女子回條“退訂”短信 所有資金全被卷走
- 發佈時間:2016-04-13 08:42:48 來源:新華網 責任編輯:羅伯特
近日,一名北京網友發佈的“為什麼一條短信就能騙走我所有的財産?”的文章在網路廣為傳播。據該網友爆料,他在收到一條“訂閱增值業務”的短信,根據提示回復了“取消+驗證碼”之後,半天之內支付寶、銀行卡上的資金被席捲一空。到底是什麼樣的電信詐騙手段完成了這一卑劣的盜竊行為呢?
“在知道自己損失了幾乎所有現金之後,我的內心是無比崩潰的。”日前,一名北京網友貼出一則“為什麼一條短信就能騙走我所有的財産?”的文章文中以第一人稱描述稱,從一條短信開始自己“一夜之間,支付寶、所有的銀行卡資訊都被攻破、所有銀行卡的資金全部被轉移。”對此,有關安全專家表示,這是一起典型的綜合利用“個人資訊+ USIM補換卡+改號軟體發送詐騙短信”的電信詐騙案件。
回復短信“TD”退訂引發“噩夢”
“4月8日,週五,下班回家地鐵上。我的手機忽然收到一條短信:顯示來源為‘1065800’的號碼發來了一條短信雜誌,這種垃圾雜誌看多了,我第一反應是回復‘TD’。該短信回復我‘發的指令不正確’。”
文中資訊顯示,隨後該用戶相繼收到顯示為“10086”,以及“10658139013816280086”發來的資訊,提示已開通“中廣財經半年包業務”,“如需退訂請編輯短信‘取消+校驗碼’至本條短信退訂”。而在另一條顯示來源為“10086”的資訊中,該用戶收到“尊敬的客戶,您的USIM卡6位驗證碼為******”。此時,我只想快點退訂這個破業務,壓根兒不知道USIM卡驗證碼是什麼,於是回復了“取消+******”。
此後,該網友的支付寶、支付寶所綁定的招商銀行賬戶,以及工商銀行賬戶陸續發生轉賬。甚至,在該用戶緊急將支付寶的銀行卡解綁之後,“我馬上檢查我的網銀。然後我悲傷地發現,我的中國銀行、招商銀行網銀根本登不上,密碼已經被篡改了。而我能登上的工商銀行卡網銀,一查交易明細,網銀此時竟也在發生轉賬。”
“時間太短。”該網友寫道,銀行要打進客服電話,“所有卡都挂失完成,已耗去大半小時,一切為時晚矣。我知道,此時,我支付寶和銀行卡裏所有的錢都沒了……”
該網友第二天到各個營業廳列印交易流水確認“兩張卡都已空空如也。”更確認“對方”“不但攻破了我支付寶的賬號,連各個銀行的網銀也逐個攻破”,包括163郵箱密碼也被篡改。其間還包括,“對方”在該用戶完全不知情的情況下,將“我的三張銀行卡都綁定關聯了百度錢包”,用於轉賬。
該網友文中稱,“被問及需要哪些資訊才能把我的卡關聯百度錢包時,客服説‘銀行卡資訊、姓名、身份證號、手機號、驗證碼’。而我如今仍不明白,他是如何搞定我這些資訊的。至今仍不明白。”該網友表示,當晚已向警方報案。
移動已確認辦理“短信業務”IP在海口
昨日下午,北京移動在核查之後就上述事件給予回復説明,並通過官微進行了公佈。北京移動表示,經公司內部查證,獲知相關情況如下:2016年4月8日17時54分,手機號碼152****1249通過靜態密碼(客戶自設密碼)方式,登錄北京移動官方網站,經網站彈屏二次確認後,辦理“中廣財經半年包”業務,IP地址顯示登錄地點為海南海口;18時13分,手機號碼152****1249以同樣方式登錄網站辦理更換4G USIM卡業務。系統向客戶本機下發換卡二次確認驗證碼(6位USIM驗證碼),該驗證碼被輸入後,換卡成功。前後過程僅用了19分鐘。
北京移動指出,以上業務辦理流程正常。公司將積極配合有關部門,提供相關證據,進行後續查證。同時提醒客戶:為保護您的財産安全,請妥善保管並定期修改網站登錄密碼和客服密碼;請勿將系統下發的業務辦理驗證密碼轉發和洩露給他人;如收到不知情業務開通短信,請發送短信“0000”到10086查詢及退訂所訂購的業務,有疑問可進一步致電10086諮詢。
事件發生後,支付寶的相關人士表示在跟進中。根據事主寫到的,支付寶目前已經賠付一筆在支付寶上非用戶本人操作的充值行為以及非本人操作轉賬行為帶來的手續費。另外,支付寶已經承諾在事主提交相關材料,並且在保險公司審核後,有可能會全款賠付。此外,百度錢包也表示在跟進中。
破解
機主實際上配合別人完成遠端“補卡操作”
專業人士分析認為,上述案例資訊中提及的“USIM卡驗證碼”是整個事件的關鍵之一。
“為什麼犯罪分子要如此大費周章?就是首先要設置圈套,騙取用戶的驗證碼。”分析認為,案例情況很有可能是犯罪分子通過登錄機主的網上營業廳,先提交訂閱申請,之後利用機主著急退訂的心理,緊接著發來釣魚短信,誘使機主回復“取消+驗證碼”,套取了系統下發給用戶的真實的驗證碼。之後又申請了換卡,進而確認驗證碼換卡成功,而後再發生更為嚴重的網銀資産的盜取。
獵豹移動安全專家李鐵軍告訴北青報記者,根據該網友披露的資訊,用戶的手機卡被別人補辦,機主遭遇了電信詐騙中的“補卡攻擊”。李鐵軍指出,儘管這一案例仍存在一些疑問,在目前披露的資訊中還沒有了解很清楚。但初步來看,銀行賬戶被盜根本原因,在於機主不恰當地處理了一些短信資訊。從客觀效果來看,相當於機主配合“別人”完成了手機的補卡操作。機主的手機卡實際已經在別人的手上,在這樣的情況下,就很有可能引發一系列的網銀被盜問題。
李鐵軍介紹説,案例中涉及的遠端補辦業務來源於國內運營商的一項4G服務。2G或者3G、4G用戶升級、換發4G卡,可以不必到營業廳辦理,通過網上營業廳提交申請,運營商收到申請後,寄發空白USIM卡給用戶,用戶拿到後,通過換卡操作步驟説明,可以遠端激活新卡生效。在這一案例來看,李鐵軍表示,不法分子很有可能利用非正規途徑獲得的空白USIM,在案件中通過改號軟體,偽造了一條短信發到受害人手機上,進而騙取獲得了用戶的真實驗證碼,之後換卡“成功”。“當然案例中還有一些情況目前交代不是很清楚,需要公安機關的進一步調查。”李鐵軍表示。
疑點
詐騙實施前網友個人資訊可能已洩露
此外,攻擊者為什麼能在很短的時間內完成盜竊,用戶對於網際網路的各種服務有足夠了解度和經驗的前提下,他的防護速度仍然跟不上攻擊者的進程,李鐵軍認為這説明攻擊者提前已經有足夠的準備,提前掌握了一定的用戶資訊。
“小偷要重置號碼,一般需要身份證號、郵箱資訊、銀行賬號等等。這些資訊是之前已被攻擊者掌握還是在事件中陸續破解,仍需公安機關的調查”,但從網友描述攻擊者很快完成了密碼的重置以及登錄等資訊來看,李鐵軍分析,很有可能之前已有資訊洩露的發生。
據360安全專家分析,按照受害人目前的描述,判斷這是一起典型的綜合利用“個人資訊+ USIM補換卡+改號軟體發送詐騙短信”的電信詐騙案件。根據百度錢包的關聯來看,很有可能在詐騙實施之前,騙子已經獲取了受害人的銀行卡號、身份證號、姓名、手機號等個人資訊。在這種情況下,騙子只需要得到受害人的短信驗證碼,即可進行包括網銀、支付寶、百度錢包的所有轉賬操作。於是,騙子選擇利用移動的USIM補換卡業務,直接竊取用戶的手機卡,並由此可以掌握該網友的全部手機短信,包括轉賬必需的“驗證碼短信”內容。由於該案例不同於一般的網路詐騙犯罪分子的行動動機,並且根據事主現在的描述,該事件仍有一些疑點。因此,其他用戶也無需過度恐慌,可以説,該案可能是一個“極端案例”。
任何時候都不要把驗證碼給別人
李鐵軍指出,伴隨不良分子詐騙方式與技術手段的花樣翻新,電信詐騙有可能威脅到每一個人。“經常在網上泡的人,其實都存在個人資訊的不同程度洩露。”李鐵軍認為。資訊洩露已經防不勝防,對於普通人,需要注意的包括,任何時候不要把自己的驗證碼給其他人,其中尤其是收到與銀行、支付系統以及個人賬戶有關的短信,一定要確認自己把全部短信內容完整看完,切忌匆忙處理,更要避免貿然把驗證碼誤發給別人。
此外李鐵軍建議,作為防範,每個人都應提前做好一些應急預案。比如一旦發生手機突然失效,沒有信號是被攻擊的典型現象,必要時第一要凍結銀行卡,凍結第三方支付賬號,這些只要借一部手機就可以完成。一旦發生諸如此類的意外情況,要有足夠的風險意識,不能放任自己成為資訊孤島,也不能等待或者猶豫,要立即採取措施防範。
誰該為電信詐騙事件負責?
在上述案例中,網友在文中最後也發出質疑,運營商與銀行等各種環節,究竟誰願意為這一事件負責?對此,中國網際網路協會信用評價中心法律顧問趙佔領律師表示,類似電信詐騙由於具體方式非常多,所以需要結合具體案例的過程來看。其中厘清詐騙犯如何獲得資訊是關鍵步驟之一。進而要結合具體案例分析,界定其中是否涉及有過錯責任方。
“追究責任的前提是,對方有過錯。”就網友文中透露的案例,趙佔領認為,如果是用戶手機卡被複製後,網銀密碼是通過驗證碼重置被攻破盜取,則支付環節的責任初步看較為難以界定。而涉及運營商的環節,趙佔領認為,關鍵要看SIM卡的補辦環節是否有問題。如果犯罪分子去營業廳補辦,需要用身份證,運營商在辦理SIM卡中有審核身份的責任。而如果確認補卡申請與用戶網上營業廳密碼洩露有關,則目前也很難界定運營商的責任。
“最終需要公安機關通過刑事立案,抓獲嫌疑人,才能具體厘清犯罪的過程和手段,目前來看,受害人還很難判斷和證明包括運營商和銀行等支付方該負什麼樣責任。”趙佔領指出。
安卓系統比蘋果系統容易受侵害?
由於電信詐騙案的頻發,讓用戶對智慧手機的安全性更加關注。雖然不能絕對地説蘋果系統比安卓系統更加安全,但是從目前發生的許多案例來看,安卓系統用戶受到侵害的頻率相較于蘋果系統用戶更多。
據360安全專家介紹,這首先是基於安卓用戶數量遠超于蘋果用戶數量。因此如果開發一款木馬或其他病毒程式,犯罪分子也會選擇針對安卓系統來開發相應軟體。
其次,安卓系統是開源系統,也就是説,任何人都可以得到軟體的源代碼,加以修改,進行二次開發利用。相反地,蘋果是一個封閉的系統,只有開發者才可以修改系統代碼。因此,從駭客入侵的難易程度來看,蘋果更加安全。
另外,一些利用偽基站實施詐騙的案例,由於蘋果手機用戶下載程式必須去蘋果商店,在網際網路網站無法下載,因此騙子的木馬程式僅對安卓系統用戶有效,所以安卓系統受到侵害的幾率更大一些。
支付寶、微信、百度錢包哪個更安全?
由於該事件中出現了“一個手機驗證碼”便可盜取賬戶及進行轉賬操作,北青報記者昨日進行驗證,發現各個支付App的驗證方式和要求各不相同。
首先,北青報記者嘗試在另外一台非常用設備上登錄支付寶。先利用“賬號+密碼”的方式登錄支付寶,在輸入賬號密碼後,常用手機會收到提示“你的賬戶某某于幾點登錄,如非本人操作,請修改密碼,建議密碼與你的其他網站密碼不同。”隨後,會用一些既往資訊驗證是否本人操作,比如選擇“哪一個wifi是你用過的”或“哪一個商品是你購買過的”,點擊正確後,才可以進入支付寶。但是如果選擇用“手機號+驗證碼”的方式登錄,則僅需輸入短信驗證碼即可立刻成功登錄。
與支付寶剛好相反,微信對於“手機號+驗證碼”的登錄方式要求較嚴格,而對於“賬號+密碼”的方式則較信任。北青報記者同樣在另一台非常用設備上登錄微信,被要求進行好友驗證。好友驗證是給出15位微信用戶頭像,需要用戶從中選出自己的微信好友,至少2位。但如果利用“賬號+密碼”的方式,則可以立刻登錄成功。不論使用哪種登錄方式,在常用設備上都會收到一條提示“你的微信賬號于幾點在什麼設備上通過微信密碼登錄,如果這不是你的操作,你的微信密碼已經洩露,請儘快登錄微信修改微信密碼。或訪問weixin110.qq.com凍結微信。”相比支付寶,微信增加了凍結微信的選項,比密碼洩露後還需要通過修改密碼的保護賬戶的選項更加實用。
最後,北青報記者用百度錢包在非常用設備登錄時,也可以利用“手機號+驗證碼”的方式登錄,且無需其他驗證。此外,用戶還可以選擇用綁定的手機號編輯新密碼直接向一個固定號碼發送短信,便可以更改賬戶密碼。