新闻|股票|评论|外汇|债券|基金|期货|黄金|银行|保险|数据|行情|信托|理财|收藏|读书|汽车|房产|科技|视频|博客|微博|股吧|论坛
 
资讯 理财故事 量身定做 税务 收藏
专题 投资指导 理财图说 滚动 专栏
 
股票 银行 期货 外汇
基金 保险 债券 黄金
 
理财产品 保险产品
理财宝  理财工具
 
沙龙 论坛
百科 理财答疑

短信诈骗大起底:三个疑点两个漏洞都是血的教训

  • 字号
2016-04-14 07:45:24 来源:融360 
近日,一名北京网友爆料,他在收到一条“订阅增值业务”的短信,根据提示回复了“取消+验证码”之后,半天之内支付宝、银行卡上的资金被席卷一空。

  近日,一名北京网友爆料,他在收到一条“订阅增值业务”的短信,根据提示回复了“取消+验证码”之后,半天之内支付宝、银行卡上的资金被席卷一空。

  人生最痛苦的事就是,银行卡在手里钱没了,更痛苦的是,你还不知道是谁花的。
短信诈骗大起底:三个疑点两个漏洞,都是血的教训!

  案件回顾

  4月8日,在下班回家的地铁上,该网友的手机忽然收到一条短信:显示来源为‘1065800’的号码发来了一条短信杂志,该网友很快回复退订,收到提醒:“指令不正确”。

  随后,显示“10658139013816280086”的号码给 merci发来短信,通知他已经订阅该资讯服务,如果退订,需发送‘取消+校验码’至本条短信。”

  同时,显示为 “10086”的号码再次发来短信:“尊敬的客户,您的USIM卡6位验证码为******”。该网友并不知道USIM卡验证码是什么,只想快点退订此项业务,于是回复“取消+*******”。

  此后,该网友发现自己手机的SIM卡已无服务。于此同时,他发现自己的支付宝、支付宝所绑定的招商银行(600036,股吧)账户,以及工商银行(601398,股吧)账户陆续发生转账。然而更可怕的是,他发现自己的中国银行(601988,股吧)、招商银行的网银已无法登陆,密码被篡改。仅能登陆的工商银行网银,也显示正在转账。而该网友许久未用的百度钱包,竟然也被绑定了三张银行卡并损失部分资金。

  意识可能遭遇诈骗,该网友赶紧给银行打电话挂失,可是所有挂失完成,已经过去了大半个小时。当该网友第二天到各个营业厅打印交易流水时发现,两张卡都已空空如也。
短信诈骗大起底:三个疑点两个漏洞,都是血的教训!

  为什么自己的身份证号、银行卡号、银行卡密码都没告诉别人,只是单纯的回复了一条短信,银行卡里的钱就被盗了?骗子是怎么做到的呢?

  对此,有关安全专家表示,这是一起典型的综合利用“个人信息+ USIM补换卡+改号软件发送诈骗短信”的电信诈骗案件。

  融360小编简单概述一下犯罪分子的作案过程:

  首先,我们要知道手机短信验证码之所以叫验证码,是因为它的功能是验证身份,比如,当你通过网银转账时,银行无法判断是不是你本人操作,为了防止盗刷的可能,这时候就会给你的手机发一条验证码进行身份核实。

  在这种情况下,即使别人掌握了你的银行卡号和银行卡密码,但是没有手机短信验证码,他也束手无策。这也是为什么,融360小编一直强调,验证码是一个神奇的东西,不要随便告诉别人。

  这个骗局的关键就在于这个“USIM卡验证码”,话说,中国的运营商们搞出了一个“远程补卡”这么个功能,什么意思呢,就是如果你手机卡丢了或者坏了,可以直接在网上营业厅办理补卡,不用跑到营业厅了。运营商收到申请后,会寄一个空白USIM卡给用户,用户拿到后,通过换卡操作步骤说明,可以远程激活新卡生效。

  而骗子正是通过登录机主的网上营业厅,先提交订阅申请,之后发来钓鱼短信,诱使机主回复“取消+验证码”(注意这个验证码就是移动验证用户身份的验证码),受害人出于着急退订的心理,于是就把验证码发了过去。
骗子利用这个验证码,直接在异地复制一张USIM卡,而受害人手里真正的USIM卡就失效了。这时候,机主的手机号码就会被诈骗分子完全控制。这样一来,骗子可以轻易获取任何转账支付需要的验证码,通过支付宝转账、盗取银行卡资金、开通百度钱包等这些行为很容易实现。

  骗子利用这个验证码,直接在异地复制一张USIM卡,而受害人手里真正的USIM卡就失效了。这时候,机主的手机号码就会被诈骗分子完全控制。这样一来,骗子可以轻易获取任何转账支付需要的验证码,通过支付宝转账、盗取银行卡资金、开通百度钱包等这些行为很容易实现。

  回顾本案,我们发现有3个疑点:

  1. 仅凭一个验证码就能完成盗刷吗?

  当然,只凭一个验证码是不可能把钱都转走的,无论是重置密码还是转账,骗子都要掌握受害人的银行卡号、身份证号、姓名、手机号等个人信息,这就说明,该网友的这些个人信息犯罪分子之前就已经获悉,万事俱备,只差一个可以接收验证码的手机卡。

  2.骗子是如何获取受害人的个人信息的?

  其实,对于生活在当下的我们来说,个人信息泄露早已见怪不怪了。前几天就有个新闻说,只要5分钟,就能在网上买到1000多条银行卡信息,包括银行卡号、卡主姓名、身份证号码、预留手机号码、银行密码。

  该骗局中,有可能是持卡人不小心泄露了自己的个人信息,也有可能是犯罪分子通过非法途径获取,但这些都无从判断。

  3. 骗子怎么登陆上受害人的网上营业厅?

  对此,腾讯安全专家陆兆华分析认为,用户常用的密码很可能多个平台重复使用,某一个网络平台的资料和密码丢失之后,诈骗分子很可能会采取撞库的形式通杀其他平台的帐号密码,除此之外,一些黑产非法交易、第三方网络平台存在漏洞都有可能泄露,即个人信息的泄漏是有很多种可能性的,不一定就是移动官网自身泄露的。

  除此之外,我们会发现,整个案件中存在两个漏洞。

  1. 移动的换卡流程过于简单,仅凭一个验证码就能复制号码

  本案件的关键就在于移动的“远程补卡”功能,虽说这一功能可以帮助用户直接在网上进行补卡,解决了用户跑营业厅的麻烦,但是仅靠一条短信验证码就能完成,非本人当场也无身份证就能办理,身份审核实在过于简单。

  另外,在发送USIM验证码时,移动应该在短信中说明验证码的用途,至少要说明这是换卡的验证码,并应该提醒下泄漏的危害。总之,运营商有必要反思一下这个业务的漏洞,加强对用户的提醒,提高验证门槛。

  2.受害人将验证码告诉别人

  这起案件中,受害人也有一定的责任,其最大的问题在于将验证码发了出去。犯罪分子正是得到了验证码,然后通过网络复制了受害人的手机卡,进而盗取资金。

  我们从中的到哪些教训:

  虽然,对于诈骗过程的条分缕析并不能帮助该网友挽回一分钱的损失,但却能让其他人面对同样的骗局时逃过一劫。从这起案件中,我们应该吸取一些教训。

  1.验证码打死也不能告诉别人
现如今,你的钱不一定是你的,你的隐私是世界的。在个人信息泄露无处不在的今天,我们更要时刻提高警惕,保护个人信息。从以往此类的诈骗案例中,我们可以看到,骗子之所以能够得逞,往往都是通过引诱受害人骗取验证码来完成。所以,任何时候验证码都不能告诉别人,连重置支付宝密码时,在验证码的短信中,支付宝都会提示:打死都不能告诉别人,可见验证码的重要性。

  现如今,你的钱不一定是你的,你的隐私是世界的。在个人信息泄露无处不在的今天,我们更要时刻提高警惕,保护个人信息。从以往此类的诈骗案例中,我们可以看到,骗子之所以能够得逞,往往都是通过引诱受害人骗取验证码来完成。所以,任何时候验证码都不能告诉别人,连重置支付宝密码时,在验证码的短信中,支付宝都会提示:打死都不能告诉别人,可见验证码的重要性。

  2.陌生短信不要回复,更不要随意点击来历不明的链接

  生活中,我们经常会收到一些莫名奇妙的短信,这其中很有可能就有骗子通过伪基站发来的诈骗短信,当我们收到这些短信的时候,千万不要贸然回复,如果短信中附带链接,更不能随意点击,因为只要一点击,你的手机就会中木马病毒,犯罪分子就会盗取你的个人信息,支付密码等,从而进一步盗取资金。

  融360小编对待陌生短信的处理方式,都是一概不回复并立即删,我觉得大家可以借鉴。
另外,现在的骗子技术也越来高超,有的诈骗短信甚至和银行发来的短信十分相像,非常带有迷惑性,真假难辨,一不小心就容易中了骗子的圈套。收到不确定的信息时,正确的做法是,第一时间给银行的正规热线打电话咨询。

  另外,现在的骗子技术也越来高超,有的诈骗短信甚至和银行发来的短信十分相像,非常带有迷惑性,真假难辨,一不小心就容易中了骗子的圈套。收到不确定的信息时,正确的做法是,第一时间给银行的正规热线打电话咨询。

  另外,记住,没有一家银行发来的短信会让用户输入银行卡号和银行卡密码!收到让你输入这些信息的短信,那百分之百是骗子!千万别信!

  我们能做的一些防范措施

  在电信诈骗日益猖獗的今天,为了防止类似的事情发生在我们身上,生活中我们有必要注意一些事情,做到防患于未然。
(图片来自央视新闻)
(图片来自央视新闻)

  总之,这年头骗子的智商已经不能小觑,在此,融360小编提醒各位伙伴们,即使有钱,也请不要任性!多一份谨慎,才可防止被骗,多一份防范,才能让骗子无可乘之机!

(责任编辑:赵然 HZ002)

相关新闻

评论

还可输入 500

理财精品推荐

推广
热点

  【免责声明】本文仅代表作者本人观点,与和讯网无关。和讯网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。