近期，上海市公安局黄浦分局经过缜密侦查，成功捣毁全国首个盗窃手机获取手机SIM卡、冒充机主本人窃取个人信息、盗刷信用卡的一条龙犯罪团伙。抓获李某、王某等7名犯罪嫌疑人，涉案金额超过100万元。

为何盗取手机会造成如此大的损失？他们如何作案？警方披露了案件细节。

手机被盗后，信用卡遭离奇盗刷

今年4月，上海黄浦警方接到某银行信用卡中心报案，称该行有多名信用卡用户遭遇信用卡盗刷。

经初步侦查，警方发现这些受害人均系手机在四川成都被盗后，短时间内被不法分子实施了支付盗刷。

其间，犯罪嫌疑人曾伪装成信用卡用户，拨打银行客服电话，在报出受害人个人身份信息、信用卡有效期等信息后，重置了手机银行登录密码，实施盗刷犯罪。

奇怪的是，所有受害人手机均设有密码锁，且身份证、信用卡都在身边，也未曾有过被盗或丢失的情况，犯罪嫌疑人是如何获取受害人的身份证件和银行卡信息的呢？

这一新颖的犯罪手法引起警方重视，立即成立专案组开展进一步侦查。

盗窃手机到盗刷信用卡，环环相扣

如今，手机银行、支付软件、OTA（在线旅游代理商）等各类手机应用十分普及，大多需要用户提供身份证等信息进行实名认证。

在一些OTA应用中，会完整呈现用户身份证、信用卡等信息。专案组判断，在如此短时间内就能获取受害人的相关信息，问题应该还是出在被盗手机上。

警方侦查发现，犯罪嫌疑人利用被盗手机的SIM卡，装入其他设备，用手机号码作为账户名，用手机接收验证码登录，测试各类OTA软件。

一旦登录应用软件后，犯罪嫌疑人可以通过订票的方式，获取受害人的完整身份证号码等信息。

除此之外，犯罪嫌疑人也可通过破解手机的方式，获取受害人信息。专案组民警调查发现，一旦手机被破解，后面的操作会变得十分便捷。

据初步统计，该犯罪团伙侵害的对象远不只一家银行。有多家银行和支付平台的10多个用户都曾被以该犯罪手法盗刷卡内金额，涉案金额高达人民币100余万元。

一条龙团伙被捣毁，作案手法揭秘

随着案件调查的逐渐深入，一个隐藏在四川成都，以李某、王某等人为首的犯罪团伙浮出水面。他们形成了盗窃手机、破解盗刷、套现来实施信用卡诈骗的犯罪链条。

警方调查发现，这伙人平时在成都街头伺机寻找目标。一旦窃得手机，便会在短时间内破解手机解锁码，窥探受害人手机中的身份证号以及银行卡号等信息。

为了成功实施犯罪，李某等人会通过已知的受害人个人身份信息致电手机网络运营商，要求更改手机服务密码，取得手机号码的实际控制权。等到失主补办好手机卡时，发现信用卡已经被盗刷。

9月6日凌晨，专案组经过周密部署，在当地警方的密切配合下在成都市内多处地点开展收网行动，一举抓获李某、王某等7名犯罪嫌疑人，查获作案用的手机、银行卡等工具。

9月9日晚10点，7名犯罪嫌疑人被上海黄浦警方押解回沪。

李某等人到案后交代，他们在盗窃手机后，先破解手机，不成功就取出SIM卡，插入“工作手机”，其后通过手机内的OTA软件，利用手机号码和验证码登录后，套取受害人身份人信息，伪装成持卡人拨打银行客服，以获取被害人完整的身份、银行卡等信息，绑定第三方支付软件，实施盗刷。

本案中，获取受害人身份信息，成为盗刷账户的基础。原本方便用户生活的应用软件，反而成为了犯罪嫌疑人窃取信息的“帮凶”。

犯罪嫌疑人掌握他人SIM卡后，插入“工作机”进行使用，再以此手机号为用户名，仅需通过短信验证码的方式，便能在携程、去哪儿等多个OTA平台，尝试登录。成功登录后，只要被害人曾通过任何一款出行软件订购过火车票、机票，嫌疑人便能通过再次“预定”车票的方式，轻易获取被害人的姓名、身份证号码。

之后，犯罪嫌疑人再通过“恢复大师”“51信用卡软件”，从受害人手机中获取信用卡信息。

如果你在手机里存有信用卡的照片，那犯罪嫌疑人很快就能获取你的信用卡信息。”侦查员说。此时，犯罪嫌疑人利用受害人身份证和信用卡信息，冒充持卡人拨打银行信用卡客服，修改密码。

此外，凭借身份证号，嫌疑人还能修改被害人第三方支付软件的登录密码。此时虽无法进行资金结算，但却能通过“已绑银行卡”来了解被害人在哪些银行申领办卡。掌握上述信息后，犯罪嫌疑人之后拨打银行客服电话，在线核对身份证号、银行卡预留注册信息、短信验证码后，便能重置银行软件的登录密码。

最后通过输入短信验证码的方式，便能获取此银行卡完整的卡号。

掌握机主的身份证号、名下银行卡号，并控制着手机号码通讯权利后，犯罪嫌疑人便能对移动支付软件的支付密码进行重置。

由此，受害人绑定的所有银行卡及零钱，都将被犯罪嫌疑人所控制，进而实施盗刷。

目前，李某等7名犯罪嫌疑人已被黄浦警方采取刑事强制措施，案件正在进一步审理中。

一“卡”在手信息全有，原有防护措施难防风险

在这起案件中，犯罪嫌疑人得逞的关键在于获取了受害人的身份证号等信息，之后的操作就“水到渠成”。

OTA应用软件使用订票、预订酒店等功能时，都需要使用个人证件号码。打开这些软件，个人无法直接看到证件号码。

但是记者在某款常用软件看到，点击“查看”按钮后，手机短信会收到一条验证码，在软件上输入验证码即可显示证件号码等信息。

“这些软件大多可以通过手机号注册，也可通过手机接收验证碼的方式，直接登录软件。如果手机丢了，SIM卡被人冒用，那OTA应用软件便成了泄露个人身份信息的‘捷径。”业内人士表示，这些软件在今后应该进一步提升安全防范等级，比如隐去部分身份证号码等。

在一些业内人士看来，手机验证码这样的“保险”方式在当下已经失去作用。

在移动互联时代，智能手机已经不再是单纯接打电话、发送短信的通信工具。它更像是我们的生活管家，网上购物、移动支付及各种银行软件管理着你的财产。可以说它已成为每个人生活中必不可少的工具之一。

而手机SIM卡则在某种意义上成为了公民的另一张“身份证”。

“有SIM卡就相当于掌握了手机号，可以在手机上用验证码验证登录的方式攻破很多手机应用软件的防火墙。”业内人士表示，手机遗失后，要第一时间联系运营商进行紧急停机，避免不必要的损失。

手机应用软件的风控、安全系统应及时升级。比如除了实名认证外，也可增加生物识别技术验证，确认本人使用，为应用软件的使用安全加一道防火墙。

另外，警方提醒：广大市民在外出及临睡前一定要关好门窗，在进入公共场所时，切勿将手机随意放置，以防被盗。

一旦发现手机被盗，在报警的同时，要尽快登录手机钱包冻结相关银行卡。

此外，手机开机及支付密码设置不能过于简单或与出生年月相同，以免造成不必要的损失。

（《解放日报》2019.9.15）