华人帐户被盗，Lycamobile成破口

新移民初到美国时，通常难以获取由大型运营商提供的、安全性较高的实名制手机号码，在纽约华人社区广泛铺设地面经营网点的预付费制通讯服务商Lycamobile，则是很多华人新移民的首选。但今年年初以来，本报记者陆续接到受害人投诉，称他们原本正常使用的Lycamobile号码突然失效，紧随而至的，是与手机号码绑定的银行帐户被盗。

电话号码盗窃者利用商家权限和用户身分验证机制上的漏洞，获取目标号码的原始帐号(account number)和初始密码(pin)，即可在用户不知情的情况下接管该电话号码。(路透)

一名称自己身在一个盗窃团伙身边的知情人士近日揭示了Lycamobile号码被盗窃的全过程。此人透露，他所认识的盗窃者只针对华人受害者下手，他爆料的目的是希望提醒华人用户提高警惕，不要让辛苦挣来的钱落入犯罪者手中。

据披露，盗窃者是位于布碌仑的Lycamobile一个经销商，团队约十人左右。他们首先使用Python编程语言写出爬虫脚本，从号码库中找出属于Lycamobile的号码，然后将筛选出的电话号码逐一放入Zelle系统，若号码对应的Zelle收款人姓名为中文拼写，便将其选定为目标。得到目标后，盗窃者通过加密通讯软体Telegram寻找活跃在暗网上的专业身分盗窃者，便可取得号码主人的社会安全码。

随后，盗窃者利用商家权限和Lycamobile用户身分验证机制上的漏洞，获取目标号码的原始帐号(account number)和初始密码(pin)，即可在用户不知情的情况下接管该电话号码。

在得到受害人姓名、生日、社安码、银行帐号以及电话号码等关键资讯后，盗窃者便可突破大部分银行的客户身分验证程序。以大通银行(Chase Bank)为例，无论是否真的是用户本人，只要能提供卡号和社安号，便可利用与帐户绑定的手机号码接收验证码，然后更改帐户密码。这也正是盗窃者需要侵夺受害人手机号码的原因。

知情人士表示，他已把相关情况报告给警方，执法部门正启动调查。根据目前掌握的资讯，被该团伙盗窃过的受害人至少已逾千人。截至发稿时，本报记者无法独立核实其真实身分。

不过，经营过Lycamobile业务的布碌仑八大道社区人士凌飞说，该知情人士透露的盗窃手段确实具有可操作性。他表示，美国很多通讯运营商都会鼓励用户频繁转换服务商、并为「被撬来」的用户提供多种优惠。而若带着原有号码转换服务商，就需要用户向原服务商索取号码的原始帐号和初始密码，因此这项要求并不罕见。Lycamobile此前要求客人本人打电话给客服，提供相关认证信息后，方可提供帐号及密码。但后来将要求放宽，使别有用心之人更容易绕过客服环节，获取帐号和密码。

凌飞说，类似的盗窃手段并不新鲜。他经营的店铺三年前曾接待过一对男女顾客，他们报出一个号码，要求更换运营商，但凌飞发现该号码现有的月度套餐还剩超过两个月效期，此时匆忙更换运营商颇为可疑，他因此婉拒。在他次日致电该号码求证时，号码主人表示，前一日其号码确实被盗、银行帐户也随后出现问题，幸而及时补救，未造成更严重损失。号码主人被盗号的时间点，正是那对可疑男女离开他的店铺后不久。

目前，Lycamobile受害者自发组织的维权群组已有逾30人，其中多数成员为纽约华人，也有来自加州的华人。曼哈顿华埠的纽约东华协会一名职员表示，这种盗窃现象确实广泛存在，且绝非孤例。