使用補卡攻擊微信銀行卡案例分析

近一段時間以來，全國各地發(fā)生多起手機SIM卡遭惡意補卡事件。部分手機用戶反映，他們的手機SIM卡不但被停用，與之綁定的QQ和銀行卡等信息也遭到竊取。那么，拿到手機SIM卡后是如何攻擊微信、QQ和銀行卡的呢？下面一個網(wǎng)友分享了他的一段實驗經(jīng)歷。

以下為網(wǎng)友提供的原文：

1. 筆者去聯(lián)通新辦理了一個手機號給家里老人用。

2. 筆者在把此手機號加入通訊錄時，筆者的微信根據(jù)這個手機號匹配到了一個不認識的人，據(jù)朋友圈曬的孩子來看，是個美(pu)麗(su)的少婦。

基本可以確定這個號碼是之前有人用過，并且手機號綁定了微信，然后號碼又注銷或者停機，然后被無良的運營商拿來二次銷售了。

于是，我碰上了“新手機號的微信被別人綁定”的尷尬問題，網(wǎng)上七七八八的解決方案不外乎是去微信申訴，或者聯(lián)系已綁定的的用戶讓他解綁。對于Hacky的我，這些當然都不是很好的解決方案，我決定碰碰運氣嘗試去登錄少婦的微信，并且自己上去解綁。

現(xiàn)在各種各樣的網(wǎng)站\App基本都兼容了手機號+短信驗證碼的登錄方式，這對我這種有已綁定的手機號在手的情況提供了很大便利，廢話不多說，直接開始：

1. 使用剛剛新辦的手機號+短信驗證碼的方式嘗試登錄少婦的微信。這一步相信很多人在換手機的時候都做過，然后會提示進行好友頭像驗證，需要在十多個人里面選擇兩個好友。

2. 進到了選好友的界面，一般到這部會被卡住，因為畢竟不認識少婦的人也不知道少婦的好友列表有哪些人。我看了看少婦的頭像，是一個不算很時髦的女人，于是我推測可能是某地的小鎮(zhèn)居民。下面就要勾選兩個好友了，好友A比較好找，一個中年男人，少婦和他面相有點相似，應(yīng)該是親人，好友B有點瞎蒙的成分，好友列表里面有一個以俗氣的金色的船的人作為頭像的，我覺得小鎮(zhèn)居民應(yīng)該和這個比較來電。于是……驗證通過，我成功的進入到了少婦的微信。

3. 首先當然是把手機號解綁，微信-設(shè)置-賬號與安全-手機號。此處解綁后需要設(shè)置一個密碼，少婦此微信還綁定了QQ號，于是我把密碼設(shè)置成了QQ號加一個字母。

4. 少婦的微信上面把“我的地址”填寫得很詳細，姓名、新的手機號、工作地址都有，簡直是一個活的靶子

5. 少婦的微信綁了幾張銀行卡，不過還好有設(shè)置6位的微信支付密碼。即使微信被黑也無法轉(zhuǎn)移錢財。不過因為我對這種損人的事情并無興趣，換做有心的人略微 做點社工猜個6位的支付密碼相信也不算太難。

6.少婦的群聊里面有個家人群，應(yīng)該是值得信任的幾個人。不出所料，在家人群里面我看到了微信頭像驗證的那兩個人。因為少婦這個微信號4小時前還在朋友圈曬娃，而且有幾百好友，既然微信號還在用，當然還是不能就這么不管了。于是在家人群里告訴了新的登錄方式和修改后的密碼，并且提示他們注意資金安全，如果手機號不屬于自己了一定要記得解綁。

和少婦的微信的事情就此告一段落，但是這種事情卻時時刻刻發(fā)生在我們身邊，換手機號是司空見慣的事情，但是回想一下，上一個手機號綁定的社交/財務(wù)/游戲/政務(wù)以及各種各樣的系統(tǒng)中有去解除過綁定嗎？聯(lián)通二次銷售一個近期活躍的手機號當然 不對，微信的和玩兒似的好友頭像驗證當然 有缺陷，但是互聯(lián)網(wǎng)安全就和駕駛汽車一樣，駕車的時候不能永遠盼望 安全氣囊，多提高主動安全意識永遠比被動的防護更加靠得住。

先拋開明文存儲密碼并被拖庫的某國內(nèi)程序社區(qū)不談，近年各大互聯(lián)網(wǎng)公司，或被撞庫，或被注入，多多少少出了些安全方面的問題，用篩子來形容互聯(lián)網(wǎng)的安全性絕不為過，近年電信詐騙事件也層出不窮，而在這樣的大環(huán)境下，使用一個不再屬于自己的手機號與某些賬號進行綁定顯然犯了大忌。運營商倒是有個停機保號的業(yè)務(wù)，但是估量打算換號碼的人也沒幾個人情愿 額外花錢去保留原來的號碼，所以如果有更換手機號的行為一定要記得先到各大常用（尤其是涉及到金錢的）網(wǎng)站/應(yīng)用中進行解綁操作。

事情又過去了兩天，在這個手機號碼上又收到了某寶寶公司發(fā)送的收益短信，我意識到少婦好像還用此手機號綁了某理財產(chǎn)品App。于是我決定把各大App翻了一遍，發(fā)現(xiàn)少婦綁定的不只有微信，還有QQ、支付寶以及唱吧等等等等。好奇的我決定去看看支付寶是個什么情況。

自然是用手機嘗試找回密碼，支付寶返回了一個驗證頁面。點擊下一步后，支付寶提示我輸入身份證號碼和銀行卡的完整卡號。

基本上加上身份證和完整銀行卡的認證，即使是拿到了手機號的用戶也很難通過了，不得不說作為財務(wù)工具出身的支付寶在安全方面還是比微信更加出色一些，這也是支付寶有底氣推出最高賠付達100萬的支付寶賬戶安全險的原因之一吧。相比之下，近年來微信支付在支付領(lǐng)域異軍突起，雖然對支付寶的老大地位造成了些許撼動，但是作為一款成熟的支付工具，并不是單純的用戶體驗做好了就OK了。用戶體驗當然 重要，但是真正涉及到用戶的核心利益時，犧牲一些體驗來換取安全性也許才是更好的做法。