APP获取身份证号码
5 g1 j3 B1 m, ?  x
旭日映雪
0 {& W4 l5 m; c2 X# ~- n
说下我的一个相关经历:我淘宝上买的一个手机号，发现是别人过户的一个手机号，结果这个手机号在京东app通过手机号就直接登陆了，里面的购买记录，聊天记录一目了然…
4 A) D" }6 h" i; u5 y+ c
不为5斗米折腰2011
/ {" l6 R$ O4 _+ L  O
6 T3 {$ A5 ^5 p6 K 中国移动就可以选择手机被盗挂失停机，第二天去营业厅带好身份证才可以补卡
2 Z7 F- k( e. f2 W
+ q+ e: N$ T+ r" B* D8 F& f* y米兰

8 O- n. O5 s; H9 | 关于人脸识别，你们测试一下就明白。之前我朋友支付宝用我的脸来识别，嗯，识别通过了。通过了喔，惊不惊喜，意不意外。
- _$ g5 [% U- V% U  V
$ g1 M" D  C: l* n+ V- s复枫
8 x7 Q) Y) V3 W, l& A. O, A: P2 P
3 w( Q$ r4 C, N+ D4 O  I5 W- h 看这个遗失地点是高新时代晶科旁边的一条小路，该路段没有监控，去年也在这里掉了手机，可以锁定是4个东北人，偷了马上进了时代晶科小区，报案后公安因为没有调到被偷的监控所以没有立案，轨迹和手法一样，所幸当即办理挂失并抹除数据，对方再去成华途中我抹除相关数据的

清祀
! w0 \8 P5 }# }+ k2 @3 M! O
1 C. b2 V' x5 t: n  @& X 我觉得你这边说是四川电信问题最大的说不通，你是有身份证号，但是你用的是其他号码打过去挂失。而另一边小偷也有从社保局获取的身份证号码。这种情况下，营业厅没有办法选择相信哪一边。毕竟你这种是小概率事件。
加如程序被改为一旦挂失就不可以解挂，或许必须报警后相关证据才可以解挂，或者挂失，那么如果另外一边有用户就是遇到，被恋人恶意挂失手机卡的应该怎么办呢。

馥郁兰陵
& Q8 ^, ?3 R5 Z* f! r9 q
两年前也丢过手机，瞬间疯了，就地把号码各种账号处理了（我当时在体育馆，在柜台边不吃中饭打电话让妹妹帮忙操作，尤其是小米账号的），后来还通过定位功能找到手机位置，时不时发现位置变动，虽然已经去到门口了，但是别人的家怎么进去？几个月后快忘记时联系我让我加价几百赎回了，证实交接地点就在定位附近，这小米6一直用到现在，跟原来一样新，联通看来还行。

伏尔加河的鱼
4 R7 P& g& j3 f0 |% n8 j
6 i, r; z8 Y7 {# Q1 |/ q 手机卡插入新手机如果没有sim卡密码的话，如果是智能手机，不用发短信就可以识别出本机号码。设置中可以看到。
9 L  i  X9 Z: U
: i, P9 }& K6 [* F; }. M# x杨星

我的手机号之前别人用过，我可以通过这个手机号登录他注册的百度云，抖音，看到里面的内容

kimmy🎏
, @( r9 {& Q, P
看完五分钟拨通10086在没有提供任何个人信息的情况下要到了puk码
( y  M0 B6 u) P% m% B
棯蓝🐱°
7 f6 j+ g* h& Q" G: _/ a8 l* c' V
9月刚被偷手机的人来发言：移动更恶心，挂失都挂不了！非要提供最近一个月联系的三个人的电话号码，恰好和家里人一个月根本没有打过电话，联系的都是快递外卖什么的。报过去能记得的电话号都不在最近一个月里面。然后客服死都不给挂失，急哭了求它都没用，必须提供三个电话号！得亏没遇到这么高智商的作案团伙，不然损失更大…
( b/ L: p9 ?  Y3 {/ g" ^- w1 h
煨灶猫🐱
* p% E2 _+ B2 ?8 W
  m* w3 k% `2 u9 s$ W 还有一个点，如果异地丢失手机，是无法异地挂失手机号的。（2015年我深夜在上海的经历，现在不知是否有改变）如果犯罪团伙有备而来，这也是一个问题。
. I$ t" f7 }8 j
) C3 j: Z8 _2 Y3 h$ `? 面粉 ?
- _  c$ i. d% K/ }$ H
# F- M8 T: q, p- j6 |! T 我去年掉P30也是抱侥幸想用手机找回功能找回手机，连续报两次警，也定位了手机大概位置，因为警察也不能强行入户搜查最终没能找到，耽误了4小时才挂失。看了这篇文章好后怕，庆幸只是遭遇刁民而不是技术团队?。已点在看，要让更多人看到。话说两部手机的方法本人也在用
8 b! F* k8 L7 k( b9 U
张宏煜Mark
, F. }3 b- p3 @6 C
在这个案例里边，贼始终没有进入银行系统，一直利用手机号绑定来做文章。
/ O% x  t2 u& j' E, x3 P  R银行的问题在于，允许第三方支付通过手机号绑定银行卡，但是没有明晰得管理方法，用户往往不知道这里还有一个后门。
" z$ h- w# E! v1 |' L" t
. \' b# g# n; F% zhappyfunmeowmeow🍊
9 d0 N0 J1 R2 M: S3 T
' O, s- W6 Z& ~/ B& R" G* c( W 被偷过一部苹果手机，庆幸没有其他损失。当时在地铁站口被偷，两分钟之内拦下了一个小哥哥，借手机挂失手机卡、给银行打电话挂失所有有钱的银行卡，给朋友打电话让她帮忙挂失支付宝和微信。然后打电话报警去派出所做笔录，回去之后立刻用电脑登陆iCloud把手机设置了丢失状态。做完这些，借了别人一个不用的手机，立刻去营业厅补办手机卡，打电话发朋友圈告知亲友手机丢了，不要被骗。最后晚上一个人窝在角落里哭泣了俩小时，反思为啥边走路边带耳机听歌💩💩💩
: z6 E% J% W: z
- b9 e; ^+ c# n" G5 R. M程

. }# D" Z6 j1 Z' a, J 我的华为手机去年11月份在外面买东西，刚支付完，不到五分钟进行下一个商品支付发现手机找不到了，马上借别人手机打已经关机，十分钟之内赶回家马上进行手机卡挂失，支付宝等密码更改，万幸除了手机丢了没有其他损失，定位手机也是在小区周围，但也无法找回。后续也没有进行报警
5 V: L, ?. m6 V, ]
% u; X6 o3 C/ E0 M, f6 MV

) k! _; H" H2 t- b7 K: G 9月20号在成都地铁丢失手机。但不是被偷，车门刚关就反应过来手机丢失在座位上。马上去服务中心求助寻找。工作人员调了两个车厢监控没有发现，第一时间借路人手机打支付宝挂失顺利，微信需要验证码挂失，简直有病，手机都丢了怎么收验证码？打电信说明手机掉了要求挂失，客服说只能挂失封号三天，第一时间最好去营业中心补办。最后赶在六点之前去营业厅补办好手机卡，第一时间所有验证支付平台改密码指纹支付
; R6 w9 D2 w3 v
蓝天下飞翔🇨🇳

3 H: ]( S: N- u 我去年在市场买菜手机被偷了，还好我设有锁屏密码，和其他都设有密码。我当时还是害怕，第一时间去银行把卡冻结了，再给电信营业厅打电话把卡挂失。还好没有损失！

% O4 X; z5 e/ K4 T: {; C# z/ _- |老干部比白🐣
2 O4 z1 G8 a4 U0 p5 [' `* A' X; \
是不是如果设置了SIM卡密码 如果对方拔卡插到其他手机 因为手机卡有密码打开无法使用 然后对方这个时候也无法知道手机号码吧 这样好像就无法让运营商提供puk码吧？然后因为不知道手机号码和使用这个手机号 也暂时无法有下一步操作了吧？
作者
2 [7 @2 y; q( L* Q/ x
8 H7 u& c' d! R( U4 ?* }1 x手机卡（SIM卡）及时挂失，或设了SIM卡密码，都可以起到这样的阻止作用。
  v' W' B3 e- k
lsabella
& G5 b8 p. z1 A4 D$ |0 z" V0 c. I
( X" b. _: g$ i% W; [" e1 W 特意打电话给联通，电话卡挂失和解挂是每月不超过三次的。不知道电信为啥没有这种功能吗？可以无限制解挂？

故乡的云

不是这样子的？①设SIM卡密码，②设手机屏幕密码，③记下运营商和有关银行的挂失电话。
6 T% ]2 m8 U* ]0 Q9 |
马
: F' H, j! U' P+ M) v
那些说第一时间补办卡的，审题不清楚，楼主说的很清楚了，是在工作时间之后晚上被偷的手机，哪家营业厅晚上开业呀？

杨冰

如果是真的支付宝手机银行还是很可怕的，但是我怀疑是假的，因为我丢手机挂失后和手机支付的所有功能全丧失，必须本人亲自到银行才能开通。
作者
9 n/ d& }1 @2 h$ {4
2 M( [4 ~4 f0 Y! ^& K; G补充个好消息：
支付宝相关部门人员已回应指出，文章所披露的黑产在支付宝里没套到钱和信息；且支付宝承诺资金被盗全额赔付，包括手机丢失导致的。

. U5 f; p+ k" N* \, `1 o回应中提到，文中的对手确实是高阶黑产，但黑产在修改支付密码时被支付宝风控拦住了，查不了银行卡号，也没法收付款，才注册了一个新号，但新号也不能使用原号里的钱。
+ V) Z, k# Z" |( c
0 h! ^+ V  C( z相关人员指出，文中“有2点推断与实际情况不符，在这个case中：
1、黑产并没有突破人脸识别：能注册新号是通过其他渠道已掌握的身份信息和短信验证码，在常用设备上实现的。
2、黑产不是通过快速绑卡获得银行卡号的，而是通过输入用户的银行卡卡号+预留手机的短信验证码绑卡的，卡号是黑产通过其他渠道获得的。”

* |7 _  a; p* Z% M+ s回应同时表示，这篇文章既给用户提了醒，也让支付宝的风控能做进一步的优化。并建议大家单独为SIM卡设置密码， 能在一定程度上防止黑产接收验证码。

! Z* ^7 p$ D7 ]flyinthesky

" M$ R" y8 G, _4 r+ }5 o( D# X 我咨询了重庆移动公司，挂失了以后的手机号，需要本人带上身份证原件去营业厅办理解绑的。就是说罪犯通过获得的身份证信息和手机号等等，是不可以电话办理解绑的。不知道这个是不是各个省市的办理业务的区别？！

2 L3 `' i/ J3 F2 X! k. kfan
% l; i6 c9 w* B! L4 o3 K% L( t9 \$ |
$ H6 x7 q3 T! L3 @, ~" F+ X 几年前有一次在佛山黄芪那边上公交时被小偷偷了手机，当时是吓得手脚哆嗦，稍微清醒后第一时间打了10086通过客服报停了，第二让女儿报停银行卡包括上微信QQ发出提示手机丢了，然后到当地派出所办理相关报失手续，隔天一早过去移动营业厅补卡，谁知被告知必须回原来办卡所在地才能补卡，结果赶了最快的班车回到汕头立马第一时间就去补卡了，所幸没有什么损失！朋友们，出门在外必须用保护生命一样保护好自己的手机！
( M# n' h( M( u6 w
💕z💕

试了下移动的，确实漏洞，非工作时间不可以挂失手机卡,就算设置了手机卡PIN码,就算不知道PIN码,也可以在非工作时间通过智能语音自助找到PUk码,再通过PUK码重新设置PIN码;

/ D. y/ r' z+ {; R9 r尾生
9 O5 m( A6 r* e/ L
3 s# H7 }4 ^1 C. g 看到置顶的那位同学关于苹果的疑问，我建议大家打开自己手中的苹果设备，进入设置-账号与密码-App与网站密码，把每个账号点开，就能深深地认同作者“对敏感数据加个保护的实现技术有难度么？”这个激荡心灵的呼喊，虽然他们的安全性是稍微高点，但也建议大家不要太看高苹果，还是要自己多加小心。最近因为购买苹果设备，无意发现一件灵异事件，给苹果打电话打了一个小时，他们的高级技术专员都懵逼了，然后等回复等了十几天，一片寂静。找个时间，我也准备好好写写这个灵异事件。

# l0 M4 D; J  C* ~. ?2 X% O亚亚亚子YAY
2 e3 t) A1 n* I
追根到底就是手机挂失了可以在线解挂，我刚打移动客服咨询了，原来真的可以在线解，第一种是提供手机卡密码进行验证，第二种是提供最近通话的三个号码，所以，手机掉了第一步就赶紧挂失手机号吧，不要给犯罪团伙有打出电话的机会！

0 x  y9 X2 P, E& _; [洋洋

5 C3 i  ^2 ^  [, t6 n! U0 c1 s 苹果X刚出来的时候。我十一月份就买了一个，然后头年年初北京龙潭公园逛庙会被偷了。最牛逼的是一周后有人在东莞，把我手机破解了，瞬间都不设防了，银行卡里面幸亏只有七百多的现金都被京东买油卡了，刷我白条被我连夜给取消了。
, g& c9 B0 `" e, U* E; \1 Y5 Q
2 y7 ~/ f: J9 z余博华

/ e/ k  c# |$ E( [; V. K$ O 1、在 iPhone“设置”>“蜂窝移动网络”>“SIM 卡 PIN 码”；在 iPad 端请前往“设置”>“移动数据”>“SIM 卡 PIN 码”。

' U) o& N: P8 f2、打开或关闭 SIM 卡 PIN 码。

3、出现提示时，输入 SIM 卡 PIN 码。如果你从未使用过 SIM 卡 PIN 码，请输入运营商提供的默认 PIN 码，一般为 1234 或 0000。如果不知道默认的 SIM 卡 PIN 码，请勿随意输入，请务必联系运营商咨询。
  I4 R0 R# B' U, X
4、点击“完成”即可。

邓无邪

这文章之前就仔细看了一次，刚才又仔仔细细看了一遍。得出一个结论，在设置了SIM卡的PIN情况下，手机本身锁屏密码就是最后一道防线了。可要命的是，无论是看文章还是看评论，无论安卓还是iPhone，竟然锁屏密码都可以被破解？安卓我是不懂现在还有没有漏洞，但是iPhone之前不是牛逼地连FBI都破解不了锁屏密码吗？现在文章提到的一些金融机构都有后续了，很期待这些手机厂商的后续回复。手机锁屏密码如果都不能保证绝对安全，那真的是……很被动
; D$ d3 h; l6 d/ k% \
王zw🐻

广东的人社小程序粤省事，有人脸识别登录，微信支付密码登录两种，登录之后可以设置每次都用人脸识别登录，避免微信支付密码泄露之后被获得身份证号码

周红涛
* N/ b; U( Q! c
9 V1 `8 L2 s0 V9 x* H 花时间认真看完，让人毛骨悚然。
立马打陕西电信咨询:1、陕西电信客服回复，针对已经挂失的手机号进行解挂时，陕西电信刚刚在9月份增加了一条验证信息，在原来用原卡+身份证信息验证的基础上，增加了近期缴费时间和缴费金额加以双重验证，双重验证通过才能解挂；2、PIN码和PUK码需要，身份证号和服务密码验证才能找回。3、登录陕西人设App，发现可以通过手机号找回密码登录，但是无法获取银行卡和身份证完整信息。

Peter Lo 火星人

& O. L: w  x* |! L; C+ k. v 刚刚就误锁了sim卡，结果打开移动app，因为都是自动登入，在没有任何再检查的动作下，我直接找到PUK号.......这该说防不胜防吗……科技没有始终来自人性

霈可

一定给我置顶！
) Q( Y( P2 @9 M5 |* _( w# Z1 t, g你去京东app，设置-支付设置-我的银行卡-解绑所有的卡。这时候你以为没人知道你的卡了？“添加银行卡”下面有一排大大的红字“一键绑卡，无需手动输入卡号”…交通、平安、北京银行，都可以自动识别出你的银行卡，我有个十来年不用的卡都找出来了，然后就是短信验证码了～一个短信全搞定😓。这三个银行跟京东关系也太好了吧。我弃用京东了，再便宜也不用。
3 g1 ]: t0 R* o0 z/ X' e0 J, u
霈可

4 z) \2 j, V3 r很无奈，在我注销京东白条、京东金融、苏宁金融才发现。只要有手机卡就可以开户，只有开户了就可以利用手机卡号，一键绑卡，自动查询十多家银行的卡号。这个问题有人管管么？
3 E( C1 s6 M/ D3 H$ ?- D8 `7 u+ K
5 K) j- W5 b3 k6 A  ?1 LA七口

& B( {  v) H4 |- i( F# o 平衡安全和便利，个人向作者建议应对方法如下：
' w- @1 E$ m4 K  ]
1，设置SIM卡PIN锁定功能。（提示：本操作有一定锁卡风险，请按步骤谨慎操作，牢记密码）
1. 1，与运营商确认并安全保存SIM卡PUK码。
1.2，通过手机自带设置，更改PIN码（一般情况默认为1234），牢记。
5 t# A$ K, a0 J% V4 Z1.3，通过手机设置，开启PIN码锁。

& w* r4 K' |1 m0 |+ p2，设置手机锁屏密码，建议根据自身手机功能实际选择方式。个人建议安全等级顺序为：不限位数输入性密码>固定位数输入性密码>指纹>图形锁>基于安全硬件的人脸识别。不建议使用基于普通光学摄像头的人脸识别技术。
" `7 p" A9 k7 p* O8 S! B
3，根据手机品牌服务情况，启用找回手机、远程锁定、远程擦除数据等功能。
# S0 K; p3 b( U' A+ k  z
4，视情启用独立手机及号码，进行银行、支付平台、社保等敏感个人信息绑定，用于独立验证。关键在于独立于常用手机，两个手机同时被盗的概率大幅降低，绝大多数依赖短信验证方式的安全风险将大幅减少。

  y2 A2 V' |! U5，梳理个人资金管理及流动路径，尽量减少复杂度，减少如文中提到的某通、某东、某美之类的资金规模，多用如支付宝、银联、银行等进行资金归集和支出。
2 X6 I1 H+ b0 p+ {7 o- E
6，立即开始拟制“手机遗失后续工作清单”，作为应急预案，按优先级列举如手机号挂失补卡、银行卡挂失等工作事项，以及配套的联系电话或操作渠道信息。后续根据个人持卡情况持续更新迭代。后续如果不幸达到触发条件，立即启动预案第一时间处置。

0 |! D& [6 P: l: S阿特拉斯

1 a  W0 Q' o3 N) w% d 包括银行在内的金融机构，用户信息安全这块确实严重滞后，特别是国有机构，比如建行工行，我遇到过本地建行网点泄露客户信息，导致该支行注册客户被集体电信诈骗的案例，骗子获取乐包括网银登录密码在内的全套客户信息，然后利用金融理财功能把用户账户里的活期存款全改成死期存款，导致客户活期账户余额为领，然后利用部分客户一时无法理解和接受的心里进行电信诈骗。好在当时我第一时间致电建行总行冻结了银行卡，并从该处了解到活期存款被改死期的情况，幸而没有造成损失。

初阳

苹果的丢失模式也很鸡肋，只要解开锁屏密码 根本不需要ID验证，还有就是丢失模式有延迟 不会马上锁上。上次我把pad忘在教学楼，开启了丢失模式之后去拿，拿到手上的时候并没有锁到 大概隔了半个小时才提示已开启丢失模式……
2 g4 m. D9 [* d5 e% Y
7 s" p- Q9 U% `* [zlq
. J/ O; j$ I$ M0 y
正在惶恐中，前几天在景区手机被人顺走。打电话给警察，还说手机有密码对方进不去。后来狠狠打脸，挂失了手机卡，对方接连两天从我的支付宝消费（绑定银行卡，以为没剩多少钱）了好几次。补了卡回来，照样，有钱从我账户出去。

WENWEN雁

! \+ f+ K# s: h- E3 R" Q 留言有测试致电10086直接索要puk码的，应该换个手机号试试。如果手机有密码，卡有pin，应该没办法用原手机号索要puk码。移动公众号可以替他人索取puk，但是要提供服务密码。
; [7 w% u* ]" p( r
" Z# C# ~5 k  a& U" f张糯米
" G8 N$ p0 y" r$ Z- R6 h
单位手机挂失必须传真营业执照，需要很长时间确认。之前丢过一个单位手机，还好第一时间传真，也花了2小时。还好犯罪分子没有得逞
, O: s1 h( H( j1 N
# K3 D1 c; |5 q9 I3 l6 V* i月月
# E- @% n1 `! K( z' r
吓死我了，我这种马大哈，之前丢手机都忘了设密码，也没第一时间去挂失，还给手机发短信，请求归还，妈呀，最后还是没还回来，还好处了丢个手机没别的损失，真是太吓人
" U. \: t4 a7 w# \/ n  B
& ~- L6 c9 h: a+ l/ l生菜呢

看到有说异地无法挂失的，想告诉那位朋友，每个地区都会有个营业厅能异地补卡的。
19年在公交车上被偷过，损失降低到手机本身。被偷十分钟内借了同车乘客手机，打电话客服挂失锁卡，一小时内就去补卡并报警了。奈何监控不清晰，手机没追回，不过小偷也没能使用。毕竟我回家就开启丢失模式，在他上线时也试图放大铃声恶心他，猜测已经被拆零件了吧。

生菜呢

噢对！手机是苹果！朋友们一定要记住，手机被偷卡也锁了，会有短信通知发现手机正在尝试解锁/尝试更换手机卡各种，请登陆ID并查看信息之类的，千万不要点进去！这个是对方垂死挣扎想解锁手机，骗你ID密码的！

粗人

; w3 N* n) F0 `4 y- d 2020年10月11日 17时许，拜读文章立即给重庆移动10086人工致电，了解PIN初始密码，人工客服告知1234的同时，主动问我是否要PUK，我顿时惊了！这是没有验证是否为机主的前提下，极其主动告知。我善意提醒是不是需要验证，客服表示本机号码致电查询无需验证……

治

看到有人说：“楼下说换iphone的，iphone被黑的在这里~直接变白砖头，黑客发来短信和邮件，解锁800，先支付，再解锁，对方连我设置的安全问题都可以改，都不知道他们怎么做到的。” 这个是因为 用来作apple ID 的邮箱不安全，一个邮箱密码过于简单，或者邮箱本身不行 之前网易 qq等邮箱中过。拿到apple id的邮箱 就可以 发验证到邮箱 作修改。解决方法： apple 开启双重认证 基本就能解决。 这个方法一艘就有 。 另外 额外可以给apple id邮箱密码复杂些 不是什么生日之类的 找个安全性好些的邮箱

Galaxy
3 k/ P9 F2 Q& P/ @. d14
" [0 \' n% C/ f: c9 C 犯罪嫌疑人到底是如何进入手机的，是EMUI的老版本漏洞进入的？还是说是其他方案解锁了手机锁屏密码？

庆老五

看完此贴成功地把我的SIM卡锁死了
然后直接去电信营业厅，营业员干净利索回答没有PUK码，要找就去找自己的电话卡原卡（用了N年了到哪去找？）😓。于是要求补卡，结果查到单位欠网费，我的手机话费套餐跟单位网费有关联，不能补卡！🤬。打客服经理电话也没辙，今天休息要我明天到市里总公司去办理！难道我今天就这么失联了么？顿时我惊出了冷汗😰。最后只好再打10000电话求助（是不是有点讽刺效果？我在电信营业厅还要打10000求助😡！），结果那边接线员只问了我的姓名和身份证后六位就告诉了我PUK码，分分钟搞定！
! _5 d9 l4 e% O# ^) z( `
- o' E  ], W/ N% oTom 陆

试了一下，华为云里面不能远程解锁，只能远程擦除。手机遗失第一时间不要心存侥幸，果断远程擦除，应该也能解决一定的问题。PUK应该只能营业厅现场办理才合理。

% e1 l# ~: s7 c, s/ ^- x& i. @! V老马
# O; ?# G; T) [& z) u6 w& f/ r( {
我试过了，手机上两张卡，成都移动SIM卡和成都电信UIM卡，初始PIN码都是1234，可见种地不尽相同。卡锁密码只能设置成最多8位数字。另外，去年4月发生，由上海警方侦破的案件，手机都是在成都被盗的，9月来成都抓人，今年又有人中招，耐人寻味。
3 u( w3 M4 j0 d
8 }8 Z9 b! R% K: F% [( f% ~Eason2020

貌似还有个漏洞: 锁屏状态下启用紧急呼叫，拨打120等紧急号码，接通后通话期间，某些手机就可以在通话界面通过[功能]菜单进入通讯录，其中，小米手机通讯录自带本机号的二维码名片方便其他小米手机扫码获得本机号码...这样就无需解锁屏幕知道手机号了。
( i& a  T: L" e: m2 A& S' t
# f% Q# x1 O9 X) e4 c$ `gp⁶⁶

试过了，微信免输卡号添加银行卡需要人脸识别，支付宝只要验证码，跟支付宝客服扯了半天还是没有关闭这个功能
) V3 r# w# o) g$ T
7 |% |! P( W7 k) S9 V龙
- Z; l: K0 r5 x  ]8 ?9 c
我上次丢了苹果手机后，立刻挂失，两小时后重新补办新卡。打开苹果查找后，定位到是一个电子市场，手机定位到一家店铺，人家不承认收到这个机子，警察来了也没有用，果断开启数据清除。，当时我们再监控看到拿手机的人了，警察说找不到，就走了

云海松

花了好长时间看完，看完赶紧把手机里不该留的信息删掉

13675635870

现在换个手机号都好麻烦，一大堆绑定手机号，我的号已经用了十几年，改不了了。
  q" [4 I: F2 w  q  T. G* t2 [
- ^1 f3 B9 Q  O) x% `& c, i- u想换个号，换个便宜点的套餐都不行，套餐只能越换越贵，从18-38-58-88，现在只能选128以上的套餐了，坑逼

bsby

手机和钱绑定在一起，信息泄露后果很严重。

pipipi

移动过一段时间又打电话来让升级套餐
坚决不上当

小鲨鱼

钱都放我这保存，没钱就不要担心了

搞笑促进剂

步步惊心，防不胜防。
4 U" [# V. F2 `& p3 h, ?! H7 n
聪明才智用错地方了。

liz910140969

科技方便了生活，但隐患也越来越大

13731456393

看看都觉得可怕！

yi枪_2011

现在各种APP动不动就要求绑手机号。公民信息又泄漏得一塌糊涂