來源：揚子晚報

近日，小紅書用戶發(fā)文稱，自己和丈夫外出旅游時，突然發(fā)現(xiàn)手機掉電異常。一查后意外發(fā)現(xiàn)，丈夫手機竟然在一夜間被盜刷了2.76萬元，且是分批小額轉(zhuǎn)賬，或者被消費，用于支付家庭用水費、電費，以及購買空調(diào)等生活用品。

那么，事情的原委到底是怎么樣的呢？“我們一家人是7月12日到達河南開封的，準備到當?shù)馗魈幙纯础！标惻扛嬖V揚子晚報/紫牛新聞記者，當晚9點多，她丈夫本打算下載一款名為“一起看”的免費追劇軟件，在應用商店下載成了軟件“一起 看”（中間有空格）。在丈夫點擊觀看時，軟件提示需下載另一款“青檸TV”應用。

圖為控制了周先生手機的惡意軟件

圖為周先生手機上被盜刷的記錄

7月13日早上，陳女士的丈夫打開手機，發(fā)現(xiàn)手機電量從前一晚的60%降到3%，同時收到一條凌晨4點推送的消息，顯示自己的農(nóng)商行卡入賬2000元。這讓陳女士的丈夫起了疑心。打開支付寶，他發(fā)現(xiàn)余額寶資金被盜，且記錄均被刪除。 交易流水顯示其資金被分批轉(zhuǎn)入自己名下的一張郵儲銀行卡。在郵儲銀行卡的交易記錄中，發(fā)現(xiàn)資金被拆分為多筆小額消費，用于為他人充值話費、電費及購買機票。陳女士的丈夫又趕緊查詢了一張農(nóng)行卡，發(fā)現(xiàn)當天凌晨曾支付2.3萬元，用于購買了一款格力電器。

陳女士告訴記者，丈夫的支付寶綁定了多張銀行卡，推測應該是騙子從支付寶轉(zhuǎn)到郵儲銀行卡用于支出時，估計是操作次數(shù)太多被限制。然后，騙子又從郵儲銀行卡將錢轉(zhuǎn)回支付寶，可能后面支付寶也被限制了。而農(nóng)商行卡入賬2000元，則是騙子從支付寶轉(zhuǎn)進去準備用于其他消費，結果因其丈夫身份證過期，該卡無法使用，這才導致只能進不能出。

所幸的是，陳女士和丈夫發(fā)現(xiàn)一個農(nóng)商行賬戶因狀態(tài)異常，一筆2000元的款項未能轉(zhuǎn)出，其次，因轉(zhuǎn)賬次數(shù)限制，一筆5000元的交易也被禁止。兩筆共計7000元資金，未被盜走。

在發(fā)現(xiàn)資金被盜后，陳女士丈夫的手機還出現(xiàn)無法關機、無法充電、閃退等異常情況，卸載可疑軟件后，仍有推送消息顯示。

兩人立即前往河南開封當?shù)氐呐沙鏊鶊罅司＞匠醪秸{(diào)查，發(fā)現(xiàn)手機被控的情況較為復雜，于是將案件轉(zhuǎn)交至反詐中心。技術人員最終排查出藏匿的惡意控制軟件，并將其清除，確認被盜金額為2.76萬元。

圖為控制了周先生手機的惡意軟件

令人意想不到的是，7月14日早上，陳女士丈夫又發(fā)現(xiàn)自己的信用卡遭“無卡支付”，被人充值話費及支付電費，共計2000元。合計損失2.96萬，兩人只能再次報警。

原來是這樣被盜刷的！轉(zhuǎn)出的錢在二手平臺被人搶付水電費及購物

“被盜刷了這么多錢，我們也無心旅游了，于是立即啟程回家，同時又在我們老家徐州沛縣當?shù)氐呐沙鏊鶊蟀浮！标惻亢驼煞蛴秩ゲ榱算y行流水，發(fā)現(xiàn)小額錢款均是通過云閃付支付的，這是因為他們開通了1000元以下免密支付的功能，才讓騙子有機可乘。

陳女士推測，在手機被裝上惡意軟件后，騙子將其云閃付賬號登錄到陳女士丈夫的設備上，并修改密碼。緊接著，騙子立即在二手平臺上發(fā)布低價或者優(yōu)惠充話費、電費的鏈接。有消費者發(fā)現(xiàn)該鏈接后，花錢拍下，騙子便利用控制的這臺手機，給消費者進行充值。也就是說，騙子利用陳女士丈夫的手機，替別人的消費買單，花的是陳女士丈夫的錢，最終消費者買單后的錢又落入騙子的口袋。

圖為周先生手機上被盜刷的記錄

“讓我們疑惑的是，對方如何在鎖屏狀態(tài)下遠程操控手機？我們的登錄密碼是大小寫字母加數(shù)字組合，對方如何能直接從銀行卡轉(zhuǎn)賬并消費的呢？”陳女士告訴記者，民警也聯(lián)系了一名消費者，對方稱自己花錢買的話費。

最終，還是河南開封反詐中心技術科的民警介入，在陳女士丈夫的手機里找到該惡意軟件，進行破解分析，最后卸載掉后，才成功把手機“解救”了出來。

根據(jù)陳女士提供的相關消費記錄，揚子晚報/紫牛新聞記者聯(lián)系了一名話費充值手機機主，該機主稱，自己是在正規(guī)的二手渠道進行充值的。記者又致電國家電網(wǎng)福建省電力有限公司，一名工作人員回復稱，這筆錢是某科技公司繳納的電費，但無法查明對方是如何繳納的。此外，記者致電了格力電子商務有限公司，對方表示無法查詢到購買訂單，因而也無法得知對方的身份及支付方式。

圖為周先生手機上被盜刷的記錄

網(wǎng)絡專家提醒：別下載不明軟件，手機出現(xiàn)意外可立即開飛行模式或拔SIM卡

鹽城市大數(shù)據(jù)集團鹽數(shù)網(wǎng)安公司魏旻總經(jīng)理告訴揚子晚報/紫牛新聞記者，從該案例中初步分析，陳女士丈夫手機被盜刷是被誘導下載，偽裝成“一起 看”的惡意軟件，實際上是個自動安裝控制程序。隨后，該程序會獲取設備控制權，并在后臺操作手機，竊取支付憑證，開啟無障礙模式，進行資金歸集轉(zhuǎn)移或發(fā)起免密支付式消費，并在二手平臺銷贓。同時，該程序還會進行痕跡消除，即刪除支付寶、銀行App交易記錄。

圖為被二手平臺消費的金額

“木馬深藏在系統(tǒng)分區(qū)，普通卸載無法清除，重啟后仍有可能繼續(xù)運行。” 魏總告訴記者，關鍵的防護措施（普通人必做清單）如下：

1、手機出現(xiàn)異常后，如何“緊急止血”？

① 立即斷網(wǎng)：開飛行模式或拔SIM卡，阻斷木馬外傳數(shù)據(jù)；

② 凍結資金：用另一臺干凈設備撥打銀行/支付平臺客服電話，臨時掛失全部卡片、關閉云閃付/支付寶/微信免密支付；

② 留存證據(jù)：對異常交易截圖、錄屏，記下時間、金額、收款方，為報警做準備。

2、卸載可疑軟件后，如何將惡意軟件“斬草除根”？

① 進入安全模式（各品牌手機方法不同：華為長按關機鍵→安全模式，小米關機后開機同時按住音量下鍵），只運行系統(tǒng)應用；

② 在安全模式下卸載可疑App，再檢查“設置-應用-特殊權限”里是否有殘留服務；

③ 仍不放心就“雙清”即清除數(shù)據(jù)，清除緩存，或刷官方完整固件（以上動作建議去品牌店請專業(yè)售后人員操作，并注意做好數(shù)據(jù)備份）。同時，受害人第一時間修改所有支付、社交、郵箱密碼，啟用二次驗證（短信 + 指紋/面容/硬件令牌）。

圖為被二手平臺消費的金額

魏旻總經(jīng)理向記者分析稱，這起案例給了市民相關警示，即預防此類詐騙需從日常習慣入手。

一是規(guī)范軟件下載渠道，只從手機官方應用商店下載軟件。機主避免通過網(wǎng)頁鏈接、第三方平臺下載。下載時，機主要仔細核對軟件名稱、開發(fā)者信息，注意名稱中的特殊符號或空格等細節(jié)；

二是合理管理支付設置，關閉非必要的免密支付功能。用戶設置常用銀行卡日單筆/日累計限額，可根據(jù)個人實際情況調(diào)到 2000～3000 元。為銀行卡和支付賬戶設置交易提醒，包括短信提醒、APP 推送提醒等，確保每筆交易都能及時知曉；

三是定期檢查手機狀態(tài)，留意手機是否有異常耗電、陌生彈窗、后臺進程異常等情況，發(fā)現(xiàn)問題及時排查；

四是強化賬號安全保護，所有和錢相關的一定要開啟二次驗證功能，如指紋/人臉驗證、短信驗證碼驗證，不輕易向他人透露驗證碼，不在非官方渠道登錄賬號；

五是提高安全警惕性，不隨意連接公共無線網(wǎng)、點擊陌生鏈接、下載不明軟件，遇到手機異常、資金變動等情況，第一時間聯(lián)系銀行、平臺客服和警方。

“在手機設置中啟用‘外部來源應用安裝禁止’（安卓在設置-安全中，iOS默認關閉），這是攔截惡意軟件的第一道生死防線。遭遇詐騙時，立即撥打110報警。”魏總對記者說。

來源 | 揚子晚報/紫牛新聞記者 梅建明 實習生 孫舒顏