一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链

@Bananana 手机忘记解锁密码，发短信可以重置，大概是这样的

@fank99 真的假的，虽然我是华为黑但我还是感觉有点不可信

@zyu0090 #98
联通比较骚，可以通过网络途径获取 PUK 的，不过我没留意他家 APP 上能否获取，我自己的是从网页登录获取的
如果 APP 设了自动登录，可以不需 sim 卡，不过我没试过 app 能否获取

这也提醒了我，待会要去试一下，也能获取就…… ^%*&(*++__*^&&

今天刚改了 PUK 码
可是问题来了……移动完全打个电话就给你改了
那我咋办- -
小米锁屏倒是不打紧

最好的解决方法：Apple SIM

@mschultz #41 锁屏密码很好解，我前两个月刚刚解过一个号称安卓最难解的魅族，我那魅族手机开启了隐私空间(就是所谓的双系统)，然后子空间的锁屏密码记得，主空间的密码忘记了。没有录入指纹人脸之类的。后来网上找了半天找到一个软件，花了 5 元买了一个码，4~5 秒就解开了。软件里面介绍，很多型号是需要拆机断触的，但好像都能解。

请问我打 10086 挂失还有风险不

看楼主的帖子发现小米账户也是只要手机号就可以直接重置密码，都没有两步验证的

@AmItheRobot #85 短信重置华为账户密码，估计他的华为账号绑定的就是丢失的那手机的 sim 卡，把卡拿出来换个手机能接收短信就可以修改密码，绝大多数需要绑定手机号的网站都可以，只要能收到验证码。
至于解锁屏密码，安卓系统真的太简单了。
https://pic.downk.cc/item/5f59e40e160a154a67ac3563.png

@R18 之前去小米售后修手机就被解开了

@yksoft1test #67 谁会密码跟 appleid 一样啊....

四川人设忘记密码提示账号不存在呀

@binghe 淘宝搜了一下，解开的似乎都是 OV 的手机，还有最新的异形屏那种

@swulling 苹果家的信息保护更好，能够保护手机本地的信息安全，少了一步被人开屏幕，但是还是会被贷款。

@Yiki #104 楼上 83 和 109 楼说小米手机也能解锁锁屏，我在等他们说点技术干货来……也没见

@Bananana 又看了一次。。好像不是这么回事，还是不清楚怎么破锁屏密码的。

@murmur #113 安卓都可以，只是有些需要拆机短接触点，好像部分机型如果要保资料清除锁屏密码 /账号锁，还需要硬件配合。具体的我也没深入研究，不是那个行业的。

@ExplorerLog #108 有试过重置小米账户密码后，能像 EMUI 一样解锁小米手机锁屏吗？

@TypeError #5 我寻思着 手机号是个人信息安全的薄弱环节 跟 手机卡实名制没关系， 文中并不是借助手机号通过运营商获取身份信息，而是四川社保，即使你通过非实名手机号注册这个社保软件，还是能获取身份信息啊。

@EricJia 意思当然是邮箱密码和 Apple ID 的密码一样。

联通在很多地区已关闭了 2G 信号。这种情况下即使黑客用干扰强制手机注册到 2G 网，运营商也会认为你无法接通而不会通过 2G 试图发短信给你。

对付短信嗅探，电信卡免疫，因为目前只能针对 GSM 嗅探。变通的方法，可以叫运营商关闭 SIM 卡的 2G 网的入网权限。貌似联通卡可以

没注册四川人社的不是也不能获取个人信息

手机卡可以加 pin 码密码啊，我手机还在诺基亚时期的时候就加了，一直用到现在，就是防止这类事情发生

@wildlynx 联通今年在很多省已经真正开始关闭 GSM 信号了。

@AmItheRobot #115 测试了小米，在拿到 sim 卡短信（没有锁 pin ）的条件下，可以重置小米账号密码，理论上可以看到同步到 miui 云上的照片，短信，备忘录这些。

解开手机锁屏码貌似没有找到。

刚刚给 SIM 卡设置 PIN 码结果被锁住，借同事手机打 10010，验证了姓名+手机号+身份证号就给了 PUK 码。白搭。

厉害啊，看完了，那么问题怎么解决，我用的 APPLE

@kidlj #127 赞 测试的人越多越能意识到这个问题。

@kidlj 用不着这么麻烦，登上运营商的 app，PUK 明明白白直接显示出来。

@Doraemontree esim，绑定重要信息的手机号卡放家里

看不懂为啥一直挂失和解封，

难道不能直接补办一张新卡，丢失的老卡不就不能用了吗？

@ruijanlee 营业厅下班了

@CRight #130 试了下，真的耶。联通手机营业厅 App-搜“puk”-选“我的 puk 码”，直接显示 PIN 和 PUK 出来。
而手机营业厅的登录密码，又能通过短信重置。等于拿到了 SIM 卡，能收短信就能解 PIN 。那这个 PIN 码不是形同虚设？

@AmItheRobot 我也发现了，所以我把联通营业厅的人脸识别登录开出来了（ Apple ）。但是如果手机被盗了，你 SIM 卡设置了 pin 码，理论上偷你手机的人收不到短信吧，收不到短信就登录不了联通营业厅，我感觉是这样的

@AmItheRobot 移动的客户端上找智能客服，实际上就是机器人，发送 PUK，就给你回复了。运营商都没把 SIM 安全当回事。

@Bananana 锁屏时，消息提醒显示预览关掉就很有必要了

@paradoxs 安卓和苹果应该是一致的，无论你怎么刷机都必须要有最后一次登录的那个 iCloud / Google Account 的密码才可以进，而 iCloud / Google Account 都可以设置 2FA，讲道理还是非常安全的。 早年有一次我的 索尼手机 恢复出厂设置之前忘记退出谷歌账号，恢复之后因为无法过墙导致无法登录谷歌账号，弄得一直无法使用 十分狼狈。 只是鉴于国内没有谷歌账号，各大安卓厂家应该也会推出自己的账号来替代这个问题，总不至于把现成的这个功能砍掉吧。。。。

@CRight 感觉这方面 iPhone 就做的很好，不先解锁就看不到通知内容

@R18 擦除数据解锁也是解锁啊，只要解锁，再把 App 下回来，设备风控这一条就没用了。这比没设置 PIN 还惨吧，没设置 PIN 对方至少要拔卡换一台手机，支付宝这些一看陌生设备马上就风控了。锁屏密码应该是无论如何不能被消除的，如果忘了 应该像 MacOS 一样 可以用 iCloud 密码 代替锁屏密码登录， 登录进去之后再修改锁屏密码，这才对头。 怎么能直接把锁屏密码去掉，手机本身就是很重要的风控因素，不能说里面数据没了就放开给别人。

服了，刚才给三张联通 SIM 卡分别试了试，直接打电话给联通客服要 PUK 码，
其中两次需要提供身份证号和姓名确认身份，
第三次客服没有任何验证直接告诉我了……
确实形同虚设

第一时间没去补卡就算了，发现被解挂了都还不去补卡，真是脑子有问题

@LiYanHong 又一个不看全文的，犯罪分子精准选择了营业厅下班的时间，怎么补卡

看了一下，好像还是政策的问题

@MengiNo 我没有进行实际的操作，我无法知道重置数据的时候是否需要输入小米账户的密码。
例如你讲的用 iCloud 密码代替，我认为这是更不应该的。抛开密码可能被社工库收录外，国内厂商普遍的可以利用短信验证码修改账户密码。
擦除设备后的风控，我之前用 sony 刷机后登陆支付宝等，微信等客户端，他会识别我的设备为新设备。

@garipan 所以我说运营商是最大的问题，啥玩意儿都需要绑手机号，PUK 又不设防

iPhone 好像不能「仅使用 4G 」

我所有绑定业务的手机卡都不放在带在身上的手机里,所有短信用 tg 转发.

做到互联网业务与主要联系号码分开,这应该是最保险的.

@barbery
我估计是这样：如果需要解锁屏幕，可能需要 bl 之类的操作，但是这类操作需要到华为的网站上进行解锁。
可是华为的网站又可以通过短信登陆，于是手机丢了=gg

@AmItheRobot 小米好像真能，以前我就在贴吧和咸鱼见过解锁机，但是好像云服务是不能用的，你可以百度搜搜，最新款的不知道还能不能

@Doraemontree 我想到一个办法，一个 sim 卡绑定重要账号，然后这个 sim 卡插备用机上放在家里或者其他不跟身的地方，再加一个 sim 卡随身使用，然后家里的 sim 卡开启短信转移功能转移到随身用的 sim 卡上，这样的话如果不幸手机被偷了，第一时间关掉短信转移，那么文章里面事情就不会发生了。重要的短信已经永远不会到骗子手上。

总结就两点：
接收重要的短信通过转移功能发给自己，手机被盗第一时间切断短信转移，这样就不需要运营商不靠谱的挂失了
手机最好 iPhone 的话，做好 appleid 密码保护，这是防止手机里面的重要信息外泄。手机里面也不要保存身份证这样的信息

这样的话哪里还有瑕疵？

@CommandZi #152 瑕疵就是家里进贼了

@CommandZi 大概短信转移本身就是一个比较长期的风险

@CommandZi 你家里的手机被偷了呢？...

@imn1 到底看没看文章，都说了人家就是故意晚上偷手机的还营业厅营业厅

记不清是哪个初中课本里讲过的了，一切都是为了政权稳定

上面几个喷不去挂失的是不是瞎？没看人说晚上营业厅都下班了？

@R18 iCloud 和 Google Account 都是 2FA 的呀。比如 忘记锁屏密码的 MacOS，想进桌面只有一条出路就是选择输入 iCloud 的密码，而且这一步不能用什么短信代替（手机、电脑登录界面也没什么发送短信的按钮给你选呀）。而想修改 iCloud 密码，因为 2FA 的关系，只有短信也是不够的（没有其他任何凭证的话，苹果会冻结账户几天之后再进行后续的重置操作）。 这就从根本上解决仅凭短信就能跳过、取消、替代解锁密码的问题。

而 iPhone 和 Android （原生包括 Sony ）都是刷机、恢复出厂设置之后还是会继续验证你刷之前登录的那 iCloud / Google Account 的密码的，所以就算被刷机、还原、抹掉 依然还是进不了系统。这个阶段我碰到过的两个小偷，都发一个短信过来，大概意思就是说 “您的 iPhone 找到了 点击查看手机定位” 点开链接就是一个 仿的 iCloud 登录页面，如果这时候信以为真被钓鱼了，那就无话可说 iCloud 密码 + 短信验证码 即可通过 2FA， 如果你无视他的话，最终小偷不但无法进入你的桌面盗取财物，甚至连刷机自用或者转手都无法做到，只能拆机卖配件，无形中也加大了销赃难度，减小了犯罪收益。这怎么看也比单纯抹掉数据之后就能让小偷至少获得一台手机好吧。

最后你说擦除风控的话，我猜测使用期间多抹掉几次微信就会放行。我之前用 Z5 也以为风控失效了，抹掉他就以为是新设备了（可能是因为 810 的 U 导致用的时间比较短），后来换了 XZ1C 用到现在，可能是抹的次数多了，现在再抹掉重装，微信也放行了，不需要短信验证码了，我也不知道为什么，可能也是个例。

突然想到我手机才不能丢，相册里面有我身份证、户口本、银行卡、房产证、社保卡、油卡、以及信用卡正反面照片，只启用了指纹和 6 位数字密码[:害怕:]

移动可以通过 10086 自助查询当前手机号码的 PUK 码，无需提供任何信息，通过短消息下放。
移动营业厅 APP 还可以通过在线客服机器人查询 PUK，输入查询 PUK 码就会回复当前已登陆手机号的 PUK 码，登陆需要手机号和短信验证码。

iPhone+非 GSM （ 4G 及以上）+esim 就基本上安全四个 9 了。
觉得最恶心的还是国内运营商对于 esim 的阻碍

坐标广西南宁 ，刚打电话给电信， 电信的说 要解除挂失 必须要到营业厅 就算知道服务密码也要到营业厅解除

打客服，有一项服务叫 紧急停开机。

非工作时间，也可以。

还有通过网络申请信用卡，是要在网点激活的

@ryanlid 但是可以搞消费贷，现在越来越多的公司都能提供贷款产品了

看完文章，感觉整个过程太刺激了

有哪些生活 app 登录就能直接看到身份证和银行卡也要统计一下，要投诉整改。大部分人手机不会去加 pin，因为怕忘记。身份证和银行卡同时泄露才造成文章里的可以注册支付宝、美团贷款等。

上面有同学说容易获取 puk 码，那是基于手机正常使用的情况，如果设置了 pin 码，对方不知道卡号和身份证信息，理论上没办法拿到 puk 码，再通过 sim 卡搞各种骚操作，不过不知道是不是有复制 sim 卡能绕开 pin 码这种黑科技，当然华为锁屏密码解开这又是另一种情况了

哪怕你把现在 bug 堵上，犯罪分子还会再辟蹊径，只期望各大公司走在犯罪分子前面，不然真得对不起用户

@Bestda 各大公司只要把办贷款的难度提升到和找到客服一样的难度就可以了

再过几年就推行数字货币了，到时对这种犯罪能否有效打击？

@cmdOptionKana 数字货币一样可以办贷款啊，可以买虚拟东西转移赃款

试了一下，小米账号可以冻结，冻结之后就不能更改密码了

@murmur 但是数字货币后台是可以跟踪资金去向的，贷款出来进入哪个账号，那就是骗子的账号。买虚拟商品的时候，钱又进了另一个账号，这个账号也能顺藤摸瓜。

@cmdOptionKana 现在移动支付，银联转账哪个不是实名的。要能追踪现在也能追。只是 JC 愿不愿意罢了。

@cmdOptionKana 推行手机实名的时候，也说能杜绝诈骗，然而...

1.完整看完了微信公众号的文章，感觉作者十年渗透测试经验有点水，逻辑思维不是那么清晰，一个是解决问题的思路，一个是文章写的逻辑，更像是半路出家学的安全，不太像计算机专业出身的。
2.这个事件暴露出了很多安全问题，实名制是把双刃剑，有关部门在取证的时候可以说非常容易了，因为只要一部手机，基本都能打开所有的锁，微信消费记录，位置信息，网上的发帖记录，基本上可以说是个透明人。
除了方便了有关部门，还方便了一些别有用心的公司，我们的数据在被洗完以后，机器甚至比我们更了解我们，我们的饮食习惯，喜欢吃甜还是喜欢吃咸，穿衣的尺码，有没有脱发，最近想买什么东西，打开手机的时候总是能看到精准投放的广告。
另外还方便了黑产，黑客搭个库，我们的信息被泄露了，想查自己的数据泄露没泄露，花钱吧。查完以后心更凉，自己都没想过已经被脱的内裤都没了。
3.运营商和一些金融机构并没有想象的那么安全。
4.作者还是做了件好事，看完以后长见识了。前段时间朋友的手机丢失，我还曾经尝试用技术手段找回，现在想想居然还觉的有点过分了，幸好碰到的不是这帮团伙。
作者的做法也是对的，遇到这样的事情一定得报警，报警的人多了，就能给警方破案提供更多的线索。希望这帮团伙早日被抓尽快的送进去，别再霍霍别人了。

SIM 卡输入 PIN 码之前是不注册网络的呀，如何 2G 嗅探呢？

@cmdOptionKana 现在的人民币都不是匿名的了，带冠字号，只要再次回流到银行，不管是经过柜台还是 ATM，都能通过最后一次存入的人顺藤摸瓜查出流通路径，就看愿不愿查了。转账和网络支付就已经能过提供完整的追踪性了，数字货币什么的不过是进一步提高追踪的实时性。作为个人，实在是没必要期待更先进的电子枷锁套在自己脖子上了。

@wangxiaoaer #119 如果手机号不实名制，甚至实名制不这么严格，或者没有要求实名上网的法律，手机验证码不会拥有这么高的权限和地位

我有一个问题，要是手机上还有 1Password 这样的密码 & 信用卡 信息管理软件，被破解是不是轻而易举的？

@OYSTER2DO 如果有 Face ID 或者 Touch ID 这种还能破解么？

@VZXXBACQ 我看他那个示意图，就算有锁屏密码没有 sim 卡密码，还是可以拔卡换手机收短信继续贷款啊。反正机主信息通过手机号在社工库里都能查到。
看来苹果这种全盘加密 加上 Face ID/Touch ID 再加上虚拟 SIM 卡的解决方案相对更安全一些。

@OYSTER2DO 这取决于密码管理其自身的设计水平。就 1password 而言，根据我个人的使用经验以及查到的信息，安全性不会低于设备本身的生物识别系统：

1. Master key, unlock pin or biometric 三者至少有一样才能解锁 1passowrd 。
2. Master key 不会存储在设备上，即便是使用生物解锁的情况下。所以丢失的设备不会危及主密钥安全。
3. 有明确的步骤可以阻止丢失设备同步新的密码信息。

就以上而言，这种密码管理器已经是手机上最难解密的部分。特别是在 iOS 上，鉴于美国执法部门试图破解设备本身所付出的努力，对于一般犯罪团伙来说 1Password 完全是超纲题。

* 参考 https://support.1password.com/lost-device/

@leapV3 大数据已经被列为基建了

我什么都不知道，我只知道我是韭菜，要被割

@flowercoder 对，一天之内解封可以这么多次，那还要挂失干什么

@TypeError 实名制是为了老大哥看你发帖，公安抓人方便，没人在乎你的金融安全。

@swulling 丢手机和手机卡，没有手机解锁密码，你也看不到两步认证的验证码啊。我觉得这事的坑有 2 个，一是手机卡锁了居然可以直接解锁，二是手机锁了居然可以破解

不设防的手机卡落别人手上也没办法了，根据手机号拿到你所有个人信息，如果还有能绕过 /欺骗人脸识别的技术，那除了当面办理的业务，在网络上基本上和你本人没差别了。

@parametrix 这样,那还不错

@hafuhafu 说到当面办理业务，我就不得不提我之前在某银行办理业务的事情了。
17 年还是 18 年左右，我在北京万柳的某银行办理手机号变更业务（原来的手机号注销了无法使用在线、自助变更），我拿着身份证和信用卡跑到营业厅去柜台办理。
结果吃惊的是柜台人员拒绝办理，理由是原来的手机号不能接受验证码，不能确认是你本人。我：？？？我本人拿身份证来了还不能证明是我本人？柜台：万一有个长得和你很像的人来冒充你呢？我：？？？？那用电话短信验证不是更不安全吗？万一我的电话卡被偷了呢？
柜台找来大堂经理说没办法，现在流程是这样。不过他们想到了一个“好办法”，就是让我再填一张新的信用卡申请表，这样审批的时候号码就修改了。
我：？？？

不知道现在这个沙雕的流程有没有改。

@Sapp 那指的是账号锁，一边都是偷来的手机。但不论如何，原机资料都没了。

@TypeError #5
扩大内需，对肉食者是好事
哪管洪水滔天

@AmItheRobot 然而有开 pin 的 sim 卡插入其他手机依然需要输入 pin 码才能正常使用，不然是接受不到短信的。

@garipan sim 设置了 pin，你不解开是不能正常使用的。你试一下用其他号码打电话给客服要被设置了 pin 的那张卡的 puk 试试？

可以办一张移动的卡，放家里，常用手机上安装无忧行，接收短信和电话，手机掉了的第一时间，把家里的移动卡找个手机插上，这样无忧行就无法接收短信了，接着远程把丢失的手机锁死，或者清掉数据。

@hxt 在中国难道不应该默认泄露身份证么。。。这真不算黑吧。直接默认全局泄露姓名、身份证号、手机号，外加行业内泄露对应行业的信息，比如申请乘车码就默认泄露银行卡给至少公交 App，用某些小程序缴宽带费水电费默认泄露宽带号、水电账户给这些小程序提供方（他们会不会主动泄露是一个回事，但是他们内部一定保管不好这是肯定的[阿公单位的平台更是完蛋]）。既然账号名是保不住的，我们只能做好防止撞库、双重验证、账密脱钩 这种操作，尽量不在没有提供 2FA 机制及不可注销的平台上认证或者绑定资产。

@imn1 都关门了你半夜四点去就有用？你自己之前没好好看文章，就说别人拖，还等什么安心到次日，怎么就安心了？前面口口声声说的去柜台，被人指出时间问题，还嘴硬半夜三点去办，那你半夜去柜台啊，去找啥自助机。