金融界首页 > 理财频道 > 理财案例 > 正文

短信诈骗大起底:三个疑点两个漏洞都是血的教训

手机看热销基金排行0评论
2016-04-14 07:58:00 来源:融360
立即注册,抢购高收益理财产品:盈利宝详情咨询:400-166-1188

  近日,一名北京网友爆料,他在收到一条“订阅增值业务”的短信,根据提示回复了“取消+验证码”之后,半天之内支付宝、银行卡上的资金被席卷一空。

  人生最痛苦的事就是,银行卡在手里钱没了,更痛苦的是,你还不知道是谁花的。

  案件回顾

  4月8日,在下班回家的地铁上,该网友的手机忽然收到一条短信:显示来源为‘1065800’的号码发来了一条短信杂志,该网友很快回复退订,收到提醒:“指令不正确”。

  随后,显示“10658139013816280086”的号码给 merci发来短信,通知他已经订阅该资讯服务,如果退订,需发送‘取消+校验码’至本条短信。”

  同时,显示为 “10086”的号码再次发来短信:“尊敬的客户,您的USIM卡6位验证码为******”。该网友并不知道USIM卡验证码是什么,只想快点退订此项业务,于是回复“取消+*******”。

  此后,该网友发现自己手机的SIM卡已无服务。于此同时,他发现自己的支付宝、支付宝所绑定的

  意识可能遭遇诈骗,该网友赶紧给银行打电话挂失,可是所有挂失完成,已经过去了大半个小时。当该网友第二天到各个营业厅打印交易流水时发现,两张卡都已空空如也。

  为什么自己的身份证号、银行卡号、银行卡密码都没告诉别人,只是单纯的回复了一条短信,银行卡里的钱就被盗了?骗子是怎么做到的呢?

  对此,有关安全专家表示,这是一起典型的综合利用“个人信息+ USIM补换卡+改号软件发送诈骗短信”的电信诈骗案件。

  融360小编简单概述一下犯罪分子的作案过程:

  首先,我们要知道手机短信验证码之所以叫验证码,是因为它的功能是验证身份,比如,当你通过网银转账时,银行无法判断是不是你本人操作,为了防止盗刷的可能,这时候就会给你的手机发一条验证码进行身份核实。

  在这种情况下,即使别人掌握了你的银行卡号和银行卡密码,但是没有手机短信验证码,他也束手无策。这也是为什么,融360小编一直强调,验证码是一个神奇的东西,不要随便告诉别人。

  这个骗局的关键就在于这个“USIM卡验证码”,话说,中国的运营商们搞出了一个“远程补卡”这么个功能,什么意思呢,就是如果你手机卡丢了或者坏了,可以直接在网上营业厅办理补卡,不用跑到营业厅了。运营商收到申请后,会寄一个空白USIM卡给用户,用户拿到后,通过换卡操作步骤说明,可以远程激活新卡生效。

  而骗子正是通过登录机主的网上营业厅,先提交订阅申请,之后发来钓鱼短信,诱使机主回复“取消+验证码”(注意这个验证码就是移动验证用户身份的验证码),受害人出于着急退订的心理,于是就把验证码发了过去。

  骗子利用这个验证码,直接在异地复制一张USIM卡,而受害人手里真正的USIM卡就失效了。这时候,机主的手机号码就会被诈骗分子完全控制。这样一来,骗子可以轻易获取任何转账支付需要的验证码,通过支付宝转账、盗取银行卡资金、开通百度钱包等这些行为很容易实现。

  回顾本案,我们发现有3个疑点:

  1. 仅凭一个验证码就能完成盗刷吗?

  当然,只凭一个验证码是不可能把钱都转走的,无论是重置密码还是转账,骗子都要掌握受害人的银行卡号、身份证号、姓名、手机号等个人信息,这就说明,该网友的这些个人信息犯罪分子之前就已经获悉,万事俱备,只差一个可以接收验证码的手机卡。

  2.骗子是如何获取受害人的个人信息的?

  其实,对于生活在当下的我们来说,个人信息泄露早已见怪不怪了。前几天就有个新闻说,只要5分钟,就能在网上买到1000多条银行卡信息,包括银行卡号、卡主姓名、身份证号码、预留手机号码、银行密码。

  该骗局中,有可能是持卡人不小心泄露了自己的个人信息,也有可能是犯罪分子通过非法途径获取,但这些都无从判断。

  3. 骗子怎么登陆上受害人的网上营业厅?

  对此,腾讯安全专家陆兆华分析认为,用户常用的密码很可能多个平台重复使用,某一个网络平台的资料和密码丢失之后,诈骗分子很可能会采取撞库的形式通杀其他平台的帐号密码,除此之外,一些黑产非法交易、第三方网络平台存在漏洞都有可能泄露,即个人信息的泄漏是有很多种可能性的,不一定就是移动官网自身泄露的。

  除此之外,我们会发现,整个案件中存在两个漏洞。

  1. 移动的换卡流程过于简单,仅凭一个验证码就能复制号码

  本案件的关键就在于移动的“远程补卡”功能,虽说这一功能可以帮助用户直接在网上进行补卡,解决了用户跑营业厅的麻烦,但是仅靠一条短信验证码就能完成,非本人当场也无身份证就能办理,身份审核实在过于简单。

  另外,在发送USIM验证码时,移动应该在短信中说明验证码的用途,至少要说明这是换卡的验证码,并应该提醒下泄漏的危害。总之,运营商有必要反思一下这个业务的漏洞,加强对用户的提醒,提高验证门槛。

  2.受害人将验证码告诉别人

  这起案件中,受害人也有一定的责任,其最大的问题在于将验证码发了出去。犯罪分子正是得到了验证码,然后通过网络复制了受害人的手机卡,进而盗取资金。

  我们从中的到哪些教训:

  虽然,对于诈骗过程的条分缕析并不能帮助该网友挽回一分钱的损失,但却能让其他人面对同样的骗局时逃过一劫。从这起案件中,我们应该吸取一些教训。

  1.验证码打死也不能告诉别人

  现如今,你的钱不一定是你的,你的隐私是世界的。在个人信息泄露无处不在的今天,我们更要时刻提高警惕,保护个人信息。从以往此类的诈骗案例中,我们可以看到,骗子之所以能够得逞,往往都是通过引诱受害人骗取验证码来完成。所以,任何时候验证码都不能告诉别人,连重置支付宝密码时,在验证码的短信中,支付宝都会提示:打死都不能告诉别人,可见验证码的重要性。

  2.陌生短信不要回复,更不要随意点击来历不明的链接

  生活中,我们经常会收到一些莫名奇妙的短信,这其中很有可能就有骗子通过伪基站发来的诈骗短信,当我们收到这些短信的时候,千万不要贸然回复,如果短信中附带链接,更不能随意点击,因为只要一点击,你的手机就会中木马病毒,犯罪分子就会盗取你的个人信息,支付密码等,从而进一步盗取资金。

  融360小编对待陌生短信的处理方式,都是一概不回复并立即删,我觉得大家可以借鉴。

  另外,现在的骗子技术也越来高超,有的诈骗短信甚至和银行发来的短信十分相像,非常带有迷惑性,真假难辨,一不小心就容易中了骗子的圈套。收到不确定的信息时,正确的做法是,第一时间给银行的正规热线打电话咨询。

  另外,记住,没有一家银行发来的短信会让用户输入银行卡号和银行卡密码!收到让你输入这些信息的短信,那百分之百是骗子!千万别信!

  免责声明:本文仅代表作者个人观点,与金融界网站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

责任编辑:由佳 RF13266
点此10秒开户 基金超市 股票型|债券型|混合型|指数型|货币型

注:过往业绩不预示未来表现 金融界基金超市共2824只基金,全场购买手续费1折起!

更多> 股票型收益榜 近1年涨幅
更多> 混合型收益榜 近1年涨幅
我要评论
金融界旗下基金交易平台
证监会授牌独立基金销售机构
资金同卡进出,银行加密保证
每日爆款 新手专享
新手专享12%约定借款利率
30
投资期限
300,000元
融资额度
精选产品
0费用存取,1元起投
7×24小时随时取现,秒到账
历史年化收益9%-17.75%
500元起投,申购费1
6.3%
年化收益
投资期限 60
可投金额 990,000
7.0%
年化收益
投资期限 90
可投金额 925,000
7.8%
年化收益
投资期限 180
可投金额 624,900
基金收益排行
  • 盈钱包
  • 这个钱包能赚钱
  • 7日年化收益3.21%
  •