Lycamobile成破口 華人帳戶被盜 知情者詳解手法

新移民初到美國時，通常難以獲取由大型運營商提供的、安全性較高的實名制手機號碼，在紐約華人社區廣泛鋪設地面經營網點的預付費制通訊服務商Lycamobile，則是很多華人新移民的首選。但今年年初以來，本報記者陸續接到受害人投訴，稱他們原本正常使用的Lycamobile號碼突然失效，緊隨而至的，是與手機號碼綁定的銀行帳戶被盜。

一名稱自己身在一個盜竊團夥身邊的知情人士近日揭示了Lycamobile號碼被盜竊的全過程。此人透露，他所認識的盜竊者只針對華人受害者下手，他爆料的目的是希望提醒華人用戶提高警惕，不要讓辛苦掙來的錢落入犯罪者手中。

據披露，盜竊者是位於布碌崙的Lycamobile一個經銷商，團隊約十人左右。他們首先使用Python編程語言寫出爬蟲腳本，從號碼庫中找出屬於Lycamobile的號碼，然後將篩選出的電話號碼逐一放入Zelle系統，若號碼對應的Zelle收款人姓名為中文拼寫，便將其選定為目標。得到目標後，盜竊者通過加密通訊軟體Telegram尋找活躍在暗網上的專業身分盜竊者，便可取得號碼主人的社會安全碼。

隨後，盜竊者利用商家權限和Lycamobile用戶身分驗證機制上的漏洞，獲取目標號碼的原始帳號(account number)和初始密碼(pin)，即可在用戶不知情的情況下接管該電話號碼。

在得到受害人姓名、生日、社安碼、銀行帳號以及電話號碼等關鍵資訊後，盜竊者便可突破大部分銀行的客戶身分驗證程序。以大通銀行(Chase Bank)為例，無論是否真的是用戶本人，只要能提供卡號和社安號，便可利用與帳戶綁定的手機號碼接收驗證碼，然後更改帳戶密碼。這也正是盜竊者需要侵奪受害人手機號碼的原因。

知情人士表示，他已把相關情況報告給警方，執法部門正啟動調查。根據目前掌握的資訊，被該團夥盜竊過的受害人至少已逾千人。截至發稿時，本報記者無法獨立核實其真實身分。

不過，經營過Lycamobile業務的布碌崙八大道社區人士凌飛說，該知情人士透露的盜竊手段確實具有可操作性。他表示，美國很多通訊運營商都會鼓勵用戶頻繁轉換服務商、並為「被撬來」的用戶提供多種優惠。而若帶著原有號碼轉換服務商，就需要用戶向原服務商索取號碼的原始帳號和初始密碼，因此這項要求並不罕見。Lycamobile此前要求客人本人打電話給客服，提供相關認證信息後，方可提供帳號及密碼。但後來將要求放寬，使別有用心之人更容易繞過客服環節，獲取帳號和密碼。

凌飛說，類似的盜竊手段並不新鮮。他經營的店鋪三年前曾接待過一對男女顧客，他們報出一個號碼，要求更換運營商，但凌飛發現該號碼現有的月度套餐還剩超過兩個月效期，此時匆忙更換運營商頗為可疑，他因此婉拒。在他次日致電該號碼求證時，號碼主人表示，前一日其號碼確實被盜、銀行帳戶也隨後出現問題，幸而及時補救，未造成更嚴重損失。號碼主人被盜號的時間點，正是那對可疑男女離開他的店鋪後不久。

目前，Lycamobile受害者自發組織的維權群組已有逾30人，其中多數成員為紐約華人，也有來自加州的華人。曼哈頓華埠的紐約東華協會一名職員表示，這種盜竊現象確實廣泛存在，且絕非孤例。