原标题：上海破获全国首起利用被盗手机盗刷信用卡案，携程等APP裸露身份信息被指存安全隐患

　　摘要：“手机应用软件的风控、安全系统应及时升级。比如除了实名认证外，也可增加生物识别技术验证，确认实人使用，为应用软件的使用安全加一道防火墙。”

　　近期，上海市公安局黄浦分局经过缜密侦查，成功捣毁全国首个盗窃手机获取手机SIM卡、冒充机主本人、窃取个人信息、盗刷信用卡的一条龙犯罪团伙，抓获犯罪嫌疑人李某、王某等7名犯罪嫌疑人，涉案金额超过100万元。

　　跟以往的信用卡盗刷案件不同，本案犯罪手法的关键用技术手段破解手机及SIM卡，其后通过手机接收验证码登录，获取受害人存留在OTA（在线旅游代理商）应用软件完整呈现的身份证、银行卡等信息，冒充持卡人重置信用卡密码，进行盗刷，可谓防不胜防。

　　手机被盗后，信用卡遭离奇盗刷

　　2019年4月，黄浦警方接到某银行信用卡中心报案，称该行有多名信用卡用户遭遇信用卡盗刷。

　　经初步侦查，警方发现这些受害人均系手机在四川成都被盗后，于短时间内被不法分子实施了支付盗刷。期间，疑似嫌疑人曾伪装成信用卡用户，拨打银行客服电话，在报出受害人个人身份信息、信用卡还有效期等信息后，重置了手机银行登录密码，实施盗刷犯罪。

　　奇怪的是，所有受害人手机均设有密码锁，且身份证、信用卡都在身边，也未曾有过被盗或丢失的情况，犯罪分子是如何获取受害人的身份证件和银行卡信息的呢？ 这一新颖的犯罪手法立即引起警方重视，旋即成立专案组开展进一步侦查。

　　盗窃手机到盗刷信用卡，环环相扣

　　如今，手机银行、支付软件、OTA（在线旅游代理商）等各类手机应用十分普及，大多需要用户提供身份证等信息进行实名认证。在一些OTA应用中，会完整呈现用户身份证、信用卡等完整信息。专案组判断，在如此短时间内就能获取受害人的相关信息，问题应该还是出在被盗手机上。

　　警方侦查发现，犯罪嫌疑人利用被盗手机的SIM卡，装入其他设备，用手机号码作为账户名，通过忘记密码，用验证码登录，测试各类OTA软件。“一旦登陆应用软件后，犯罪嫌疑人可以通过订票的方式，获取受害人的完整身份证号码等信息。”

　　除此之外，犯罪分子也可通过破解手机的方式，获取受害人信息。“如果受害人的手机被破解，就能直接用手机中的OTA应用获取受害人的个人身份信息，而后利用通讯录、信用卡软件等套取其他个人信息，就能向银行客服要求重置信用卡密码。”专案组民警调查发现，一旦手机被破解，后面的操作会变得十分便捷——打开应用软件，选择“忘记密码”，再利用手机接收验证码，继而重置OTA应用软件的登录密码，查看并获取常旅客身份信息。

　　用手机号、验证码登录携程后，常旅客身份信息被“裸露”

　　据初步统计，该犯罪团伙侵害的对象远不只一家银行，有多家银行和支付平台的10多个用户都曾被以该犯罪手法盗刷卡内金额，涉案价值人民币100余万元。

　　一条龙团伙被捣毁，作案手法揭秘

　　随着案件调查的逐渐深入，一个隐藏在四川成都，以嫌疑人李某、王某等人为首的犯罪团伙浮出水面。他们形成了盗窃手机、破解盗刷、套现来实施信用卡诈骗的犯罪链条。

　　警方调查发现，这伙人平时在成都街头伺机寻找可供盗窃手机的目标，一旦窃得手机之后，便会在短时间内破解手机解锁码，窥探受害人手机中的个人身份证件以及银行卡号等信息。为了成功实施犯罪，李某等人会通过已知的受害人个人身份信息致电手机网络运营商，要求更改手机服务密码，取得手机号码的实际控制权。等到失主补办好手机卡时，发现信用卡已经遭遇盗刷。

　　9月6日凌晨，专案组经过周密部署，在当地警方的密切配合下于成都市内多处地点开展收网行动，一举抓获李某、王某等7名犯罪嫌疑人，查获作案用的手机、银行卡等工具。9月9日晚22点，7名犯罪嫌疑人被上海黄浦警方押解回沪。

　　侦查员查获手机等作案工具

　　李某等人到案后交代，他们在盗窃手机后，先破解手机，不成功就获取SIM卡，插入“工作手机”，其后通过手机内的OTA软件，利用手机号码和验证码登录后，套取受害人身份人信息，伪装成持卡人拨打银行客服，以获取被害人完整的身份、银行卡等信息，绑定第三方支付软件，实施盗刷。

　　本案中，获取受害人身份信息，成为盗刷账户的基础。原本便利用户生活的APP，反而成为了嫌疑人解锁的“帮凶”。嫌疑人控有他人SIM卡后，插入工作机进行使用。再以此手机号为用户名，仅需通过短信验证码的方式，便能在携程、去哪儿等多个OTA平台，尝试登陆。成功登陆后，只要被害人曾通过一款出行软件订购过火车票、机票，嫌疑人便能通过再次“预定”车票的方式，轻易获取被害人的姓名、身份证号码。

　　其后，犯罪嫌疑人再通过“恢复大师”“51信用卡软件”，从受害人手机中获取信用卡信息。“如果你在手机里存放有信用卡的照片，那犯罪分子很快就能获取你的信用卡信息。”侦查员告诉记者，此时，犯罪分子利用身份证信息和卡的信息，冒充持卡人拨打银行信用卡客服，修改密码。

　　此外，凭借身份证号，嫌疑人还能修改被害人第三方支付软件的登陆密码，此时虽无法进行资金结算，但却能通过“已绑银行卡”来了解被害人已在哪些银行申领办卡。掌握上述信息后，嫌疑人继而拨打银行客服电话，在线核对身份证号码、银行卡预留注册信息、短信验证码后，便能重置银行APP的登陆密码。最后通过输入短信验证码的方式，便能获取此银行卡完整的卡号。

　　握有机主的身份证号、名下银行卡号，并控制着手机号码通讯权利后，嫌疑人便能对移动支付APP的支付密码进行重置。由此，受害人绑定的所有银行卡及零钱，都将被嫌疑人所控制，进而实施盗刷。

　　目前，犯罪嫌疑人李某等7名犯罪嫌疑人已被黄浦警方采取刑事强制措施，案件正在进一步审理中。

　　警方兵分多路将犯罪团伙一网打破

　　一“卡”在手信息全有，携程等应用被质疑存安全隐患

　　在这起案中，犯罪分子得逞的关键在于过了获取受害人的身份证号码等信息，之后的操作就“水到渠成”。

　　记者发现，目前携程、飞猪等OTA应用软件，在使用订票功能时，会完整呈现“常旅客”的身份证号码等信息。“这些软件大多可以通过手机号注册，也可通过手机接收验证码的方式，直接登录软件。如果手机丢了，SIM卡被人冒用，那OTA应用软件相关于泄露个人身份信息的‘捷径’。”业内人士表示，这些软件应进一步提升安全防范等级，比如隐去部分身份证号码等。

　　同时，在移动互联时代，智能手机已经不再是单纯接打电话、发送短信的通信工具，它更像是我们的生活管家，网上购物、移动支付及各种银行APP管理着你的财产，生活中珍贵的照片、朋友的联系方式也都存在手机中，可以说它已成为每个人生活中必不可少的工具之一。而手机SIM卡则在某种意义上成为了公民的另一张“身份证”。

　　“有SIM就相当于掌握了手机号，可以在手机上用验证码验证登录的方式攻破很多手机应用的防火墙。”业内人员表示，手机被盗、遗失后，第一时间联系运营商进行紧急停机，避免不必要的损失。“手机应用软件的风控、安全系统应及时升级。比如除了实名认证外，也可增加生物识别技术验证，确认实人使用，为应用软件的使用安全加一道防火墙。”