上个月，广州增城市民李先生发现手机卡被莫名停用，而后他的信用卡遭连续盗刷共4万余元。对此，中国电信客服人员表示，李先生的手机卡可能被人冒名补办，并以此办理信用卡的虚拟卡进行消费。目前李先生已就此事报警。

　　 骗子利用临时身份证补卡

　　 7月23日晚，李先生发现手机突然打不出电话了，不是信号问题，也没有欠费停机。

　　 随后，他咨询了中国电信客服。对方回应，他的手机卡于7月23日下午在广州市体育西路营业厅办理过更换业务，李先生手机里的旧卡已被作废。“我从来没去办理过这个业务。”李先生表示。

　　 翌日5时29分，李先生在微信上收到广发信用卡的两笔消费提醒，每笔100元。感觉不大对劲，他赶紧报警，并停用该信用卡。随后李先生联系了体育西路营业厅的客服，被告知办理手机卡更换业务的是一位男子，其持有一张临时身份证，上面的名字、身份证号码等信息与李先生的完全一致，只有照片不是李先生而是持证人的。此外，还有一男子作为“担保人”在现场陪同办理手续，“担保人”身份证上的名字与李先生仅有一字之差。

　　 两小时内被盗刷30多笔

　　 7月27日，李先生重新补办手机卡，开机后收到中国银行的消费提醒，其两张信用卡在7月23日下午共消费4万余元，但那两张卡他已将近一年不用。

　　 李先生立即联系中国银行客服，对方回应称，所有的消费都是通过中国银行“缤纷生活APP”中的“虚拟卡”产生的，消费均发生在7月23日下午的两小时内，共30多笔。

　　 “根据客服的回应，应该是我的手机卡被冒名补办，对方通过手机上接收到的验证码，登录银行的APP，并开通了虚拟卡，从而进行转账操作。”李先生说。

　　 8月11日下午，中国电信广州分公司就李先生的情况作出回应：7月23日下午一名自称为“李先生”的用户前来办理补卡业务，并提供了临时身份证。营业员核实其临时身份证在有效期内，证件上人员相貌与补卡的“李先生”为同一人，证件号码和系统上登记的一致，于是按规定为对方办理补卡业务。对此，中国电信表示将全力配合警方调查。

　　 指纹认证支付或更安全

　　 近来，各地亦不乏与李先生相似的案例。今年1月17日，北京一市民被不法分子使用临时身份证补换手机卡，银行卡被盗刷17万元。5月4日，一名空姐也因手机卡被人补办，损失15万元。

　　 据了解，网上将此类案件称为“补卡截码”——不法分子通过各种渠道获取受害者手机号、身份证号、银行卡号等个人信息，伪造相关证件，假冒他人身份向通信运营商补办手机SIM卡（补卡），然后通过手机动态验证码掌握支付密码，转走受害人银行卡内资金（截码）。

　　 国内独立互联网分析师付亮对此表示，当前各类支付工具依赖短信验证码作为信用保证，不可靠。

　　 “不只是冒名补办手机卡，手机被偷、借用、被安装短信拦截程序等情形，都可让不法分子获取短信验证码，而用户的其他信息，例如姓名、身份证号码等基本都是公开的或极易获取的。现在一些支付工具已经开始采用增强安全性的措施，如指纹认证等，这都很有必要。”付亮说。

　　 南方日报记者 金祖臻 实习生 黎亚娣

流程审计：

本案涉及两个流程，一是电信补卡流程，二是银行的远程支付流程。

电信补卡流程：​ 一名自称为“李先生”的用户前来办理补卡业务，并提供了临时身份证。 营业员核实其临时身份证在有效期内，证件上人员相貌与补卡的“李先生”为同一人，证件号码和系统上登记的一致，于是按规定为对方办理补卡业务。 此外，还有一男子作为“担保人”在现场陪同办理手续，“担保人”身份证上的名字与李先生仅有一字之差。

流程审计：从此过程看，中国电信营业厅已尽最大可能​做了身份信息验证。由于是一方之词，还不能说中国电信没有责任，具体看警方对整个流程实际过程的分析。但其中也牵扯出一个新的问题，假冒“李先生”的临时身份证和其“担保人”的身份证是否为真，会通过官方办理的，还是根据信息做的“假证”？

​银行的远程支付流程：涉及两个行：广发银行和中国银行。广发银行未详细叙述支付过程。而中国银行​两张信用卡 7月23日下午通过中国银行“缤纷生活APP”中的“虚拟卡”两小时内产生30多笔消费。

流程审计：​ 中国银行“缤纷生活APP”实现支付，而且是两张近期未用的信用卡。基本可以认定，本人并未注册 “缤纷生活APP”。根据该APP的注册流程，需提供姓名、证件类型、证件号码、CVV2、信用卡卡号后六位和注册的手机号，待中行校验客户身份有效性后就可完成注册。那就是说，骗子很可能已经拿到了姓名、身份证号、手机号、信用卡号和CVV2，基于这些信息，就可能完成在线支付。从安全角度看，姓名、身份证号、手机号几乎可以说是明码，能够得到的方式很多，身份证办理的信用卡号得到的难度大一些，CVV2难度似乎更大。但是……钱确实被盗了。

为什么补卡后注册？银行发来的各种验证信息，是完成注册并与银行卡关联然后实现支付的关键。

如何避免被盗？用户几乎无能为力。

减少损失的办法：该用户长期未用银行卡应该注销或花光卡内资金，并将信用额度调低，这样即使被盗后风险也较小。

信用卡号和CVV2，尽最大可能保护，尤其是CVV2，信用卡不能交给其他人，卡面的CVV2应……

一个核心问题。手机号为银行支付背书不可取。

安全等级：身份信息》银行信息》手机号码》互联网注册号码，等级高的，可为低等级的服务背书，反之不可。为银行支付安全做背书，手机号真做不到。 手机被偷、借用、被安装短信拦截程序等情形，都可让不法分子获取短信验证码。

​