在回復了一條短信后,一夜之間,許先生的積蓄幾乎全部被人轉走。銀行卡、支付寶和百度錢包的錢在幾個小時內被騙子輕易轉出去,自己眼睜睜看著,卻無能為力。
網絡安全專家分析,根據許先生提供的信息,騙子在實施詐騙前已經獲取了受害人的銀行卡號、身份證號、姓名、手機號等個人信息。只需要獲得驗證碼即可實施盜竊。
據新京報記者采訪獲悉,在買賣身份證、銀行卡、手機號等個人信息的“黑市”中,在QQ上3-5毛錢就可以買到一條。網絡安全專家表示,不法分子獲取個人信息主要的途徑包括無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和新型黑客技術竊取等。
[事件]
將驗證碼回復過去 幾小時內錢被盜
北京的許先生因根據提示回復了一條短信,幾個小時內積蓄幾乎被悉數盜走,涉及三張銀行卡及支付寶、百度錢包。
一周來北京市的許先生過得很糟心,一直在為自己被盜的積蓄奔波。許先生告訴新京報記者,自己一直在創業,好不容易有了點積蓄,卻在幾個小時內幾乎被悉數盜走。涉及三張銀行卡,以及支付寶和百度錢包。事情的起因是自己根據提示回復了一條短信。
4月8日,許先生在下班回家的地鐵上收到一條10086的短信,提示他手機開通了一項名為“中廣財經半年包”的業務;接著又收到一條“10658+手機號”發來的短信,稱回復“取消+校驗碼”可退訂業務;與此同時,許先生收到10086發來的“USIM卡6位驗證碼”。正想退訂業務的許先生就根據提示將驗證碼發送過去。之后“災難”就開始了。
半個小時后,許先生的手機無法上網和通話,此時他還以為是中國移動開通業務后導致手機停機;不過一個小時后,許先生發現事情并非如同他的猜測,自己的支付寶開始向綁定的銀行卡轉賬,而銀行卡的網銀密碼也被修改了,他本人無法登錄。除了用支付寶轉賬外,他的百度錢包也被人綁定關聯了銀行卡,參與了轉賬。最終許先生銀行卡和支付寶里的錢都被轉走了。
在此期間,許先生采取了不少措施,比如嘗試將錢轉到其他的銀行卡上,解除銀行卡與支付寶的綁定等,但都沒能挽回損失。許先生說:“我是同一時間在和TA搶錢,而最后,我啥也沒搶回來。”
[探因]
被盜刷前銀行卡身份證等信息已泄露
網絡安全專家表示,這是一起典型的綜合利用“個人信息+USIM卡+改號軟件發送詐騙短信”的案件。
許先生的錢究竟是如何被盜走的呢?新京報記者就此采訪了360互聯網安全中心網絡安全專家劉洋,劉洋表示,按照許先生的描述,這是一起典型的綜合利用“個人信息+USIM卡+改號軟件發送詐騙短信”的案件。
“根據已有的信息判斷,在實施詐騙之前,騙子掌握了大量受害者的個人信息,包括姓名、手機號、身份證號、網銀賬戶和密碼,銀行預留的驗證手機號。”劉洋說,在這種情況下,騙子只需要得到許先生的短信驗證碼,即可進行轉賬操作。于是,騙子選擇利用移動的USIM補換卡業務,直接竊取用戶手機卡,并由此可以掌握該用戶的全部手機短信,包括轉賬必需的“驗證碼短信”內容。
根據劉洋的解釋,騙子先獲取了許先生移動網上營業廳賬號密碼,給許先生訂購手機報增值業務,以便干擾他的判斷,認為被強制訂購業務;實際上,這時騙子通過網上營業廳辦理USIM換補卡業務,使得許先生收到中國移動發送的短信驗證碼;騙子再利用改號軟件定向給許先生發送短信,提示他退訂增值業務需回復短信“取消+驗證碼”,誘騙許先生把“USIM卡補換卡驗證碼”當成“取消訂購業務驗證碼”發送過去,交給騙子。
辦理USIM卡補換卡業務后,原手機上的卡就不能用了,騙子利用了這個漏洞竊取了許先生的手機號,在具備許先生的個人信息后,騙子可以輕易獲取任何轉賬支付需要的驗證碼,進行支付寶、網銀等轉賬支付。
新京報記者4月18日登錄移動官網查看發現,移動這項業務已進行了安全機制上的更新,用戶如果沒有申請備卡就不能辦理該業務。而且移動會提醒:即將在中國移動北京公司辦理補卡。
據上述涉事銀行內部人士分析,該客戶身份信息、銀行卡號、網銀登錄密碼、手機號均泄露,特別是手機號及手機接收到的信息被犯罪分子控制。客戶在支付機構通過“姓名、銀行卡號、證件類型和證件號、手機號、手機驗證碼”綁定銀行卡,支付過程中,驗證客戶在支付機構設置的密碼。
上述銀行人士表示,在與支付機構合作快捷支付業務中,銀行一般會建立相應的風控機制,例如客戶簽約的手機號碼應在銀行柜面或通過網銀U盾驗證,以防不法分子利用。同時,對支付機構的快捷業務設置了相應限額,分為單筆累計、日累計和月累計,如出現資金盜刷,可降低被盜資金額度風險。后續,該行將與客戶一起盡快解決問題,減少客戶損失。提示廣大客戶,妥善保護好個人信息,防止個人信息泄露。
[調查]
個人信息“黑市”交易3毛一條
目前非法獲取消費者個人信息的形式主要有無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和信息黑客技術竊取等。
個人信息被當成商品在“黑市”交易已不是秘密。
新京報記者通過調查發現,網上有不少出售個人信息的QQ群,在一個名為“出售個人信息數據”的QQ群里,不少人在群里咨詢“求購車主信息”“有沒有身份證銀行卡加密碼信息”……
新京報記者以需要個人信息的名義聯系名為“客服3”的管理員,在提供從城市、具體要求之后,該管理員發來一份“樣例”,并聲稱資料靠譜。
據其描述,不同要求的資料價格也不同。其中只有姓名、身份證號、手機號等信息的話,一手資料2元/條,二手資料0.3元/條。“銀行的貴,帶密不做,風險高。”該管理員稱,一般加上銀行卡號后,一手信息會升到一條5元,二手信息也升到0.5元一條。
此后,記者又試圖添加其他QQ群,大部分都沒有審核通過。其中有一位自稱“網絡大咖”的出售人員表示,“1萬數據2800元,服務器提取一手數據”,并稱統一先收費再操作。當記者詢問能否提供“試用”,遭到對方的拒絕。
“目前非法獲取消費者個人信息的形式主要有無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和信息黑客技術竊取等。”劉洋說。
據劉洋介紹,無良商家倒賣主要是某些掌握大量用戶個人信息的商業機構由于管理不善,內部員工盜賣用戶個人信息的事件時有發生;木馬病毒竊取個人信息主要是針對上網賬號,統計顯示,超過一半的流行木馬病毒與網絡盜號相關。而且盜號木馬主要針對的用戶的游戲賬號、社交賬號、網銀賬號和其他支付賬號;二手手機泄密是指用戶出售自己二手手機時,即便將通訊錄、短信、通話記錄等信息全部刪除,但如果沒有對手機中存儲的信息進行徹底的銷毀,則有可能被不法分子惡意恢復數據并用于不法目的。
2015年,關于網站被拖庫、撞庫的新聞時常見諸各類媒體。在網站數據竊取方面,劉洋表示,統計顯示,僅補天平臺在2015年收錄了可造成個人信息泄露的漏洞就多達1410個,涉及網站1282個,可導致泄露的個人信息量高達55.3億條,這一數字較2014年的23.6億條翻了一倍多。如果按照中國網民總數為6.5億計算,這一數字也就意味著,僅僅在2015年這一年,平均每個中國網民至少可能泄露了8條以上的個人信息。
除此之外,還有新型“黑客”技術竊取,劉洋介紹,目前一些新型的黑客攻擊技術也在被越來越多地用于竊取消費者個人信息。比如偽基站可以偽裝成任意號碼向用戶發送詐騙短信,并誘騙手機用戶登錄釣魚網站;釣魚WiFi則可以直接監聽接入該WiFi網絡用戶的所有上網行為。
[追問]
誰來為被盜刷“埋單”?
支付寶“先行賠付”許先生一萬多元損失,百度錢包承諾賠付,北京移動稱業務流程辦理正常,涉事銀行稱客戶“泄密”導致資金受損。
“事情發生后,都不知道該找誰負責。”許先生說,他先后找了移動、銀行、支付寶和百度錢包,支付寶和百度錢包答應賠償部分損失。移動和各家銀行都沒有賠償的說法。
北京移動10086熱線4月12日在微博上公布了調查結果稱,4月8日17時54分,有人用許先生的手機號碼和他自設的密碼登錄了北京移動官方網站,經網站彈屏二次確認后,辦理“中廣財經半年包”業務,IP地址顯示登錄地點在海南海口;18時13分,有人用同樣的方式登錄該網站辦理了更換4G USIM卡業務,系統向客戶本機下發換卡二次確認驗證碼,也就是6位USIM驗證碼,該密碼被輸入后,換卡成功。北京移動稱,以上業務流程辦理正常。
另外,4月18日后,中移動的USIM卡換卡業務已進行了安全機制上的更新,用戶如果沒有申請備卡就不能辦理該業務。
支付寶相關負責人向新京報記者表示,已經在4月11日中午賠付當事人一萬多元損失。“按理來說只能賠償在支付寶平臺上損失的資金,這個用戶的很多資金是通過銀行卡轉調的。”據該負責人介紹,因為案例比較特殊,當事人也比較緊張,所以就走了特殊的先行賠付流程。
在當事人的描述中,其手機號碼出現問題后,支付寶就發生了非本人的轉賬操作。而據上述負責人介紹,支付寶要是忘記密碼后進行密碼更改,至少需要兩重驗證,包括“手機+身份證”及“身份證+安全問題”。但她同時表示,該案例的特殊性在于,當事人的手機卡被人用幾條短信就復制并掌握,同時當事人本身的身份證號、銀行卡號,甚至交易密碼都可能泄露了。
百度錢包的相關負責人也向新京報記者表示,在全程跟進該事件,并已經請用戶提供相關材料,承諾賠付。“之前的問題在于回復了短信導致他的個人信息被盜,然后有人在我們平臺上進行一系列動作。”該負責人表示,要是身份信息被別人拿走的話,這些操作都是可做的,不管在哪個支付平臺。
新京報記者也就此事采訪了上述三家涉事銀行。對于許先生所稱的期間“網銀根本登不上”,其中一家銀行相關負責人表示:“通過該客戶的描述,推斷客戶可能已泄露包括銀行卡密碼在內的相關信息。”據銀行方面介紹,客戶轉賬時需驗證銀行卡卡號、取款密碼和短信驗證碼等多個要素均正確后才可轉賬成功。
“該客戶的網上銀行轉賬功能在此之前已由本人開通,后因泄露包括銀行卡密碼在內的主要個人信息導致賬戶資金受損。”銀行稱,已回電客戶,目前資金實時轉出銀行確實無法進一步處理,關于資金問題還需客戶催促警方盡快偵破案件,銀行會全力配合警方處理。
分析
“經營者若有安全漏洞須承擔一定責任”
劉洋表示,就目前掌握的情況初步推斷,之前運營商存在備卡激活太簡單的問題,只要登錄營業廳,就可以如描述中辦理了,目前運營商已經升級了安全的防護,說明對此前這個短板進行了填補。
劉洋認為,目前第三方支付和銀行,無論是修改密碼和轉賬,都需要短信驗證碼,此案中嫌疑人已經有了受害者手機號,接收驗證碼等于完全沒有問題,因此容易“作案”。如果更嚴格,比如必須網銀“U盾”登錄、轉賬等,用戶在使用上可能會覺得不方便。建議利用大數據加入一些更加隱秘的驗證方式,比如在新登錄時須有朋友驗證,即使被盜取了驗證碼,還需要選擇認識的朋友才可以使用。
中國通信業知名觀察家項立剛表示,事件中有一點是許先生將USIM換卡業務驗證碼當做退訂業務驗證碼,發到騙子用改號軟件修改過的號碼上,用戶在這方面有些疏忽大意。
北京匯佳律師事務所邱寶昌認為,最終責任人是盜取信息和實施詐騙的犯罪嫌疑人。從中國移動、銀行和第三方支付來看,如果這些經營者有安全漏洞或者瑕疵就要承擔一定的責任,要先行賠付客戶,加大安全等級設置。
■ 建議
對于如何保護好個人信息,防止賬戶被盜刷,360互聯網安全中心網絡安全專家劉洋給出了建議。
●如何保護好個人信息?
1、銀行賬戶、支付賬戶、普通網站會員賬號需要區別使用賬號名和密碼,每3個月修改一次密碼,密碼組合盡量采用大寫字母、小寫字母、數字等組合。
2、對于需要填寫身份證號、銀行卡號、銀行密碼等信息時,需要認真檢查網站合法性,如查詢備案信息,使用360瀏覽器的照妖鏡功能等進行網站鑒定。
3、不隨意登錄不明WIFI,打開不明短信中的鏈接,下載不明軟件,PC和電腦中安裝安全軟件,及時查殺木馬病毒軟件,攔截釣魚鏈接。
4、處理舊手機、電腦等帶有個人信息的電子產品時,利用專業軟件將個人信息刪除并保證不可恢復狀態。
●如何防止賬戶被盜刷?
1、辦理網銀業務時,申請U頓功能,防止被盜后被輕易修改網銀設置。
2、設置日常轉賬、購物額度,防止大額金額被直接盜刷。
3、手機銀行采用最高的安全設置,如綁定手機設備,轉賬匯款等采用短信驗證碼和取款密碼等組合。
4、大額閑置資金存為定期,每3個月修改一次銀行卡取款密碼、網銀登錄密碼。
●怎么提高防騙意識?
1、收到熟人發來的轉賬、代付款等信息后,需要電話當面確認是否屬實。
2、收到銀行、運營商等商業機構發來的短信,如有鏈接不要輕易點擊,不要輕易安裝鏈接中的軟件。接到電話,可以采用回撥官方客服的方式進行確認,不要輕信電話中所說的內容。
3、警惕冒充公檢法等政府機構的短信、電話,如若收到,可以咨詢親友意見、到當地相關機構進行核實。