手机一丢，倾家荡产！运营商手机挂失竟然还有漏洞！

你可知道：

已经挂失的手机号码，还可以通过运营商客服电话轻松解除挂失吗？

本以为设置了SIM卡密码就高枕无忧了，没想到被窃贼轻松攻破？

短信验证码功能，可以开启你多少app的大门吗？

凭你遗失的手机卡，就可以让你负债累累吗？

这绝不是危言耸听！

近期，一篇文章《一部手机失窃引发的惊心动魄的战争》在朋友圈热传，让不少网友惊醒：过去丢手机，可能损失的只是一部手机的钱；如今丢了手机，可能搭上“全部身家”甚至因此背上贷款！

被热传的文章，是一位自称有10年信息安全从业经历的安全专家“老骆驼”，根据自身亲身经历所写。由于原文太长，过程相当折磨人，这里简要回顾下：

事件回放：

9月4日：

1）19点30分左右，老骆驼手机遗失，未及时挂失。

2）20点54分左右，手机卡被安装在其他手机上，利用短信验证码，获取到了多个APP上的身份信息、银行卡信息。同时，修改了运营商处的服务密码。

3）21点，老骆驼冻结了支付宝、微信、云闪付，更换常用APP关联手机号码。

4）21点开始到次日凌晨5点，这个时间段一直在重复：老骆驼申请挂失，然后坏人申请解除挂失；老骆驼再申请挂失，再被坏人解除挂失的操作，如此往复数次 …

这个过程中，四川电信的挂失与解除挂失规则有漏洞（据悉，目前四川电信已修改该规则，但仍有破绽，见后文分析）。

而在这个时间段，坏人利用手机号干了如下坏事：

（1）安装了一些金融APP，贷款！

（2）注册了一些购物APP的账号，刷卡消费！

最终，在老骆驼不断阻击中，还是被金融APP套走5000元，etc信用卡有各种买卡、充值的记录几千元，银联转账记录几千元。文章曝光后，损失陆续找回，但过程很崎岖。

整个事情的过程，让很多网友大跌眼镜。

我们每个人都有遗失手机的可能性，虽然几率很低，但如果恰好发生在自己或亲人身上，会相当相当麻烦。有了老骆驼的前车之鉴，小编在当天就按文章介绍的方法设置了SIM卡密码，并修改了默认的PIN码为一个复杂密码（移动默认为1234），本以为可以高枕无忧了，没想到聊天时有同事说这仅仅是个摆设！并且挂失解挂的过程中也仍有漏洞。

为了一探究竟，我们西部数码（west.cn）的团队兵分几路，于2020年10月16日，分别对四川移动、电信、联通的手机挂失/解除挂失流程进行了测试分析：

一、四川移动
挂失：可凭借服务密码；或者最近60天内三个有效通话记录手机号，拨打10086客服电话挂失。

解除挂失状态：凭挂失时选择的方式（如果挂失时选择了服务密码挂失，则提供服务密码解除；如果选择三个有效通话记录挂失，则需要提供申请挂失时提供的三个电话号码）。
如果遗忘sim卡密码（PIN码）：

四川移动客服要求提供：手机卡背后的4串数字，核实后直接提供了PIN码和PUK码（它的主要功能就是当SIM卡输入错误的PIN码，导致手机被锁住时用来解锁的码），然后顺利解锁。

值得称赞的地方：如果没有服务密码，解除挂失状态时必须严格验证申请挂失时的三个手机号码，这可能防止坏人解除挂失（他通常猜不到机主提供的是哪三个号码）。

存在的漏洞/不足：

PUK码获取太过容易（没有进行任何的安全验证），试想一下：手机被盗/遗失，此时手机卡已经在坏人手里，他凭卡背后的数字致电客服，轻松绕过PIN码锁定，解锁手机卡。机主设置的PIN码锁定失去了安全屏障。

建议：四川移动对获取PIN/PUK码改为需要去线下实体营业厅办理，或者在移动的APP里面经过人脸识别后提供也可以。

二、四川电信

挂失：可凭服务密码；或者上个自然月的三个有效通话手机号码，拨打10000号客服电话挂失。且24小时内仅允许电话解除挂失一次。

解除挂失：与挂失提供的凭据一样，但不需要像移动那样验证申请挂失时的号码，上个自然月的三个有效通话手机号码。

如果遗忘sim卡密码（PIN码）：

要获取PUK码，需要登录网上营业厅，或者去线下实体营业厅办理。

四川电信，在这次老骆驼事件中，是重要主角之一，经过这次事件，有所改进（改进为24小时内仅允许电话解除挂失一次），但这个改进，仍有不完善之处：绝大多数人在丢失手机后会第一时间挂失，但99%的人不知道坏人还可以凭通话号码就可以在线解除，所以仅有的这一次电话解除机制更像是为坏人留下了一个后门。

至于服务密码和三个通话号码的获取：黑产拿到手机卡后，可以第一时间凭身份证号和手机验证码登录网上营业厅获取。而身份证号码可以通过社保APP、携程APP等很多途径获取到（通过SIM卡插到其他手机上得到的验证码）

建议：四川电信改为跟四川移动的政策同步：解除挂失时需要验证提供的三个号码必须跟挂失时报的号码完全一致，这样即可堵住漏洞。至于24小时解除一次还是多次其实不是关键。

三、四川联通

挂失：可凭服务密码；或者提供机主姓名+身份证号码以及办理手机卡时预留的联系地址或联系电话（地址/电话必须其一）。

解除挂失：只能带上身份证去营业厅办理。

如果遗忘sim卡密码（PIN码）：

只能去营业厅办理。

四川联通不清楚是否因为最近这个事件影响而临时调整过政策，挂失时必须提供办理手机卡时登记的地址或者联系电话，大多数人的电话卡应该用了多年了，谁还能记得当年办卡时留过的其他号码呢？当年办卡预留的地址也可能很多人搬过家记不清是留的哪个地址了。

机主手机丢失了，本来就很着急，想第一时间挂失，结果四川联通因为“安全”考虑设置的条件可能让很多机主挂不了失！

建议：四川联通在挂失条件上参考移动和电信的规则，提供最近3个月的三条通话记录就行了。

其实，“老骆驼”的经历并非个案。这不过是偷窃手机、盗刷银行卡受害者中的冰山一角。目前，全国手机网民接近10亿，丢失手机引发的盗刷现象正在成为新一轮的财产安全隐患。

那么，对于我们普通人，如何才能尽可能避免新的安全隐患，做到财产安全呢？

根据对目前各运营商的服务规则测试，我们总结出如下建议：

1. 给自己的手机sim卡设置密码。

2. 给手机设置屏幕锁。

3. 确保手机锁屏状态下来短信无法看到短信验证码内容（苹果手机默认是能看到的，需要设置关闭）。

4. 如果手机意外遗失（被偷/被抢），立即致电运营商客服进行挂失申请并尽快补办新卡。

当然，保障钱财安全，做好手机防护，仅有用户参与还远远不够，仅有上述的设置也是不够的。如果运营商的政策不调整，那么用户设置的安全防线也没有意义。

上面就是西部数码团队对四川地区三大运营商在处理手机挂失/解挂的情况汇总，我们已经就这些漏洞和建议反馈给了运营商客服，但运营商政策的调整一般不是太容易的，希望此文能引起运营商相关团队的注意，提升风控意识，通过积极行动协助老百姓保护手机安全、保护老百姓的钱袋子。

因为区域原因未测试其他省份的情况，可能其他省份也多少存在类似的问题。也欢迎广大网友向本省运营商咨询/测试一下他们的相关服务规则，在评论区留言告诉我们。

如果大家有认识运营商的相关部门人员，请发给他们研究流程的优化改进; 也欢迎大家转发给亲戚朋友，共同重视手机安全风险。

原创文章，作者：端木书台，如若转载，请注明出处：https://blog.ytso.com/249783.html

手机一丢，倾家荡产！运营商手机挂失竟然还有漏洞！

相关推荐

发表回复