近日，獵網平臺及360網際網路安全中心接到大量用戶因網銀賬戶貴金屬交易被惡意操縱而引起的網路詐騙案件舉報。目前已知的全國各地受害者至少有上千人，損失從幾千元到幾萬元不等。

　　詐騙過程解析

　　根據多位受害者的描述，我們大致可以把手機用戶的被騙過程分解為如下幾個步驟：

　　1）手機用戶首先收到銀行短信通知，顯示其賬戶有資金支出，一般為幾千元，支出原因為用戶不熟悉的某項網銀金融業務，如“積金積存”“如意積存”等。而這些業務實際上是網銀開設的貴金屬交易業務。

　　2）用戶接到自稱是電商、銀行及其他各種公司客服人員的電話，稱受害者使用銀行卡進行了消費，因金額較大，需要電話確認是否為本人操作，若非本人操作，則可以將錢款退還給用戶。

　　3）用戶表示消費並非本人操作後，賬戶真的會收到一定金額的退款。

　　4）隨後，“客服”會告知用戶，其網銀賬戶可能已經被盜刷，為保證全部資金能夠退還到受害者網銀中，需要用戶提供驗證碼，並要求用戶不要挂斷電話。

　　5）這時，用戶手機會收到一個驗證碼短信，這個短信實際上是一個轉賬支付驗證碼通知短信或開通各種快捷支付的驗證碼短信。

　　6）用戶將驗證碼通過電話告訴“客服”後不久，就收到了銀行卡被扣款的短信，併發現自己網銀被盜刷。

　　以下是部分用戶提供給我們的相關網銀支出與收入的短信記錄截屏。

　　詐騙手段分析

　　從犯罪手法上看“騙子實際上是首先通過其他渠道或方式盜取了用戶的網銀賬號、密碼和手機號碼，之後登陸用戶網銀，開通相關貴金屬（黃金、白銀、鉑金等）交易業務，並實施線上買賣操作。由於線上買賣的貴金屬仍然屬於網銀用戶自己名下的金融資産，並不會轉移給其他賬戶，所以銀行方面一般不要求用戶使用優盾或其他驗證方式進行驗證，但會以短信方式通知用戶賬戶的資金變動情況。這就是用戶會收到銀行卡支出短信的原因所在。

　　而騙子之所以能夠取信于受害者的關鍵在於，當受害者要求退還資金時，用戶真的會收到資金收入的短信。這是因為騙子同時在用戶網銀賬戶上進行操作，賣出了剛剛賣入的貴金屬産品，從而導致有資金進入網銀賬戶。但實際上，這些錢都只是在用戶個人賬戶內部轉移，用戶損失的是買入賣出之間的差價（手續費），錢並沒有真正被騙子取走。

　　而詐騙的最後一步，就是從受害者那裏騙取驗證碼。騙子首先在用戶網銀上執行轉賬操作，或者是開通各種快捷支付操作（開通快捷支付後，小額轉賬將不再需要驗證碼或U盾）。這樣，用戶手機就會收到驗證碼短信。之後騙子再以全部返還資金需要驗證碼為由，向用戶詢問驗證碼。儘管銀行的短信中非常明確地寫明瞭驗證碼的用途，但由於用戶焦急的心理以及騙子的恐嚇——如“2分鐘內不輸入就失效了”等，使得絕大多數用戶往往不會認真看驗證碼短信的全部內容，而是直接將驗證碼告訴了騙子。

　　到此為止，騙子就已經完全獲取了用戶的銀行卡號、密碼和驗證碼，從而能夠成功轉走用戶賬戶中資金；或者是開通快捷支付並綁定騙子手機，再用快捷支付轉走用戶賬戶中的資金。

　　銀行安全建議

　　很多人質疑：銀行在用戶進行貴金屬交易業務時，為什麼不進行二次驗證？是不是銀行的業務流程存在漏洞？

　　但實際上，這種觀點並不太正確。因為在銀行的業務邏輯中，貴金屬交易是銀行與用戶之間的交易，銀行與用戶互為買賣對象，所以無論用戶進行怎樣買賣操作，資金或貴金屬貨物都不會流轉到第三方手中。也就是説，銀行方面並沒有對第三方的資金流出，所以不使用U盾或驗證碼進行驗證是合理的。如果用戶不將驗證碼泄漏給騙子的話，最多也就是損失一些買入、賣出過程中的差價費。

　　此類詐騙發生的根本原因，實際上還是用戶的網銀賬號和密碼已經泄漏。如果騙子不能登陸用戶的網銀賬號，這種詐騙方法就不能成立。而造成用戶網銀賬號密碼泄漏的原因有很多種，其中最主要的原因往往是用戶設置的密碼過於簡單，或者是在不同的網站使用了相同的賬號和密碼，從而導致賬號密碼被竊取。

　　所以，在此類詐騙案中，銀行方面的主要責任，或者説可以改進的問題主要有兩個方面：

　　1）對用戶密碼進行安全性檢驗，如果用戶設置的密碼過於簡單，應當強制要求用戶設置足夠複雜的密碼；

　　2）當用戶賬戶出現異地登陸，或者是使用了新的上網設備（如新的手機、新的電腦）進行登陸時，應當進行必要的預警或安全驗證——如向用戶手機發送異地通知或驗證碼，並提示用戶賬號可能被盜，應及時修改網銀密碼。

　　目前，如微網志、微信、支付寶等網際網路産品都早已經在使用類似的登陸安全性鑒定技術，但很多銀行系統的登陸機制還不夠健全。

　　用戶防騙建議

　　用戶遭遇類似情況，應立即採取以下措施保護自己的賬戶和資金安全。

　　1）立即修改自己的網銀密碼，或者是凍結或挂失銀行卡，以免自己的網銀賬戶發生更多損失。

　　2）撥打銀行或者是電商網站的官方客服電話進行諮詢，以確認事情的真偽，切切不可相信陌生的電話號碼，尤其是陌生的手機號碼。

　　3）任何時候都不要將賬號、密碼或驗證碼等敏感資訊告訴陌生人。

　　另外，用戶也應當在日常生活中，建立良好的上網習慣，特別是不要使用過於簡單的密碼——這往往是造成此類詐騙的根本原因。具體建議如下：

　　1）網銀、支付、社交、郵箱等常用賬號，一定要單獨設置密碼，並且保證密碼足夠複雜，建議為數字+字母+特殊符號組合的15位以上密碼。

　　2）定期修改自己的網銀賬號和密碼，建議每3個月或半年主動更換一次。

　　3）千萬不要一套賬號密碼走天下，不要無論什麼網站都使用相同的賬號和密碼。