近日，网友“@陈姑娘吖”发帖称，“天塌了，一觉睡醒手机里的钱被盗刷了！”来自江苏徐州的陈女士和丈夫周先生外出旅游，7月13日，周先生意外发现手机掉电特别快，感觉异常。经查看，发现一夜之间手机绑定的支付系统竟然被连连盗刷，其中包括信用卡及云闪付，大额小额均有，近三万元。

图为周先生手机上被盗刷的记录

图为周先生手机上被盗刷的记录

“这可能是我爱人下载了一个免费追剧软件导致。虽然我们立即报警，但根据目前掌握的情况，这些被盗刷的钱已被在多个渠道消费了，警方需要查找最终的资金归属方，或许才能抓住这名‘盗贼’。”陈女士在接受扬子晚报/紫牛新闻记者采访时称，目前警方已介入调查该案。网络安全专家提醒，千万别下载不明软件，手机出现意外可立即开飞行模式或拔SIM卡。

夫妻外出旅游，一夜间手机上莫名被盗刷近三万

近日，小红书用户“陈姑娘吖”发文称，自己和丈夫外出旅游时，突然发现手机掉电异常。一查后意外发现，丈夫手机竟然在一夜间被盗刷了2.76万元，且是分批小额转账，或者被消费，用于支付家庭用水费、电费，以及购买空调等生活用品。

那么，事情的原委到底是怎么样的呢？“我们一家人是7月12日到达河南开封的，准备到当地各处看看。”陈女士告诉扬子晚报/紫牛新闻记者，当晚9点多，她丈夫本打算下载一款名为“一起看”的免费追剧软件，在应用商店下载成了软件“一起 看”（中间有空格）。在丈夫点击观看时，软件提示需下载另一款“青柠TV”应用。陈女士的丈夫没多想就点击了下载，但下载速度缓慢，他也未加留意，便把手机放在一边，陪孩子睡觉了。

图为控制了周先生手机的恶意软件

图为周先生手机上被盗刷的记录

7月13日早上，陈女士的丈夫打开手机，发现手机电量从前一晚的60%降到3%，同时收到一条凌晨4点推送的消息，显示自己的农商行卡入账2000元。这让陈女士的丈夫起了疑心。打开支付宝，他发现余额宝资金被盗，且记录均被删除。 交易流水显示其资金被分批转入自己名下的一张邮储银行卡。在邮储银行卡的交易记录中，发现资金被拆分为多笔小额消费，用于为他人充值话费、电费及购买机票。陈女士的丈夫又赶紧查询了一张农行卡，发现当天凌晨曾支付2.3万元，用于购买了一款格力电器。

陈女士告诉记者，丈夫的支付宝绑定了多张银行卡，推测应该是骗子从支付宝转到邮储银行卡用于支出时，估计是操作次数太多被限制。然后，骗子又从邮储银行卡将钱转回支付宝，可能后面支付宝也被限制了。而农商行卡入账2000元，则是骗子从支付宝转进去准备用于其他消费，结果因其丈夫身份证过期，该卡无法使用，这才导致只能进不能出。

所幸的是，陈女士和丈夫发现一个农商行账户因状态异常，一笔2000元的款项未能转出，其次，因转账次数限制，一笔5000元的交易也被禁止。两笔共计7000元资金，未被盗走。

在发现资金被盗后，陈女士丈夫的手机还出现无法关机、无法充电、闪退等异常情况，卸载可疑软件后，仍有推送消息显示。

两人立即前往河南开封当地的派出所报了警。警方初步调查，发现手机被控的情况较为复杂，于是将案件转交至反诈中心。技术人员最终排查出藏匿的恶意控制软件，并将其清除，确认被盗金额为2.76万元。

图为控制了周先生手机的恶意软件

令人意想不到的是，7月14日早上，陈女士丈夫又发现自己的信用卡遭“无卡支付”，被人充值话费及支付电费，共计2000元。合计损失2.96万，两人只能再次报警。

原来是这样被盗刷的！转出的钱在二手平台被人抢付水电费及购物

“被盗刷了这么多钱，我们也无心旅游了，于是立即启程回家，同时又在我们老家徐州沛县当地的派出所报案。”陈女士和丈夫又去查了银行流水，发现小额钱款均是通过云闪付支付的，这是因为他们开通了1000元以下免密支付的功能，才让骗子有机可乘。

陈女士推测，在手机被装上恶意软件后，骗子将其云闪付账号登录到陈女士丈夫的设备上，并修改密码。紧接着，骗子立即在二手平台上发布低价或者优惠充话费、电费的链接。有消费者发现该链接后，花钱拍下，骗子便利用控制的这台手机，给消费者进行充值。也就是说，骗子利用陈女士丈夫的手机，替别人的消费买单，花的是陈女士丈夫的钱，最终消费者买单后的钱又落入骗子的口袋。

图为周先生手机上被盗刷的记录

“我们银行卡的付款记录，被分成958元、500元、100元这种一笔一笔的，且都是给别人充水电费、话费，还有买机票，甚至购买电器。而从付款记录中可以看到，还有一笔从银行卡又转回支付宝的钱，有5000元。”陈女士告诉记者，事后手机还被这款恶意软件控制，不能关机，不能充电，设置里面的任何东西一点就闪退。甚至在可疑软件已经卸载之后，竟然还在通知栏里有显示。

“让我们疑惑的是，对方如何在锁屏状态下远程操控手机？我们的登录密码是大小写字母加数字组合，对方如何能直接从银行卡转账并消费的呢？”陈女士告诉记者，民警也联系了一名消费者，对方称自己花钱买的话费。

记者联系充值方称为网上购买，受害人妻子是一名抗癌勇士

最终，还是河南开封反诈中心技术科的民警介入，在陈女士丈夫的手机里找到该恶意软件，进行破解分析，最后卸载掉后，才成功把手机“解救”了出来。

根据陈女士提供的相关消费记录，扬子晚报/紫牛新闻记者联系了一名话费充值手机机主，该机主称，自己是在正规的二手渠道进行充值的。记者又致电国家电网福建省电力有限公司，一名工作人员回复称，这笔钱是某科技公司缴纳的电费，但无法查明对方是如何缴纳的。此外，记者致电了格力电子商务有限公司，对方表示无法查询到购买订单，因而也无法得知对方的身份及支付方式。

图为周先生手机上被盗刷的记录

陈女士告诉记者，她是1995年出生的。2022年8月，被确诊直肠癌。尽管抗癌之路十分艰难，但她一直以积极的态度面对，通过运动等方式减轻病痛，并在当年9月做完手术。

2022年10月至2023年5月间，在家人的鼓励和自己的坚持下，陈女士在徐州某三甲医院经历了23次放疗、8次化疗。今年2月，陈女士出现了肠梗阻的情况。这段时间，她按照医生的建议，空腹打鼻饲，希望能让一部分有可逆性的肠道通过肠内营养自行恢复。今年5月，陈姑娘拔掉了鼻饲，体重也渐渐恢复。

“我现在定期复查，正在康复之中。”陈女士说，在抗癌期间，自己一直保持着乐观向上的态度，不时会在小红书平台上分享自己的化疗经历、营养食谱和生活日常，还会耐心回复病友在评论区的提问。

网络专家提醒：别下载不明软件，手机出现意外可立即开飞行模式或拔SIM卡

盐城市大数据集团盐数网安公司魏旻总经理告诉扬子晚报/紫牛新闻记者，从该案例中初步分析，陈女士丈夫手机被盗刷是被诱导下载，伪装成“一起 看”的恶意软件，实际上是个自动安装控制程序。随后，该程序会获取设备控制权，并在后台操作手机，窃取支付凭证，开启无障碍模式，进行资金归集转移或发起免密支付式消费，并在二手平台销赃。同时，该程序还会进行痕迹消除，即删除支付宝、银行App交易记录。

图为被二手平台消费的金额

“木马深藏在系统分区，普通卸载无法清除，重启后仍有可能继续运行。” 魏总告诉记者，关键的防护措施（普通人必做清单）如下：

1手机出现异常后，如何“紧急止血”？

① 立即断网：开飞行模式或拔SIM卡，阻断木马外传数据；

② 冻结资金：用另一台干净设备拨打银行/支付平台客服电话，临时挂失全部卡片、关闭云闪付/支付宝/微信免密支付；

② 留存证据：对异常交易截图、录屏，记下时间、金额、收款方，为报警做准备。

2卸载可疑软件后，如何将恶意软件“斩草除根”？

① 进入安全模式（各品牌手机方法不同：华为长按关机键→安全模式，小米关机后开机同时按住音量下键），只运行系统应用；

② 在安全模式下卸载可疑 App，再检查“设置-应用-特殊权限”里是否有残留服务；

③ 仍不放心就“双清”即清除数据，清除缓存，或刷官方完整固件（以上动作建议去品牌店请专业售后人员操作，并注意做好数据备份）。同时，受害人第一时间修改所有支付、社交、邮箱密码，启用二次验证（短信 + 指纹/面容/硬件令牌）。

图为被二手平台消费的金额

魏旻总经理向记者分析称，这起案例给了市民相关警示，即预防此类诈骗需从日常习惯入手。

一是规范软件下载渠道，只从手机官方应用商店下载软件。机主避免通过网页链接、第三方平台下载。下载时，机主要仔细核对软件名称、开发者信息，注意名称中的特殊符号或空格等细节；

二是合理管理支付设置，关闭非必要的免密支付功能。用户设置常用银行卡日单笔/日累计限额，可根据个人实际情况调到 2000～3000 元。为银行卡和支付账户设置交易提醒，包括短信提醒、APP 推送提醒等，确保每笔交易都能及时知晓；

三是定期检查手机状态，留意手机是否有异常耗电、陌生弹窗、后台进程异常等情况，发现问题及时排查；

四是强化账号安全保护，所有和钱相关的一定要开启二次验证功能，如指纹/人脸验证、短信验证码验证，不轻易向他人透露验证码，不在非官方渠道登录账号；

五是提高安全警惕性，不随意连接公共无线网、点击陌生链接、下载不明软件，遇到手机异常、资金变动等情况，第一时间联系银行、平台客服和警方。

“在手机设置中启用‘外部来源应用安装禁止’（安卓在设置-安全中，iOS默认关闭），这是拦截恶意软件的第一道生死防线。遭遇诈骗时，立即拨打110报警。”魏总对记者说。

扬子晚报/紫牛新闻记者 梅建明 实习生 孙舒颜

视频剪辑 马斌

校对 盛媛媛