攜程飛豬51信用卡等APP裸露個(gè)人信息 或成盜刷銀行卡信源近期，上海市公安局黃浦分局經(jīng)過(guò)縝密偵查，成功搗毀全國(guó)首個(gè)盜竊手機(jī)獲取手機(jī)SIM卡、

攜程飛豬51信用卡等APP裸露個(gè)人信息 或成盜刷銀行卡信源

近期，上海市公安局黃浦分局經(jīng)過(guò)縝密偵查，成功搗毀全國(guó)首個(gè)盜竊手機(jī)獲取手機(jī)SIM卡、冒充機(jī)主本人、竊取個(gè)人信息、盜刷信用卡的一條龍犯罪團(tuán)伙，抓獲犯罪嫌疑人李某、王某等7名犯罪嫌疑人，涉案金額超過(guò)100萬(wàn)元。

跟以往的信用卡盜刷案件不同，本案犯罪手法的關(guān)鍵用技術(shù)手段破解手機(jī)及SIM卡，其后通過(guò)手機(jī)接收驗(yàn)證碼登錄，獲取受害人存留在OTA(在線旅游代理商)應(yīng)用軟件完整呈現(xiàn)的身份證、銀行卡等信息，冒充持卡人重置信用卡密碼，進(jìn)行盜刷，可謂防不勝防。

手機(jī)被盜后，信用卡遭離奇盜刷

2019年4月，黃浦警方接到某銀行信用卡中心報(bào)案，稱該行有多名信用卡用戶遭遇信用卡盜刷。

經(jīng)初步偵查，警方發(fā)現(xiàn)這些受害人均系手機(jī)在四川成都被盜后，于短時(shí)間內(nèi)被不法分子實(shí)施了支付盜刷。期間，疑似嫌疑人曾偽裝成信用卡用戶，撥打銀行客服電話，在報(bào)出受害人個(gè)人身份信息、信用卡還有效期等信息后，重置了手機(jī)銀行登錄密碼，實(shí)施盜刷犯罪。

奇怪的是，所有受害人手機(jī)均設(shè)有密碼鎖，且身份證、信用卡都在身邊，也未曾有過(guò)被盜或丟失的情況，犯罪分子是如何獲取受害人的身份證件和銀行卡信息的呢?這一新穎的犯罪手法立即引起警方重視，旋即成立專案組開(kāi)展進(jìn)一步偵查。

盜竊手機(jī)到盜刷信用卡，環(huán)環(huán)相扣

如今，手機(jī)銀行、支付軟件、OTA(在線旅游代理商)等各類手機(jī)應(yīng)用十分普及，大多需要用戶提供身份證等信息進(jìn)行實(shí)名認(rèn)證。在一些OTA應(yīng)用中，會(huì)完整呈現(xiàn)用戶身份證、信用卡等完整信息。專案組判斷，在如此短時(shí)間內(nèi)就能獲取受害人的相關(guān)信息，問(wèn)題應(yīng)該還是出在被盜手機(jī)上。

警方偵查發(fā)現(xiàn)，犯罪嫌疑人利用被盜手機(jī)的SIM卡，裝入其他設(shè)備，用手機(jī)號(hào)碼作為賬戶名，通過(guò)忘記密碼，用驗(yàn)證碼登錄，測(cè)試各類OTA軟件。“一旦登陸應(yīng)用軟件后，犯罪嫌疑人可以通過(guò)訂票的方式，獲取受害人的完整身份證號(hào)碼等信息。”

除此之外，犯罪分子也可通過(guò)破解手機(jī)的方式，獲取受害人信息。“如果受害人的手機(jī)被破解，就能直接用手機(jī)中的OTA應(yīng)用獲取受害人的個(gè)人身份信息，而后利用通訊錄、信用卡軟件等套取其他個(gè)人信息，就能向銀行客服要求重置信用卡密碼。”專案組民警調(diào)查發(fā)現(xiàn)，一旦手機(jī)被破解，后面的操作會(huì)變得十分便捷——打開(kāi)應(yīng)用軟件，選擇“忘記密碼”，再利用手機(jī)接收驗(yàn)證碼，繼而重置OTA應(yīng)用軟件的登錄密碼，查看并獲取常旅客身份信息。

用手機(jī)號(hào)、驗(yàn)證碼登錄攜程后，常旅客身份信息被“裸露”

據(jù)初步統(tǒng)計(jì)，該犯罪團(tuán)伙侵害的對(duì)象遠(yuǎn)不只一家銀行，有多家銀行和支付平臺(tái)的10多個(gè)用戶都曾被以該犯罪手法盜刷卡內(nèi)金額，涉案價(jià)值人民幣100余萬(wàn)元。

一條龍團(tuán)伙被搗毀，作案手法揭秘

隨著案件調(diào)查的逐漸深入，一個(gè)隱藏在四川成都，以嫌疑人李某、王某等人為首的犯罪團(tuán)伙浮出水面。他們形成了盜竊手機(jī)、破解盜刷、套現(xiàn)來(lái)實(shí)施信用卡詐騙的犯罪鏈條。

警方調(diào)查發(fā)現(xiàn)，這伙人平時(shí)在成都街頭伺機(jī)尋找可供盜竊手機(jī)的目標(biāo)，一旦竊得手機(jī)之后，便會(huì)在短時(shí)間內(nèi)破解手機(jī)解鎖碼，窺探受害人手機(jī)中的個(gè)人身份證件以及銀行卡號(hào)等信息。為了成功實(shí)施犯罪，李某等人會(huì)通過(guò)已知的受害人個(gè)人身份信息致電手機(jī)網(wǎng)絡(luò)運(yùn)營(yíng)商，要求更改手機(jī)服務(wù)密碼，取得手機(jī)號(hào)碼的實(shí)際控制權(quán)。等到失主補(bǔ)辦好手機(jī)卡時(shí)，發(fā)現(xiàn)信用卡已經(jīng)遭遇盜刷。

9月6日凌晨，專案組經(jīng)過(guò)周密部署，在當(dāng)?shù)鼐降拿芮信浜舷掠诔啥际袃?nèi)多處地點(diǎn)開(kāi)展收網(wǎng)行動(dòng)，一舉抓獲李某、王某等7名犯罪嫌疑人，查獲作案用的手機(jī)、銀行卡等工具。9月9日晚22點(diǎn)，7名犯罪嫌疑人被上海黃浦警方押解回滬。

偵查員查獲手機(jī)等作案工具

李某等人到案后交代，他們?cè)诒I竊手機(jī)后，先破解手機(jī)，不成功就獲取SIM卡，插入“工作手機(jī)”，其后通過(guò)手機(jī)內(nèi)的OTA軟件，利用手機(jī)號(hào)碼和驗(yàn)證碼登錄后，套取受害人身份人信息，偽裝成持卡人撥打銀行客服，以獲取被害人完整的身份、銀行卡等信息，綁定第三方支付軟件，實(shí)施盜刷。

本案中，獲取受害人身份信息，成為盜刷賬戶的基礎(chǔ)。原本便利用戶生活的App，反而成為了嫌疑人解鎖的“幫兇”。嫌疑人控有他人SIM卡后，插入工作機(jī)進(jìn)行使用。再以此手機(jī)號(hào)為用戶名，僅需通過(guò)短信驗(yàn)證碼的方式，便能在攜程、去哪兒等多個(gè)OTA平臺(tái)，嘗試登陸。成功登陸后，只要被害人曾通過(guò)一款出行軟件訂購(gòu)過(guò)火車票、機(jī)票，嫌疑人便能通過(guò)再次“預(yù)定”車票的方式，輕易獲取被害人的姓名、身份證號(hào)碼。

其后，犯罪嫌疑人再通過(guò)“恢復(fù)大師”“51信用卡軟件”，從受害人手機(jī)中獲取信用卡信息。“如果你在手機(jī)里存放有信用卡的照片，那犯罪分子很快就能獲取你的信用卡信息。”偵查員告訴記者，此時(shí)，犯罪分子利用身份證信息和卡的信息，冒充持卡人撥打銀行信用卡客服，修改密碼。

此外，憑借身份證號(hào)，嫌疑人還能修改被害人第三方支付軟件的登陸密碼，此時(shí)雖無(wú)法進(jìn)行資金結(jié)算，但卻能通過(guò)“已綁銀行卡”來(lái)了解被害人已在哪些銀行申領(lǐng)辦卡。掌握上述信息后，嫌疑人繼而撥打銀行客服電話，在線核對(duì)身份證號(hào)碼、銀行卡預(yù)留注冊(cè)信息、短信驗(yàn)證碼后，便能重置銀行App的登陸密碼。最后通過(guò)輸入短信驗(yàn)證碼的方式，便能獲取此銀行卡完整的卡號(hào)。

握有機(jī)主的身份證號(hào)、名下銀行卡號(hào)，并控制著手機(jī)號(hào)碼通訊權(quán)利后，嫌疑人便能對(duì)移動(dòng)支付App的支付密碼進(jìn)行重置。由此，受害人綁定的所有銀行卡及零錢，都將被嫌疑人所控制，進(jìn)而實(shí)施盜刷。

目前，犯罪嫌疑人李某等7名犯罪嫌疑人已被黃浦警方采取刑事強(qiáng)制措施，案件正在進(jìn)一步審理中。

警方兵分多路將犯罪團(tuán)伙一網(wǎng)打破

一“卡”在手信息全有，攜程等應(yīng)用被質(zhì)疑存安全隱患

在這起案中，犯罪分子得逞的關(guān)鍵在于過(guò)了獲取受害人的身份證號(hào)碼等信息，之后的操作就“水到渠成”。

記者發(fā)現(xiàn)，目前攜程、飛豬等OTA應(yīng)用軟件，在使用訂票功能時(shí)，會(huì)完整呈現(xiàn)“常旅客”的身份證號(hào)碼等信息。“這些軟件大多可以通過(guò)手機(jī)號(hào)注冊(cè)，也可通過(guò)手機(jī)接收驗(yàn)證碼的方式，直接登錄軟件。如果手機(jī)丟了，SIM卡被人冒用，那OTA應(yīng)用軟件相關(guān)于泄露個(gè)人身份信息的‘捷徑’。”業(yè)內(nèi)人士表示，這些軟件應(yīng)進(jìn)一步提升安全防范等級(jí)，比如隱去部分身份證號(hào)碼等。

同時(shí)，在移動(dòng)互聯(lián)時(shí)代，智能手機(jī)已經(jīng)不再是單純接打電話、發(fā)送短信的通信工具，它更像是我們的生活管家，網(wǎng)上購(gòu)物、移動(dòng)支付及各種銀行App管理著你的財(cái)產(chǎn)，生活中珍貴的照片、朋友的聯(lián)系方式也都存在手機(jī)中，可以說(shuō)它已成為每個(gè)人生活中必不可少的工具之一。而手機(jī)SIM卡則在某種意義上成為了公民的另一張“身份證”。

“有SIM就相當(dāng)于掌握了手機(jī)號(hào)，可以在手機(jī)上用驗(yàn)證碼驗(yàn)證登錄的方式攻破很多手機(jī)應(yīng)用的防火墻。”業(yè)內(nèi)人員表示，手機(jī)被盜、遺失后，第一時(shí)間聯(lián)系運(yùn)營(yíng)商進(jìn)行緊急停機(jī)，避免不必要的損失。“手機(jī)應(yīng)用軟件的風(fēng)控、安全系統(tǒng)應(yīng)及時(shí)升級(jí)。比如除了實(shí)名認(rèn)證外，也可增加生物識(shí)別技術(shù)驗(yàn)證，確認(rèn)實(shí)人使用，為應(yīng)用軟件的使用安全加一道防火墻。”（作者：鄔林樺）

關(guān)鍵詞： 攜程 個(gè)人信息 登錄密碼