支付宝|警察都没听过的黑色产业链：偷手机后盗取全部银行卡、支付宝、微信( 三 ) 银行|微信|身份证|第三方支付

开始收复阵地，检查损失。找回支付宝、微信、云闪付，发现除了支付宝手机号被改了，但由于账户本身冻结状态，就没管了，。从云闪付上管理的银行卡里交易记录基本没什么异常，只有一张工商银行卡多了280元（诡异吧），一看是从一个钱袋宝转过来的，觉得蹊跷下了个APP想用手机号码登录钱袋宝看下， APP异常，登录不上。暂时就没管了。
约了朋友一起峨眉山泡温泉，喝下一瓶乐虎、一瓶红牛、一瓶咖啡，出发去峨眉山，途中继续检查了了下各个支付账户，好像没什么异常。下午到了峨眉山，在温泉池子里休息，恢复体力。准备晚上从电信营业厅查下详单，看对方都干了什么。
晚上查详单前老婆登录支付宝结果习惯性输入手机号码，发现密码错误，赶紧用手机找回，突然想起自己支付宝账号不是手机号，一看才发现是对方新建的支付宝账号，还绑定了那张被我们遗忘的建行卡，以及一张建行ETC信用卡（办好etc后就一直在抽屉里吃灰），而且账单里有充值消费记录，以及被支付宝风控阻断后的充值退回记录，这时候才发现这张原本绑在云闪付上的信用卡被对方从云闪付解绑了，所以我们才没发现异常。登陆建行网银，发现9月5日4点多时美团转进 5000元的记录，跪了，再看etc信用卡有各种买卡、充值的记录几大千，银联转账记录几大千，最坏的情况还是发生了。
下载了短信和通话详单，开始分析通话和短信记录，挨个查询，基本上通话的都是各家银行、银联，短信记录能查的到源号码的也就是社保局、华为、腾讯、银联、翼支付、微信、支付宝，其他106开头的服务号不知道是哪个机构的，分析没什么结果。
两人开始回忆从头到尾的细节，开始逐个分析，一个资深渗透测试工程师的优势这时候展示体现出来了。对方第一次上线时已经把卡拔出来插到其他手机，从短信发送记录上看是给一个手机发了条短信，获取到本机手机号码。然后联系电信改了服务密码，用手机号码配合短信验证码改了华为密码，把原设备上的账号注销了。然后解锁了华为锁屏密码，进入了手机。这中间有几个说不通的地方：
1.修改电信服务密码需要身份证号码
2.有华为密码从网站上也没有解锁锁屏密码的功能。
第一个我想的是可能从社工库查到了身份证号码，第二个根据百度结果说是华为老版本的emui 账号登录后可以远程锁机，设置一个新密码，然后用新密码解锁屏幕进入手机（这个操作未实际验证）。
然后对方还修改了支付宝登录和支付密码、微信密码，中间还修改了支付宝手机号码（为什么这么操作到9月7日晚上的分析才知道），并且绑定了被我们遗漏的银行卡至支付平台账号上进行消费。这里又有说不通的地方：

支付绑卡需要银行完整的卡号，如何得到的？一开始以为打银行客服就可以问到，后面试了下是不行的；

但当我查看支付宝的银行卡管理功能时，发现有支付密码的话，可以用支付宝自带的查看卡号功能获取银行卡完整卡号，太长时间没用这个功能了。
但这样的话就还有个说不通的：
支付密码的重置需要的条件（1.人脸 2、短信+安全问题 3、短信+银行卡信息 4 银行卡+安全问题），没照片的情况下，人脸应该不行，我们设置的安全问题基本上不会被猜到，那只有短信加银行卡了（实际上最后发现，对方既可以人脸验证，也可以短信加银行卡验证，甚至连支付宝都是自己新建了一个，支付密码也是自己设置的）。

然后剩下的步骤就比较清晰了，通过绑了卡的美团，申请贷款，放款到建行储蓄卡再通过支付APP之前的绑卡结果，通过购买虚拟卡和网络充值消费掉。
剩下就是苏宁金融的信用卡消费了，还是抱着怀疑的态度，他们如何搞到我的信用卡cvv的，这一点我们是比较肯定的， etc信用卡从申请下来就没离开过抽屉。从银行客服那边能获取到的最多也就是信用卡有效期。（后面才发现支付公司现在绑信用卡根本不验证有效日期和CVV ，都是简单粗暴的身份信息+卡号+预留手机号码，甚至有些连预留手机号都不用）。