多起銀行卡盜刷背后，一個手機權限正在變成支付風險入口

卡在身邊，密碼也沒告訴別人，錢卻在半夜悄悄沒了。

這樣的事，最近正在北京發生。

央視、人民日報等多家媒體報道顯示，自今年3月以來，北京地區已接報18起相關銀行卡盜刷案件，盜刷行為多發生在深夜，不少受害人是在第二天醒來后才發現賬戶異常。警方梳理后發現，這批案件有一個共同點，受害人睡前都下載過帶有木馬病毒的非法軟件。

這類案件最反常的地方，不只是“錢沒了”，而是它打破了很多人對盜刷的常見理解。

多數人想到銀行卡盜刷，首先想到的往往是卡號泄露、密碼外泄、驗證碼被騙走，或者誤點了釣魚鏈接。北京這18起案件顯然不是這種常見路徑。

卡沒有丟，持卡人也未必意識到自己泄露過關鍵信息，真正先出問題的，是手機被拿走了操作權。

警方披露，相關非法軟件在下載安裝過程中，會一步步誘導用戶開啟“無障礙權限”。

從公開演示和警方提示來看，這類權限一旦被不明來源的軟件濫用，應用就可能獲得讀取屏幕內容、執行點擊操作、在上層顯示內容等能力。對普通用戶來說，這已經不是“多給一個權限”那么簡單，而是把手機的關鍵操作入口交了出去。

無障礙權限原本是面向視障、老年人等特殊群體的輔助功能，也會被少數確有需要的軟件用于調試、輔助交互等場景。

問題不在功能本身，而在于它一旦落到帶木馬的非法軟件手里，就可能成為遠程操控手機的重要入口。

風險不是從銀行卡開始的，而是從手機權限開始的。

接下來發生的事情，就和很多人印象里的“盜刷”不太一樣了。不是騙子先拿到銀行卡信息，再想辦法把錢轉走。而是先通過木馬軟件控制手機，再利用這部手機讀取屏幕信息、操作相關應用、獲取短信驗證碼，最終完成轉賬、消費，甚至開通其他支付渠道。

警方披露，相關作案者在獲取無障礙權限后，不僅會遠程操控手機，還可能套取開屏密碼，嵌入反刪除程序，讓軟件難以卸載，并保留后續持續控制能力。

為什么受害人往往要到第二天才發現？

因為作案時間多選在深夜。

用戶熟睡、警覺性最低的時候，手機卻可能正在被遠程操控。為什么很多人會覺得“我也沒把驗證碼告訴別人”？因為在這類案件里，問題不一定出在“主動說出去”，而可能出在“你已經收不到了”。

公開報道提到，部分作案者還會換綁受害人的手機號，讓受害人接收不到銀行發送的短信驗證碼。表面上看，驗證碼機制還在，實際上接收驗證碼的通道已經被改寫。

這18起案件顯示，支付風險的入口正在前移。

過去大家談賬戶安全，更多還是圍繞銀行卡、密碼、短信驗證碼這些點。北京這批案件顯示，手機一旦先被人控制，銀行卡、短信、支付App、手機號綁定關系，就可能被順著同一條路徑串起來利用。

錢雖然最終是從銀行卡里轉走的，但風險并不是從銀行卡開始的。真正先失守的，是那部承載短信、密碼輸入、支付頁面和身份驗證關系的手機。

很多人之所以會在這種情況下失守，不是因為完全沒有安全意識，而是因為對手機權限的風險感知長期偏低。

今天的手機使用習慣里，“同意”“繼續”“允許”已經成了很多人安裝軟件時的順手動作。尤其是碰到下載頁面催著授權、頁面不斷跳轉、不給權限就無法繼續安裝的時候，用戶很容易覺得這只是正常流程的一部分。

可在系統權限層面，很多按鈕背后并不是“功能完整使用”，而是“把更多操作能力交給對方”。

警方也明確提示，正常通過應用商城下載的軟件，絕大多數并不需要開啟無障礙權限。如果一個來路不明的軟件在安裝階段就不斷引導你去開這類高權限功能，風險往往已經不低。

更麻煩的是，這類風險并不一定會在安裝后立刻爆發。

報道提到，相關軟件還帶有開機啟動和反刪除功能，正常長按刪除、進入設置關閉自啟動，可能都無法完成。很多受害人并不是在安裝當天就損失了資金，而是在木馬留在手機里、權限還在生效、控制關系沒有解除的情況下，被對方選中時機下手。

真正可怕的，不只是某一次盜刷，而是手機里長期存在一個用戶自己難以覺察、也不容易清理掉的遠程入口。

這起事件，不該只被當作一條普通反詐新聞來看。

它提醒公眾，今天的支付安全，已經不能只盯著賬戶本身，還要盯著承載賬戶的那部手機。一旦手機先被接管，短信、驗證碼、支付操作和身份驗證關系就會落到同一個攻擊面里。

對用戶來說，這意味著支付安全已經不能只理解成“銀行卡有沒有離身”“驗證碼有沒有說出去”，還得加上一層“手機有沒有被人遠程操作”。

“一個手機權限正在變成支付風險入口”這個判斷，并不夸張。

它不是說無障礙權限本身等同于支付功能，而是說在現實黑灰產鏈條里，這項原本服務于特殊需求和輔助交互的能力，已經可能被部分木馬和詐騙軟件當成靠近資金入口的前門。

工業和信息化部在2025年第四季度電信服務質量通告中提到，相關方面正組織制定無障礙權限使用和安全管理標準；中國信通院牽頭的《無障礙服務安全管理和使用技術要求》也已在2025年立項。

這些公開信息至少說明，無障礙權限被濫用帶來的安全問題，已經進入治理視野。

詐騙分子沒有攻破銀行系統，也不一定一開始就掌握了完整的銀行卡信息。他們先做的，是把人的手機變成自己的操作終端。等手機被接管，短信、密碼輸入、App切換、支付頁面和身份驗證關系就會被串聯利用。誰控制了這部手機，誰就更接近資金入口。

這也是為什么這批案件看起來不像傳統盜刷，卻比傳統盜刷更隱蔽。

對普通用戶來說，更需要警惕的是幾種異常信號。

比如軟件裝上后刪不掉，屏幕會自己亂跳，彈窗莫名其妙反復出現，設置里的項目被改了卻無法恢復，手機像是被別人遠程操作，這些都不是可以輕易忽略的小毛病。

警方演示已經說明，啟用無障礙權限后，應用能夠讀取屏幕內容、執行操作，再疊加反刪除程序，確實可能出現用戶看著手機卻控制不了手機的情況。

這類案件的危險之處，不只在于錢會被轉走，還因為它會擊穿很多人對支付安全的心理邊界。

很多用戶默認認為，只要銀行卡在手里、密碼不泄露、驗證碼不告訴別人，賬戶就基本安全。

北京這18起案件擊中的，恰恰是這個判斷的盲區。

驗證碼不是沒用，而是你可能根本收不到；密碼不是主動交出去，而是可能在被控設備中被套取；銀行卡雖然沒有離身，但持卡人的手機已經不只歸持卡人控制。

過去大家熟悉的是賬戶安全，這類案件提醒的卻是，設備安全一旦失守，賬戶安全也很難獨立存在。

從公開治理信息看，監管部門近年來一直在整治App強制索權、超范圍申請權限、個人信息過度收集等問題。把這些要求放回今天的場景里看，就會更容易理解，它們并不只是抽象的合規條款，也和用戶資金安全直接相關。

因為一款軟件申請的權限一旦明顯超出其功能所需，風險可能就不再停留在“多采了一點信息”，而是有機會進一步碰到短信、賬戶和支付操作。

對于已經中招的人來說，最重要的不是恐慌，而是先止損。

警方給出的建議很明確，不要硬刪，不要亂點彈窗，而是進入手機安全模式，在安全模式下卸載這些軟件。這個建議看似簡單，背后其實很關鍵。用戶在慌張狀態下反復與異常彈窗交互，反而可能讓對方繼續獲得授權，或者觸發木馬的更多動作。

發現問題后，第一反應不是和手機“搶控制權”，而是先切斷它繼續運行的環境，再處理卸載和后續核查。

北京這18起深夜盜刷案，表面上看是銀行卡資金異常，往里看卻是一次典型的風險遷移。

它提醒公眾，今天的支付安全，已經不能只盯著賬戶本身，還要盯著承載賬戶的那部手機。

以后再看到來路不明的軟件索要無障礙權限，看到手機開始自己動、軟件開始刪不掉時，不要再把它們都當成一個小故障。

很多時候，那已經不是手機“出了點毛病”，而是有人正試著通過你的手機，靠近你的錢。

這里是支付之家，關注支付表象之下的規則差異與邏輯變化，提供支付科技領域增量信息。

來源丨支付之家(ZFZJ.CN)（觀點僅供參考）