文/廣州日報

　　記者薛松

　　本週，一起蹊蹺的網銀被盜案引起業內高度關注。受害人在地鐵莫名其妙地收到幾條短信，回復退訂驗證碼之後，自己的手機卡立刻失效。隨後，受害人支付寶、銀行卡被洗劫一空。

　　有專家建議，一方面應加強用戶重視短信驗證碼保管的教育宣傳，另一方面，運營商中國移動也應該加強換卡業務的漏洞防範。

　　日前，網友許先生爆料稱，他在回家的地鐵上收到了一條號碼源為1065800的短信，短信內容為某財經雜誌的手機報。由於並無閱讀該雜誌手機報的需求，許先生隨手回復了一條含驗證碼的退訂短信，沒想到之後手機就沒信號了，支付寶和銀行卡上的錢也隨之失竊。

　　退訂短信後手機被換卡

　　據獵豹移動安全專家分析，在這個案例中，駭客在很短時間內完成網銀盜竊，事先應該做了精心準備。首先，駭客通過黑色産業鏈流傳的各種數據庫精心篩選了作案目標，在正式動手前，詐騙者已經掌握受害人的手機號、手機營業廳服務密碼、支付寶賬號、銀行卡號、身份證號等資訊。

　　雖然個人資訊洩露並不能直接導致網銀被盜，但網銀、手機銀行、第三方支付、網購平臺，這些業務都嚴重依賴手機短信驗證碼來驗證用戶身份。當手機卡被其他人補辦，災難就來了。

　　在這個案例中，駭客通過網上營業廳，為受害者申請4G自助換卡；接到申請後，系統向受害者下發換卡二次確認驗證碼。

　　這時，受害者手機上就會收到一條包含驗證碼的短信，如果受害者將這6位驗證碼交給別人，結果就是受害者手機卡立刻失效，而駭客在另一個城市，會拿新的空白手機卡換掉用戶手中正在使用的手機SIM卡。受害人會突然發現手機沒信號了，SIM卡換到其他手機也一樣沒信號，因為這張卡已經作廢，當然不會有信號。

　　就手機詐騙事件，中國移動表示，來源不明、自己不知情的驗證碼千萬不要提供給別人，尤其是不能發給陌生號碼。一旦不法分子獲知了驗證碼，後果將不堪設想。

　　換卡業務管理亟待加強

　　業內人士稱，這也暴露出運營商的管理漏洞。有專家説，儘管中國移動的自助換卡採取一些很嚴格的限制措施，比如一定要實名、只能本人申請以及需要較長時間等等，但是還是被騙子通過運營商的管理漏洞繞過了。

　　不少用戶也認為，中國移動發送的換卡短信內容過於簡單，無法理解這條短信意味著什麼重要後果。用戶並不清楚，一旦遭遇“補卡”攻擊，手機卡被其他人補辦後，由於所有與支付有關的業務，用來驗證身份的短信都在詐騙者手裏，用戶的支付寶、銀行卡被盜就成為必然。

　　業內人士建議中國移動加以防範異地IP登錄辦理關鍵業務，應該由客服主動打電話聯繫用戶確認。因為換卡這種業務，異地登錄的詐騙嫌疑較大。

　　連結：三招防範“補卡”攻擊

　　1. 驗證碼別給任何人，除非是自己在做轉賬、消費等操作。

　　2. 如果發現自己被定制了業務，打10086客服退訂，不要在手機上操作你不熟悉的業務。

　　3.當你發現手機突然沒信號，而周圍其他人手機都正常。請注意，你的手機卡可能被別人補辦了。你要做的是，立刻借手機聯繫銀行凍結銀行卡。或者，通過WiFi上網，登錄手機銀行客戶端，凍結銀行卡。聯繫支付寶、微信，凍結賬號。

　　案例

　　用戶“退訂短信”失財

　　1.網上營業廳為受害者訂制增值業務

　　駭客以各種手段獲得了受害者登錄網上營業廳的“網站密碼”；通過運營商網上營業廳，為受害者訂制增值業務；

　　2.申請換卡並騙取受害者驗證碼

　　駭客通過網上營業廳，為受害者申請4G自助換卡；接到申請後，系統向受害者下發換卡二次確認驗證碼；駭客利用139郵箱的短信功能偽裝，向受害者騙取驗證碼；

　　3.換卡成功，受害者原手機“癱瘓”

　　受害者試圖退訂增值業務，按駭客指示將驗證碼發給了駭客；駭客遠端完成換卡；

　　4.駭客重置郵箱密碼和支付寶密碼

　　駭客利用手機號登陸受害者支付寶，通過找回密碼功能，獲得受害者的郵箱地址。駭客利用手機號，重置了受害者的郵箱密碼；駭客登錄受害者的郵箱，下載數字證書，並重置了受害者的支付寶密碼；

　　5.將支付寶和銀行資金洗劫一空

　　駭客將受害者的支付寶資金進行轉移，並通過支付寶關聯，洗劫了受害者的銀行資金。