首頁>社情·民意>你言我語 你言我語

廣告短信好煩 回復(fù)“退訂” 銀行卡存款沒了!

2016年04月15日 11:25 | 來源: 廣州日報
分享到: 

  記者薛松

  本周,一起蹊蹺的網(wǎng)銀被盜案引起業(yè)內(nèi)高度關(guān)注。受害人在地鐵莫名其妙地收到幾條短信,回復(fù)退訂驗證碼之后,自己的手機卡立刻失效。隨后,受害人支付寶、銀行卡被洗劫一空。

  有專家建議,一方面應(yīng)加強用戶重視短信驗證碼保管的教育宣傳,另一方面,運營商中國移動也應(yīng)該加強換卡業(yè)務(wù)的漏洞防范。

  日前,網(wǎng)友許先生爆料稱,他在回家的地鐵上收到了一條號碼源為1065800的短信,短信內(nèi)容為某財經(jīng)雜志的手機報。由于并無閱讀該雜志手機報的需求,許先生隨手回復(fù)了一條含驗證碼的退訂短信,沒想到之后手機就沒信號了,支付寶和銀行卡上的錢也隨之失竊。

  退訂短信后手機被換卡

  據(jù)獵豹移動安全專家分析,在這個案例中,黑客在很短時間內(nèi)完成網(wǎng)銀盜竊,事先應(yīng)該做了精心準(zhǔn)備。首先,黑客通過黑色產(chǎn)業(yè)鏈流傳的各種數(shù)據(jù)庫精心篩選了作案目標(biāo),在正式動手前,詐騙者已經(jīng)掌握受害人的手機號、手機營業(yè)廳服務(wù)密碼、支付寶賬號、銀行卡號、身份證號等信息。

  雖然個人信息泄露并不能直接導(dǎo)致網(wǎng)銀被盜,但網(wǎng)銀、手機銀行、第三方支付、網(wǎng)購平臺,這些業(yè)務(wù)都嚴重依賴手機短信驗證碼來驗證用戶身份。當(dāng)手機卡被其他人補辦,災(zāi)難就來了。

  在這個案例中,黑客通過網(wǎng)上營業(yè)廳,為受害者申請4G自助換卡;接到申請后,系統(tǒng)向受害者下發(fā)換卡二次確認驗證碼。

  這時,受害者手機上就會收到一條包含驗證碼的短信,如果受害者將這6位驗證碼交給別人,結(jié)果就是受害者手機卡立刻失效,而黑客在另一個城市,會拿新的空白手機卡換掉用戶手中正在使用的手機SIM卡。受害人會突然發(fā)現(xiàn)手機沒信號了,SIM卡換到其他手機也一樣沒信號,因為這張卡已經(jīng)作廢,當(dāng)然不會有信號。

  就手機詐騙事件,中國移動表示,來源不明、自己不知情的驗證碼千萬不要提供給別人,尤其是不能發(fā)給陌生號碼。一旦不法分子獲知了驗證碼,后果將不堪設(shè)想。

  換卡業(yè)務(wù)管理亟待加強

  業(yè)內(nèi)人士稱,這也暴露出運營商的管理漏洞。有專家說,盡管中國移動的自助換卡采取一些很嚴格的限制措施,比如一定要實名、只能本人申請以及需要較長時間等等,但是還是被騙子通過運營商的管理漏洞繞過了。

  不少用戶也認為,中國移動發(fā)送的換卡短信內(nèi)容過于簡單,無法理解這條短信意味著什么重要后果。用戶并不清楚,一旦遭遇“補卡”攻擊,手機卡被其他人補辦后,由于所有與支付有關(guān)的業(yè)務(wù),用來驗證身份的短信都在詐騙者手里,用戶的支付寶、銀行卡被盜就成為必然。

  業(yè)內(nèi)人士建議中國移動加以防范異地IP登錄辦理關(guān)鍵業(yè)務(wù),應(yīng)該由客服主動打電話聯(lián)系用戶確認。因為換卡這種業(yè)務(wù),異地登錄的詐騙嫌疑較大。

  鏈接:三招防范“補卡”攻擊

  1. 驗證碼別給任何人,除非是自己在做轉(zhuǎn)賬、消費等操作。

 ?。玻∪绻l(fā)現(xiàn)自己被定制了業(yè)務(wù),打10086客服退訂,不要在手機上操作你不熟悉的業(yè)務(wù)。

  3.當(dāng)你發(fā)現(xiàn)手機突然沒信號,而周圍其他人手機都正常。請注意,你的手機卡可能被別人補辦了。你要做的是,立刻借手機聯(lián)系銀行凍結(jié)銀行卡?;蛘?,通過WiFi上網(wǎng),登錄手機銀行客戶端,凍結(jié)銀行卡。聯(lián)系支付寶、微信,凍結(jié)賬號。

  案例

  用戶“退訂短信”失財

  1.網(wǎng)上營業(yè)廳為受害者訂制增值業(yè)務(wù)

  黑客以各種手段獲得了受害者登錄網(wǎng)上營業(yè)廳的“網(wǎng)站密碼”;通過運營商網(wǎng)上營業(yè)廳,為受害者訂制增值業(yè)務(wù);

 ?。玻暾垞Q卡并騙取受害者驗證碼

  黑客通過網(wǎng)上營業(yè)廳,為受害者申請4G自助換卡;接到申請后,系統(tǒng)向受害者下發(fā)換卡二次確認驗證碼;黑客利用139郵箱的短信功能偽裝,向受害者騙取驗證碼;

 ?。常畵Q卡成功,受害者原手機“癱瘓”

  受害者試圖退訂增值業(yè)務(wù),按黑客指示將驗證碼發(fā)給了黑客;黑客遠程完成換卡;

  4.黑客重置郵箱密碼和支付寶密碼

  黑客利用手機號登陸受害者支付寶,通過找回密碼功能,獲得受害者的郵箱地址。黑客利用手機號,重置了受害者的郵箱密碼;黑客登錄受害者的郵箱,下載數(shù)字證書,并重置了受害者的支付寶密碼;

 ?。担畬⒅Ц秾毢豌y行資金洗劫一空

  黑客將受害者的支付寶資金進行轉(zhuǎn)移,并通過支付寶關(guān)聯(lián),洗劫了受害者的銀行資金。

編輯:玄燕鳳

更多 時事新聞

更多 閱讀推薦

更多 延伸閱讀