個人資訊洩露 一條短信盜走積蓄

　　銀行卡、支付寶和百度錢包中的資金悉數被盜；

　　利用“個人資訊＋USIM卡＋發送短信”作案

　　在回復了一條短信後，一夜之間，許先生的積蓄幾乎全部被人轉走。銀行卡、支付寶和百度錢包的錢在幾個小時內被騙子輕易轉出去，自己眼睜睜看著，卻無能為力。

　　網路安全專家分析，根據許先生提供的資訊，騙子在實施詐騙前已經獲取了受害人的銀行卡號、身份證號、姓名、手機號等個人資訊。只需要獲得驗證碼即可實施盜竊。

　　據新京報記者採訪獲悉，在買賣身份證、銀行卡、手機號等個人資訊的“黑市”中，在QQ上3-5毛錢就可以買到一條。網路安全專家表示，不法分子獲取個人資訊主要的途徑包括無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和新型駭客技術竊取等。

　　【事件】

　　將驗證碼回復過去 幾小時內錢被盜

　　北京的許先生因根據提示回復了一條短信，幾個小時內積蓄幾乎被悉數盜走，涉及三張銀行卡及支付寶、百度錢包。

　　一週來北京市的許先生過得很糟心，一直在為自己被盜的積蓄奔波。許先生告訴新京報記者，自己一直在創業，好不容易有了點積蓄，卻在幾個小時內幾乎被悉數盜走。涉及三張銀行卡，以及支付寶和百度錢包。事情的起因是自己根據提示回復了一條短信。

　　4月8日，許先生在下班回家的地鐵上收到一條10086的短信，提示他手機開通了一項名為“中廣財經半年包”的業務；接著又收到一條“10658＋手機號”發來的短信，稱回復“取消＋校驗碼”可退訂業務；與此同時，許先生收到10086發來的“USIM卡6位驗證碼”。正想退訂業務的許先生就根據提示將驗證碼發送過去。之後“災難”就開始了。

　　半個小時後，許先生的手機無法上網和通話，此時他還以為是中國移動開通業務後導致手機停機；不過一個小時後，許先生發現事情並非如同他的猜測，自己的支付寶開始向綁定的銀行卡轉賬，而銀行卡的網銀密碼也被修改了，他本人無法登錄。除了用支付寶轉賬外，他的百度錢包也被人綁定關聯了銀行卡，參與了轉賬。最終許先生銀行卡和支付寶裏的錢都被轉走了。

　　在此期間，許先生採取了不少措施，比如嘗試將錢轉到其他的銀行卡上，解除銀行卡與支付寶的綁定等，但都沒能挽回損失。許先生説：“我是同一時間在和TA搶錢，而最後，我啥也沒搶回來。”

　　【探因】

　　被盜刷前銀行卡身份證等資訊已洩露

　　網路安全專家表示，這是一起典型的綜合利用“個人資訊＋USIM卡＋改號軟體發送詐騙短信”的案件。

　　許先生的錢究竟是如何被盜走的呢？新京報記者就此採訪了360網際網路安全中心網路安全專家劉洋，劉洋表示，按照許先生的描述，這是一起典型的綜合利用“個人資訊＋USIM卡＋改號軟體發送詐騙短信”的案件。

　　“根據已有的資訊判斷，在實施詐騙之前，騙子掌握了大量受害者的個人資訊，包括姓名、手機號、身份證號、網銀賬戶和密碼，銀行預留的驗證手機號。”劉洋説，在這種情況下，騙子只需要得到許先生的短信驗證碼，即可進行轉賬操作。於是，騙子選擇利用移動的USIM補換卡業務，直接竊取用戶手機卡，並由此可以掌握該用戶的全部手機短信，包括轉賬必需的“驗證碼短信”內容。

　　根據劉洋的解釋，騙子先獲取了許先生移動網上營業廳賬號密碼，給許先生訂購手機報增值業務，以便干擾他的判斷，認為被強制訂購業務；實際上，這時騙子通過網上營業廳辦理USIM換補卡業務，使得許先生收到中國移動發送的短信驗證碼；騙子再利用改號軟體定向給許先生發送短信，提示他退訂增值業務需回復短信“取消＋驗證碼”，誘騙許先生把“USIM卡補換卡驗證碼”當成“取消訂購業務驗證碼”發送過去，交給騙子。

　　辦理USIM卡補換卡業務後，原手機上的卡就不能用了，騙子利用了這個漏洞竊取了許先生的手機號，在具備許先生的個人資訊後，騙子可以輕易獲取任何轉賬支付需要的驗證碼，進行支付寶、網銀等轉賬支付。

　　新京報記者4月18日登錄移動官網查看發現，移動這項業務已進行了安全機制上的更新，用戶如果沒有申請備卡就不能辦理該業務。而且移動會提醒：即將在中國移動北京公司辦理補卡。

　　據上述涉事銀行內部人士分析，該客戶身份資訊、銀行卡號、網銀登錄密碼、手機號均洩露，特別是手機號及手機接收到的資訊被犯罪分子控制。客戶在支付機構通過“姓名、銀行卡號、證件類型和證件號、手機號、手機驗證碼”綁定銀行卡，支付過程中，驗證客戶在支付機構設置的密碼。

　　上述銀行人士表示，在與支付機構合作快捷支付業務中，銀行一般會建立相應的風控機制，例如客戶簽約的手機號碼應在銀行櫃面或通過網銀U盾驗證，以防不法分子利用。同時，對支付機構的快捷業務設置了相應限額，分為單筆累計、日累計和月累計，如出現資金盜刷，可降低被盜資金額度風險。後續，該行將與客戶一起儘快解決問題，減少客戶損失。提示廣大客戶，妥善保護好個人資訊，防止個人資訊洩露。

　　【調查】

　　個人資訊“黑市”交易3毛一條

　　目前非法獲取消費者個人資訊的形式主要有無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和資訊駭客技術竊取等。

　　個人資訊被當成商品在“黑市”交易已不是秘密。

　　新京報記者通過調查發現，網上有不少出售個人資訊的QQ群，在一個名為“出售個人資訊數據”的QQ群裏，不少人在群裏諮詢“求購車主資訊”“有沒有身份證銀行卡加密碼資訊”……

　　新京報記者以需要個人資訊的名義聯繫名為“客服3”的管理員，在提供從城市、具體要求之後，該管理員發來一份“樣例”，並聲稱資料靠譜。

　　據其描述，不同要求的資料價格也不同。其中只有姓名、身份證號、手機號等資訊的話，一手資料2元/條，二手資料0.3元/條。“銀行的貴，帶密不做，風險高。”該管理員稱，一般加上銀行卡號後，一手資訊會升到一條5元，二手資訊也升到0.5元一條。

　　此後，記者又試圖添加其他QQ群，大部分都沒有審核通過。其中有一位自稱“網路大咖”的出售人員表示，“1萬數據2800元，伺服器提取一手數據”，並稱統一先收費再操作。當記者詢問能否提供“試用”，遭到對方的拒絕。

　　“目前非法獲取消費者個人資訊的形式主要有無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和資訊駭客技術竊取等。”劉洋説。

　　據劉洋介紹，無良商家倒賣主要是某些掌握大量用戶個人資訊的商業機構由於管理不善，內部員工盜賣用戶個人資訊的事件時有發生；木馬病毒竊取個人資訊主要是針對上網賬號，統計顯示，超過一半的流行木馬病毒與網路盜號相關。而且盜號木馬主要針對的用戶的遊戲賬號、社交賬號、網銀賬號和其他支付賬號；二手手機泄密是指用戶出售自己二手手機時，即便將通訊錄、短信、通話記錄等資訊全部刪除，但如果沒有對手機中存儲的資訊進行徹底的銷毀，則有可能被不法分子惡意恢複數據並用於不法目的。

　　2015年，關於網站被拖庫、撞庫的新聞時常見諸各類媒體。在網站數據竊取方面，劉洋表示，統計顯示，僅補天平臺在2015年收錄了可造成個人資訊洩露的漏洞就多達1410個，涉及網站1282個，可導致洩露的個人資訊量高達55.3億條，這一數字較2014年的23.6億條翻了一倍多。如果按照中國網民總數為6.5億計算，這一數字也就意味著，僅僅在2015年這一年，平均每個中國網民至少可能洩露了8條以上的個人資訊。

　　除此之外，還有新型“駭客”技術竊取，劉洋介紹，目前一些新型的駭客攻擊技術也在被越來越多地用於竊取消費者個人資訊。比如偽基站可以偽裝成任意號碼向用戶發送詐騙短信，並誘騙手機用戶登錄釣魚網站；釣魚WiFi則可以直接監聽接入該WiFi網路用戶的所有上網行為。

　　【追問】

　　誰來為被盜刷“埋單”？

　　支付寶“先行賠付”許先生一萬多元損失，百度錢包承諾賠付，北京移動稱業務流程辦理正常，涉事銀行稱客戶“泄密”導致資金受損。

　　“事情發生後，都不知道該找誰負責。”許先生説，他先後找了移動、銀行、支付寶和百度錢包，支付寶和百度錢包答應賠償部分損失。移動和各家銀行都沒有賠償的説法。

　　北京移動10086熱線4月12日在微網志上公佈了調查結果稱，4月8日17時54分，有人用許先生的手機號碼和他自設的密碼登錄了北京移動官方網站，經網站彈屏二次確認後，辦理“中廣財經半年包”業務，IP地址顯示登錄地點在海南海口；18時13分，有人用同樣的方式登錄該網站辦理了更換4G USIM卡業務，系統向客戶本機下發換卡二次確認驗證碼，也就是6位USIM驗證碼，該密碼被輸入後，換卡成功。北京移動稱，以上業務流程辦理正常。

　　另外，4月18日後，中移動的USIM卡換卡業務已進行了安全機制上的更新，用戶如果沒有申請備卡就不能辦理該業務。

　　支付寶相關負責人向新京報記者表示，已經在4月11日中午賠付當事人一萬多元損失。“按理來説只能賠償在支付寶平臺上損失的資金，這個用戶的很多資金是通過銀行卡轉調的。”據該負責人介紹，因為案例比較特殊，當事人也比較緊張，所以就走了特殊的先行賠付流程。

　　在當事人的描述中，其手機號碼出現問題後，支付寶就發生了非本人的轉賬操作。而據上述負責人介紹，支付寶要是忘記密碼後進行密碼更改，至少需要兩重驗證，包括“手機+身份證”及“身份證+安全問題”。但她同時表示，該案例的特殊性在於，當事人的手機卡被人用幾條短信就複製並掌握，同時當事人本身的身份證號、銀行卡號，甚至交易密碼都可能洩露了。

　　百度錢包的相關負責人也向新京報記者表示，在全程跟進該事件，並已經請用戶提供相關材料，承諾賠付。“之前的問題在於回復了短信導致他的個人資訊被盜，然後有人在我們平臺上進行一系列動作。”該負責人表示，要是身份資訊被別人拿走的話，這些操作都是可做的，不管在哪個支付平臺。

　　新京報記者也就此事採訪了上述三家涉事銀行。對於許先生所稱的期間“網銀根本登不上”，其中一家銀行相關負責人表示：“通過該客戶的描述，推斷客戶可能已洩露包括銀行卡密碼在內的相關資訊。”據銀行方面介紹，客戶轉賬時需驗證銀行卡卡號、取款密碼和短信驗證碼等多個要素均正確後才可轉賬成功。

　　“該客戶的網上銀行轉賬功能在此之前已由本人開通，後因洩露包括銀行卡密碼在內的主要個人資訊導致賬戶資金受損。”銀行稱，已回電客戶，目前資金實時轉出銀行確實無法進一步處理，關於資金問題還需客戶催促警方儘快偵破案件，銀行會全力配合警方處理。

　　分析

　　“經營者若有安全漏洞須承擔一定責任”

　　劉洋表示，就目前掌握的情況初步推斷，之前運營商存在備卡激活太簡單的問題，只要登錄營業廳，就可以如描述中辦理了，目前運營商已經升級了安全的防護，説明對此前這個短板進行了填補。

　　劉洋認為，目前第三方支付和銀行，無論是修改密碼和轉賬，都需要短信驗證碼，此案中嫌疑人已經有了受害者手機號，接收驗證碼等於完全沒有問題，因此容易“作案”。如果更嚴格，比如必須網銀“U盾”登錄、轉賬等，用戶在使用上可能會覺得不方便。建議利用大數據加入一些更加隱秘的驗證方式，比如在新登錄時須有朋友驗證，即使被盜取了驗證碼，還需要選擇認識的朋友才可以使用。

　　中國通信業知名觀察家項立剛表示，事件中有一點是許先生將USIM換卡業務驗證碼當做退訂業務驗證碼，發到騙子用改號軟體修改過的號碼上，用戶在這方面有些疏忽大意。

　　北京匯佳律師事務所邱寶昌認為，最終責任人是盜取資訊和實施詐騙的犯罪嫌疑人。從中國移動、銀行和第三方支付來看，如果這些經營者有安全漏洞或者瑕疵就要承擔一定的責任，要先行賠付客戶，加大安全等級設置。

　　■ 建議

　　對於如何保護好個人資訊，防止賬戶被盜刷，360網際網路安全中心網路安全專家劉洋給出了建議。

　　●如何保護好個人資訊？

　　1、銀行賬戶、支付賬戶、普通網站會員賬號需要區別使用賬號名和密碼，每3個月修改一次密碼，密碼組合儘量採用大寫字母、小寫字母、數字等組合。

　　2、對於需要填寫身份證號、銀行卡號、銀行密碼等資訊時，需要認真檢查網站合法性，如查詢備案資訊，使用360瀏覽器的照妖鏡功能等進行網站鑒定。

　　3、不隨意登錄不明WIFI，打開不明短信中的連結，下載不明軟體，PC和電腦中安裝安全軟體，及時查殺木馬病毒軟體，攔截釣魚連結。

　　4、處理舊手機、電腦等帶有個人資訊的電子産品時，利用專業軟體將個人資訊刪除並保證不可恢復狀態。

　　●如何防止賬戶被盜刷？

　　1、辦理網銀業務時，申請U頓功能，防止被盜後被輕易修改網銀設置。

　　2、設置日常轉賬、購物額度，防止大額金額被直接盜刷。

　　3、手機銀行採用最高的安全設置，如綁定手機設備，轉賬匯款等採用短信驗證碼和取款密碼等組合。

　　4、大額閒置資金存為定期，每3個月修改一次銀行卡取款密碼、網銀登錄密碼。

　　●怎麼提高防騙意識？

　　1、收到熟人發來的轉賬、代付款等資訊後，需要電話當面確認是否屬實。

　　2、收到銀行、運營商等商業機構發來的短信，如有連結不要輕易點擊，不要輕易安裝連結中的軟體。接到電話，可以採用回撥官方客服的方式進行確認，不要輕信電話中所説的內容。

　　3、警惕冒充公檢法等政府機構的短信、電話，如若收到，可以諮詢親友意見、到當地相關機構進行核實。(記者 蘇曼麗 李蕾 陳鵬 魏微)