近期，上海市公安局黃浦分局經過縝密偵查，成功搗毀全國首個盜竊手機獲取手機SIM卡、冒充機主本人、竊取個人信息、盜刷信用卡的一條龍犯罪團伙，抓獲犯罪嫌疑人李某、王某等7名犯罪嫌疑人，涉案金額超過100萬元。

　　跟以往的信用卡盜刷案件不同，本案犯罪手法的關鍵用技術手段破解手機及SIM卡，其后通過手機接收驗證碼登錄，獲取受害人存留在OTA（在線旅游代理商）應用軟件完整呈現的身份證、銀行卡等信息，冒充持卡人重置信用卡密碼，進行盜刷，可謂防不勝防。

　　手機被盜后，信用卡遭離奇盜刷

　　2019年4月，黃浦警方接到某銀行信用卡中心報案，稱該行有多名信用卡用戶遭遇信用卡盜刷。

　　經初步偵查，警方發現這些受害人均系手機在四川成都被盜后，于短時間內被不法分子實施了支付盜刷。期間，疑似嫌疑人曾偽裝成信用卡用戶，撥打銀行客服電話，在報出受害人個人身份信息、信用卡還有效期等信息后，重置了手機銀行登錄密碼，實施盜刷犯罪。

　　奇怪的是，所有受害人手機均設有密碼鎖，且身份證、信用卡都在身邊，也未曾有過被盜或丟失的情況，犯罪分子是如何獲取受害人的身份證件和銀行卡信息的呢？這一新穎的犯罪手法立即引起警方重視，旋即成立專案組開展進一步偵查。

　　盜竊手機到盜刷信用卡，環環相扣

　　如今，手機銀行、支付軟件、OTA（在線旅游代理商）等各類手機應用十分普及，大多需要用戶提供身份證等信息進行實名認證。在一些OTA應用中，會完整呈現用戶身份證、信用卡等完整信息。專案組判斷，在如此短時間內就能獲取受害人的相關信息，問題應該還是出在被盜手機上。

　　警方偵查發現，犯罪嫌疑人利用被盜手機的SIM卡，裝入其他設備，用手機號碼作為賬戶名，通過忘記密碼，用驗證碼登錄，測試各類OTA軟件。“一旦登陸應用軟件后，犯罪嫌疑人可以通過訂票的方式，獲取受害人的完整身份證號碼等信息。”

　　除此之外，犯罪分子也可通過破解手機的方式，獲取受害人信息。“如果受害人的手機被破解，就能直接用手機中的OTA應用獲取受害人的個人身份信息，而后利用通訊錄、信用卡軟件等套取其他個人信息，就能向銀行客服要求重置信用卡密碼。”專案組民警調查發現，一旦手機被破解，后面的操作會變得十分便捷——打開應用軟件，選擇“忘記密碼”，再利用手機接收驗證碼，繼而重置OTA應用軟件的登錄密碼，查看并獲取常旅客身份信息。

　　用手機號、驗證碼登錄某OTA軟件后，常旅客身份信息被“裸露”

　　據初步統計，該犯罪團伙侵害的對象遠不只一家銀行，有多家銀行和支付平臺的10多個用戶都曾被以該犯罪手法盜刷卡內金額，涉案價值人民幣100余萬元。

　　一條龍團伙被搗毀，作案手法揭秘

　　隨著案件調查的逐漸深入，一個隱藏在四川成都，以嫌疑人李某、王某等人為首的犯罪團伙浮出水面。他們形成了盜竊手機、破解盜刷、套現來實施信用卡詐騙的犯罪鏈條。

　　警方調查發現，這伙人平時在成都街頭伺機尋找可供盜竊手機的目標，一旦竊得手機之后，便會在短時間內破解手機解鎖碼，窺探受害人手機中的個人身份證件以及銀行卡號等信息。為了成功實施犯罪，李某等人會通過已知的受害人個人身份信息致電手機網絡運營商，要求更改手機服務密碼，取得手機號碼的實際控制權。等到失主補辦好手機卡時，發現信用卡已經遭遇盜刷。

　　9月6日凌晨，專案組經過周密部署，在當地警方的密切配合下于成都市內多處地點開展收網行動，一舉抓獲李某、王某等7名犯罪嫌疑人，查獲作案用的手機、銀行卡等工具。9月9日晚22點，7名犯罪嫌疑人被上海黃浦警方押解回滬。

　　偵查員查獲手機等作案工具

　　李某等人到案后交代，他們在盜竊手機后，先破解手機，不成功就獲取SIM卡，插入“工作手機”，其后通過手機內的OTA軟件，利用手機號碼和驗證碼登錄后，套取受害人身份人信息，偽裝成持卡人撥打銀行客服，以獲取被害人完整的身份、銀行卡等信息，綁定第三方支付軟件，實施盜刷。

　　本案中，獲取受害人身份信息，成為盜刷賬戶的基礎。原本便利用戶生活的APP，反而成為了嫌疑人解鎖的“幫兇”。嫌疑人控有他人SIM卡后，插入工作機進行使用。再以此手機號為用戶名，僅需通過短信驗證碼的方式，便能在攜程、去哪兒等多個OTA平臺，嘗試登陸。成功登陸后，只要被害人曾通過一款出行軟件訂購過火車票、機票，嫌疑人便能通過再次“預定”車票的方式，輕易獲取被害人的姓名、身份證號碼。

　　其后，犯罪嫌疑人再通過“恢復大師”“51信用卡軟件”，從受害人手機中獲取信用卡信息。“如果你在手機里存放有信用卡的照片，那犯罪分子很快就能獲取你的信用卡信息。”偵查員告訴記者，此時，犯罪分子利用身份證信息和卡的信息，冒充持卡人撥打銀行信用卡客服，修改密碼。

　　此外，憑借身份證號，嫌疑人還能修改被害人第三方支付軟件的登陸密碼，此時雖無法進行資金結算，但卻能通過“已綁銀行卡”來了解被害人已在哪些銀行申領辦卡。掌握上述信息后，嫌疑人繼而撥打銀行客服電話，在線核對身份證號碼、銀行卡預留注冊信息、短信驗證碼后，便能重置銀行APP的登陸密碼。最后通過輸入短信驗證碼的方式，便能獲取此銀行卡完整的卡號。

　　握有機主的身份證號、名下銀行卡號，并控制著手機號碼通訊權利后，嫌疑人便能對移動支付APP的支付密碼進行重置。由此，受害人綁定的所有銀行卡及零錢，都將被嫌疑人所控制，進而實施盜刷。

　　目前，犯罪嫌疑人李某等7名犯罪嫌疑人已被黃浦警方采取刑事強制措施，案件正在進一步審理中。

　　警方兵分多路將犯罪團伙一網打破

　　一“卡”在手信息全有，原有防護措施難防風險

　　在這起案中，犯罪分子得逞的關鍵在于過了獲取受害人的身份證號碼等信息，之后的操作就“水到渠成”。

　　OTA應用軟件使用訂票、預訂酒店等功能時，都需要使用個人證件號碼。打開這些軟件，個人無法直接看到證件號碼。但是記者在某款常用軟件看到，點擊“查看”按鈕后，手機短信會收到一條驗證碼，在軟件上輸入驗證碼即可顯示證件號碼等信息。“這些軟件大多可以通過手機號注冊，也可通過手機接收驗證碼的方式，直接登錄軟件。如果手機丟了，SIM卡被人冒用，那OTA應用軟件相關于泄露個人身份信息的‘捷徑’。”業內人士表示，這些軟件應進一步提升安全防范等級，比如隱去部分身份證號碼等。

　　在一些業內人士看來，手機驗證碼這樣的“保險”方式在當下已經失去作用。在移動互聯時代，智能手機已經不再是單純接打電話、發送短信的通信工具，它更像是我們的生活管家，網上購物、移動支付及各種銀行APP管理著你的財產，生活中珍貴的照片、朋友的聯系方式也都存在手機中，可以說它已成為每個人生活中必不可少的工具之一。而手機SIM卡則在某種意義上成為了公民的另一張“身份證”。

　　“有SIM就相當于掌握了手機號，可以在手機上用驗證碼驗證登錄的方式攻破很多手機應用的防火墻。”業內人員表示，手機被盜、遺失后，第一時間聯系運營商進行緊急停機，避免不必要的損失。“手機應用軟件的風控、安全系統應及時升級。比如除了實名認證外，也可增加生物識別技術驗證，確認實人使用，為應用軟件的使用安全加一道防火墻。”（來源：上觀新聞）

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：杜琰 SF007