因为一条短信,一夜之间,我的支付宝、所有的银行卡信息都被攻破、所有银行卡的资金全部被转移。甚至在长达一晚上的时间里,我的手机处于瘫痪状态,打不出电话。
然而得到的结果是,中国移动说他们不负任何责任!各个银行说他们不负任何责任!百度钱包说他们不负任何责任!目前为止只有支付宝在和我跟进此事。
在知道自己损失了几乎所有现金之后,我的内心是无比奔溃的。那是一种一无所有的绝望。更绝望的是,在如今中国这样的社会,你遭遇了损失,只能自认倒霉并且基本不要指望有人可以帮你追回损失。你去警局报一次案,做一次笔录就懂了。
本人受骗经历在事后看来可能略微有点不可思议,你可能甚至会觉得我有点蠢,但这大致就是事情的经过。事情的顺序当然是事后我重新梳理的,在当时当地,我是并不知觉的。以及,到目前为止,我始终没有搞明白,我是如何把自己的信息泄露地如此完整的,现在仍处于恐惧的状态之中。
以下大概就是我的经历:
1、4月8日,周五,下班回家地铁上。我的手机忽然收到一条短信:来源为“1065800”的号码发来了一条 短信杂志,这种垃圾杂志看多了,我第一反应是回复“TD”。该短信回复我“发的指令不正确”。
2、接着,来源为“10086”的号码发来了一条 短信“提醒我开通了中广财经半年包业务”,以及同时发来的还有一条“余额不足”的短信。
我心想,靠,10086怎么莫名其妙给我开了一个什么鬼业务?想打人工客服询问,因正在人山人海的帝都地铁中,心想:回家再说。
3、正在这时候,来源为“10658139013816280086”的号码发来了一条 短信“您成功订阅了中国移动的(中广财经)40元/半年,3分钟退订免费。如需退订请编辑短信“取消+校验码”至本条短信退订。”署名“中国移动”。
这时候我的内心活动是“这SB又给我瞎定什么业务?还需要40元/半年,什么鬼?”以及,犹豫了大概半秒“校验码是什么?”,所以没头没脑地回复了条“取消+校验码”。此时,我甚至都没有注意到这条短信来源号码的可疑,谁会时时迫害妄想症,如此细心?
4、恰在此时,来源为“10086”的号码给我发来一条短信“尊敬的客户,您的USIM卡6位验证码为******”,(大家可以翻回去看上一张图片),此时,我只想快点退订这个破业务,压根不知道USIM卡验证码是什么,于是回复了“取消+*******”。
愚蠢的我,灾难就此开始。下面更精彩……
5、大概过了半小时后,我突然发现手机无服务上不了网。类似的情况曾出现过,我将其简单归结为“居然帮我订阅了个服务,让我欠费停机了”。
6、到家后,晚6,7点,手机经过重启无数次,sim卡换到另外一个手机,仍是无服务。家中只有我自己,手机无服务,打不出中国移动客服,处于信息孤岛。上网查询解决手机无服务方法,一一尝试,无果。
作罢后,便想第二天到营业厅处理。
7、时间大概又过去半小时,我发现手机震动提醒,支付宝提醒刚刚发生了两笔转账交易。一笔为“5元的游戏币充值”,一笔为小额的转账“从我的余额宝转账到我绑定的招商银行”。而这些都不是我操作完成的。
8、纳闷了片刻之后,发现了账单记录中又发生了一笔比之前额度略大的转账,仍然是“从我的余额宝转账到我绑定的招商银行”。
此时我知道事情坏了,略微恐慌。慌乱中,迅速决定将余额宝中剩余的钱先转到另外一张和支付宝绑定的工商银行中。(事后想来十分后悔,应该在此时将钱随便转给一个朋友)。
9、然而,事情并未就此终止,支付宝仍然在发生转账,而此时是“用支付宝,将我工商银行的钱往招商银行转账”。
10、我下意识反应,马上到支付宝个人中心解绑所有关联的银行卡。这时,支付宝账单中已经发生了无数笔转账。而后续发生的三笔交易,因为我解绑了银行卡,无法完成交易。诈骗犯竟在最后一笔给一个号码为“15801375628”的号码充值。(事后,我拨打这个电话已停机,希望让中国移动帮忙查这个号码信息,中国移动说为了保护用户隐私,不能提供。只能提供给警方,这也意味着,可能就没结果……如果有大侠能帮忙hack这个电话号码,本人感激涕零。)
11、这一切都是在电光火石间发生的,我来不及做任何深思熟虑。我甚至是眼睁睁地看着TA把我的钱一笔笔转走,甚至连我转移到工商银行卡的钱亦被转走。这意味着,我是在同一时间和TA抢钱,而最后,我啥也没抢回来。
正如上文所说,事后想来,在有时间深思熟虑的情况下,此时我应该:把钱转给随便一个好友!而最优选择,但是是我当时做不了的选择就是:打支付宝客服冻结账号。我做不了这样的选择,因为此时我的手机是无!服!务!但其实想来等即使等我打完客服,钱应该已经没了。
然而,最荒诞,也最触目惊心的事情发生了……不只我的支付宝账号出现了问题,我所有的网银都出现了问题。
12、支付宝的银行卡已经尽皆被我解绑,此时,我马上检查我的网银。然后我悲伤地发现,我的 中国银行、招商银行 网银根本登不上,密码已经被篡改了。而我能登上的工商银行卡网银,一查交易明细,网银此时竟也在发生转账。我根本打不了银行客服停卡啊。于是我在这一瞬间赶紧发微信让女票帮我挂失这些卡。(补充说明,前面发现支付宝账号问题时,已在微信联系女票打电话帮我锁定支付宝账号)。
13、然而没用,时间太短。中国的银行,要打进客服电话需要和你介绍无数的废话,让你进行无数个步骤,所有卡都挂失完成,已耗去大半小时,一切为时晚矣。
我知道,此时,我支付宝和银行卡里所有的钱都没了……
14、当时就报了警,半小时后,警察来了,做了【不到5分钟】笔录,对,不到5分钟,然后走了……说“明天到警局报案,明天处理!”F**K……白纳那么多税!!
15、准确地说,当天晚上我并不知道招商银行和中国银行卡的钱也都没了,因为我压根登不上网银查看,密码被改。第二天到各个营业厅打印交易流水才知道两张卡都已空空如也。
我整个人是懵逼的,不但攻破了我支付宝的账号,连各个银行的网银也逐个攻破。
16、当晚,我发现163邮箱密码也被篡改,但手机无效,无法找回密码。
第二天(4月9日)手机恢复服务后发现,罪犯在拿到我的SIM卡信息后,第一时间攻破了我的邮箱账号,因为只需要一个账号名,就可以用手机号验证码修改邮箱登陆密码(以前从来没有怀疑过这个流程的安全隐患,希望网易163能够改进这个安全问题)。罪犯在登陆我的163邮箱后,利用邮箱下载了支付宝证书,攻破了我的支付宝账号。并于第二天(4月9日)早上,我恢复邮箱前,取消了数字证书安装。
17、最恐怖的事情是接下来这个:
第二天(4月9日),我从招商银行柜台打印出来的交易记录中发现,这张银行卡里前晚(4月8日)转入的钱中,除了有利用我的支付宝(前文所说的)转入的钱之外,还有用百度钱包转入的。之后分5笔分别转出到另外两个不同的银行账户。
回家后,尝试用我的手机号作为用户名登陆百度钱包(但我根本不记得用过这个产品),提示密码错误。我遂用手机找回密码。是的,我成功了,只要有手机号并且可以收到密码可以修改任何账户的密码。
我登陆进了百度钱包,结果在百度钱包账户的“我的银行卡”中,赫然发现,我的三张银行卡都绑定关联了百度钱包。我可以百分之百确定,这绝对不是我自己干的。
打百度钱包客服得知,有两张卡是4月8日(即案发当天)关联的。当被问及需要哪些信息才能把我的卡关联百度钱包时,客服说“银行卡信息,姓名,身份证号,手机号,验证码”。
我又是一脸大写的懵逼,这意味着,罪犯掌握了以上这些信息。也意味着,我在罪犯面前是一个信息完全暴露的裸点。而我如今仍不明白,他是如何搞定我这些信息的。至今仍不明白。
以上,大致为本人遭受了“倾家荡产”的网络诈骗的过程和诸多细节,流程过于流水账是为了便于大家了解网络诈骗的诸多细节。
我至今仍怀有疑问,在这样一个涉及漏洞如此之多的案例中,究竟是哪个平台的责任?
中国移动(10086):难道不用为自己的客户能如此简单地失去自己的账户安全给出解释?客服的反馈至今仍是,我们会进一步往上面反馈……
涉及所有账户安全被破解的银行:难道就因为我丢失一个手机号就能被转移所有资产?客服至今的处理方式是,我们会积极配合警方调查……银行永远不说自己会负责。
百度钱包:非本人自己操作,罪犯可以自己绑定我的银行卡,并以此转移我的资产,难道不需要对账户安全给出解释和处理?客服至今仍是不相信我的投诉,以及,再也没有人进行跟进回访……
支付宝:作为最开始被攻破的平台,是这两天中客服跟进最积极的,赔付部门和安全部门一直在持续跟进我的案例,已赔付1笔在支付宝上非我操作的充值行为(5元)以及诸多非我操作转账行为付出的30元手续费。利用支付宝转移的其他款项,支付宝已承诺我个人提交相关材料后,“可能”会全款赔付。实事求是的说,在我的这个案例中,支付宝确实算是这些涉及机构中的良心企业。客服一直在跟进情况,前后打过不下30,40个电话。
至于警方,呵呵……本人于4月9日到警局做笔录,笔录粗略。警局给出的回复是“好了,我们会报到上面调查的,回去等吧,有情况会通知你的”。至今没有任何警方机构来跟进咋骗案,笔录好像就是终点了。
网络诈骗也不是什么新鲜事,你我都似乎每天都在看着网上有不同的人在遭受着诈骗和损失。随手一搜“互联网,诈骗”,找到一个信息:2015年全国公安机关共立电信诈骗案件59万起,同比上升32.5%,共造成经济损失222亿元。。对大部分人来说,这只是一个数字,通常这些案件还常常成为我们剔牙买单后的谈资。
坦诚地说,我确实不曾想象过有一天这样的事情会落到自己头上。这只是千千万万种网络诈骗中的一种,我至今还处在流失这么多个人信息的恐惧当中当我自己成为这几十万分之一时,我得以有机会真正地体会一个受害者在财产受到莫名侵犯时所带来的心理伤害,以及得以有机会窥见这个社会系统是如何对待经济诈骗受害者的?
愿大家能多注意自己的信息安全和财产安全。通俗的建议是“不要把所有的银行账户都关联网上平台”。
也希望各个金融平台和通讯能更加完善自身平台的安全。不然,何来用户信任?希望有一天,银行可以说“在我们平台损失的钱,是我们漏洞引起的,我们都赔!”
———————-
安全专家详解:一个短信验证码如何让你倾家荡产
最近,一篇名为《实录亲历网络诈骗,互联网是如何让我生无分文?》的文章在网络广为传播。
作者表示,他莫名其妙地收到一条“订阅增值业务”的短信,根据提示回复了“取消+验证码”之后,自己的漫长的噩梦就此开启:
手机号码失效,半天之内支付宝、银行卡上的资金被席卷一空。
而损失巨大的作者到最后也没有完全明白自己的钱究竟是怎样被黑客盗取的。
作为爱和正义的守护者,雷锋网义不容辞,特地采访到腾讯手机管家安全专家陆兆华大牛,详细解析一下这个诈骗过程中每一步的技术细节。现在请各位童鞋系好安全带,老司机要带你上路了。
核弹引信——验证码
作者的噩梦开始于拥挤的地铁车厢里。
他的手机忽然收到一条短信:来源为“1065800”的号码发来了一条短信杂志。
接着,来源为“10086”的号码发来了一条短信,提醒他“开通了中广财经半年包业务”。
同时发来的还有一条“余额不足”的短信。
正在他纳闷且愤怒的时候,来源为“10658139013816280086”的号码发来了一条短信:
您成功订阅了中国移动的(中广财经)40 元/半年,3 分钟退订免费。如需退订请编辑短信“取消+校验码”至本条短信退订。”署名“中国移动”。
【骗子伪装 10086 向受害者发送钓鱼短信(只有最后一条验证码信息来自真正的 10086)】
至此,所有的证据都指向“万恶的”中国移动。看客们一定认为中国移动又在欺负无辜的消费者,私自为客户订阅了垃圾增值服务。没错,受害者本人也是这么想的。此时,作者的内心大概是:“这 SB 又给我瞎定什么业务?还需要 40 元/半年,什么鬼?”不过,他马上注意到,短信上这个服务是可以被退订的。“中国移动还算有操守“他一边这样想,一边收到了“10086”发来的又一条短信:“尊敬的客户,您的 USIM 卡 6 位验证码为******”。一心只想快点退订这个破业务的作者压根就没注意什么叫“USIM 卡验证码”,直接回复了“取消+******(验证码)”。
【受害者不知情,把更改 USIM 卡的验证码发给了骗子】
从收到第一条短信,到作者回复验证码,地铁也许还没有行进一站,一切都看起来都是那么平常。但是,一个巨大的阴谋已经把他拖进了深渊。。。
让我们看看这串眼花缭乱的短信背后究竟发生了什么:
陆兆华告诉雷锋网:
这是一个电信诈骗的经典手段。整个骗局的关键就在于这个“USIM 卡验证码”。
诈骗分子需要预先准备一张空白的 4G USIM 卡。目前,在淘宝等电商平台上可以轻松买到一张空白的 4G USIM 卡。然后,诈骗分子向运营商申请自主更换 USIM 卡业务。这个业务的完成需要一个验证码。于是骗子借退订 SP 业务迷惑受害者回复验证码(实际上是更换新 USIM 卡的验证信息)到特定的短信端口(骗子接收)。受害者以为自己是在退订业务,实际上已经把最重要的验证信息给了骗子。
骗子利用这个验证码,可以直接在异地复制一张 USIM 卡,而导致真正的 USIM 卡失效。这样一来,机主的手机号码就会被诈骗分子完全控制。
【通过运营商自助换卡业务进行诈骗的流程】
究竟谁是“你”?
如果突然有一天,你看到了一个和你一模一样的人,他辩称自己就是你,甚至知道你的所有个人信息,认识你的所有朋友,那么,究竟“你”是你,还是“他”是你呢?
在网络世界里,证明“你”是“你”的所有证据,只有你的手机号、验证码、邮箱、身份证号等有限的几个证据。如果坏人掌握了这些信息,他就会在赛博空间一点一点变成你,甚至比你还像你,让真正的你百口莫辩。
我们来继续讲述这个悲伤的故事。
果然,不久作者就发现自己的手机失去了信号。(此刻他的手机卡已经失效,而骗子手中的空白卡已经生效)他以为自己由于被恶意扣费,导致了停机,于是打算回到家再进行处理。但是,到家之后作者发现,竟然连中国移动的客服电话“10086”都无法拨通,甚至更换手机也没有信号。但是,此刻手机仍然能接收 Wi-Fi 信号。“噩耗”就是通过 Wi-Fi 传来的。
支付宝突然弹窗,出现两条消费提醒:一笔为“5 元的游戏币充值”;一笔为小额的转账“从余额宝转账到绑定的招商银行”。自此,雪片般的转账信息倾泻而出。
【支付宝的转账信息】
大部分的操作都是将支付宝中的余额分批次转到银行卡。作者的第一反应是给支付宝客服打电话冻结自己的账户,但是,他绝望地发现自己的手机仍然没信号。此刻家里没有其他人,在短暂的空白之后,作者终于想到了要解绑银行卡。然而,资金被转出的速度太快。当作者解绑银行卡之后,账户中的资金已经所剩无几。不过,此时骗子已经没有办法把钱转到银行卡中了,于是竟然丧性病狂地用最后一百多块钱给一个手机号码充了值。(作者调查这个号码时,它已停机)
当然,整件事情还没有结束,不过,我们先暂停一下,看看截至目前,骗子究竟是怎样做到的:
陆兆华给出了他的分析:
此时最为关键的环节是骗子控制了失主的支付宝。理论上,盗取支付宝权限有很多方法。目前大部分邮箱都是依靠手机短信验证码来进行二次身份验证的,诈骗分子可以通过手机号码找回密码或者是利用短信验证码进入邮箱,从而篡改邮箱密码,再利用手机号码和邮箱来找回支付宝密码,安装支付证书。从而直接在异地登录支付宝进行操作。
这个时候,理论上资金还没有离开作者的掌控,只是从支付宝到了银行卡。于是他紧急登陆自己的网银,却惊奇地发现网银的密码已经被篡改,从而无法登陆。此刻他竟然无法掌握自己的账户信息,任凭坏人摆布。这时他挽回损失的唯一方法就是挂失银行卡。由于手机没有信号,他紧急联系女友代为进行银行挂失。由于支付宝连接了好几张银行卡,用电话挂失还要听完银行自助语音的无数废话,完成挂失用去了比预想中更长的时间。当所有的银行卡都被挂失之后,作者已经完成了他所能做的一切。
第二天,作者去银行打印流水的时候,才发现自己的所有银行卡上的所有资金都已经被转走,一分不剩。直到这一天晚上,他才发现原来自己的 163 邮箱密码也被更改。
【骗子利用受害者的邮箱在异地安装了支付宝的数字证书】
作者怎么也想不明白,丧心病狂的骗子为什么能够修改自己的网银密码呢?
陆兆华判断:
实际上骗子早已通过手机验证修改了失主的邮箱密码。此时,骗子手里的筹码有:失主的电话、邮箱、姓名、银行卡账号。目前很多网银的密码修改已经不需要U盾,所以这些筹码已经足够修改他的网银密码。
对于某些银行来说,也许还需要用户提供身份证号等信息。但是,这也依然拦不住诈骗分子。因为在网络上,有很多平台在兜售巨大数量的个人信息。大部分人的身份证号、生日信息等基本资料在地下市场都可以找到,可以说得来全不费工夫。
完全掌握了个人隐私信息并掌握受害者的手机 USIM 卡,就可以完全替代受害者身份进行资金操作转账等操作。
冰冷的结局
在银行的转账详单上,作者发现了犯罪分子的资金转移轨迹,他们把作者的钱从不同的银行卡归集到一张卡上,然后再统一通过该银行网银划走。(骗子这样做的原因很可能是因为某银行管制稍松,可以在短时间内转出大额资金。)另外,作者还在转账详单上发现了数笔从百度钱包转出的资金。也就是说,在诈骗分子用支付宝归集资金的同时,也在用百度钱包做同样的事情。而可怕的是,作者自己都已经卸载了百度钱包很久,甚至忘记了登陆密码。
【百度钱包被骗子用来转移资金】
作者通过调查,已经明白了答案:通过手机号码,可以轻松找回百度钱包的密码,而通过“银行卡信息,姓名,身份证号,手机号,验证码”就可以随意关联新的银行卡到百度钱包。
这件事的冰冷之处不仅在于资金损失殆尽这个结局,还在于当作者报案之后,警察反应迟缓,并且敷衍了事,最终也没有丝毫作为。更在于这其中涉及到的:支付宝、百度钱包、运营商、银行这些巨头们的安全机制都没能挡住一个骗子。
还原一下整个骗局发展的逻辑,可以清晰地看到:骗子通过受害者的手机号,一步步扩大攻击面,掌握了越来越多的个人信息。在网络空间中,一个冰冷的替身通过手机号、验证码、邮箱、身份证号这些“画皮”一步步变成了一个活生生的人。
如果一味埋怨支付宝和银行的验证机制潦草,似乎并不公平。因为综合安全性和易用性,支付宝和银行并不会在你每次修改密码的时候,都要提供身份证原件和本人到场。
陆兆华说:
此类诈骗,最主要的原因是由于受害者不慎泄露验证码等信息而造成的 USIM 卡被恶意复制。但显然运营商和银行都有义务在一些关键步骤上加强对用户的提醒。
而由于几乎所有的诈骗步骤都用到了被恶意复制的 USIM 卡。所以如果发现自己的 USIM 卡被诈骗分子控制,一定要在最短的时间内拿个人身份证到营业厅申请取消被恶意复制的 USIM 卡服务,避免黑客恶意继续利用。
由于诈骗分子可以任意冒充他人的手机号码,所以对于可疑的短信,一定不要回复,更不要向任何人透露自己收到的验证码。
对于诈骗过程的条分缕析并不能挽回一分钱的损失,却能让其他人面对同样的骗局时逃过一劫。
我们身处楼宇森林,感觉自己安全无虞;
然而站在 0 和 1 组成的赛博空间放眼,这个世界仍处蛮荒。
“诈骗分子向运营商申请自主更换 USIM 卡。这个业务的完成需要一个短信验证码。”
一个验证码就够了?!不需要身份证,不需要本人到场?!
这才是主要漏洞!
你如果在京东上面买一张白卡 就可以通过手机短信完成自助写卡将现有的号卡换成运营商新的好卡 主要是运营商为了让大家升4G号卡更方便
差不多流程是这样:
1、骗子掌握了你的身份证信息,银行卡信息,支付宝账号,百度钱包掌握,163邮箱信息,但是这些信息并不能直接盗取钱财,需要掌握你的手机sim卡之后才能够盗窃
2、骗子发现你的生活规律,然后乘你坐地铁的时候,你发送的取消 + 【验证码】,用伪基站捕获之后,把取消换成HK,(此处可能有漏洞)然后发送给中国移动,换卡成功
3、利用1得到的信息,大量的盗取钱财
简单来说就是骗子把你的卡给换了(类似挂失、换卡业务),然后通过你的手机号尝试登陆所有敏感的业务。不知道密码也没关系,可以通过手机找回或者修改密码。 最大的bug就是,这个换卡流程。。。太尼玛容易了吧。。。
-------------
电信诈骗新招数:用临时身份证补手机卡
如今的电信诈骗,已经不是发个短信通知中奖或者“领导”打电话让你去办公室那么简单的伎俩了,一些电信诈骗手段甚至让受害者根本无从防范。在一位首航空姐网上曝光遭遇骗子利用临时身份证补卡骗光银行卡里钱之后,昨天,北京移动用户王先生也向记者介绍了类似的遭遇。一个令人感到恐惧的现实是,这种诈骗手段可能会发生在任何一个人的头上,而且受害者几乎是束手无策的。
□事件
骗子冒名补卡险酿巨额损失
王先生清楚地记得,5月7日下午四五点钟,他的手机突然收到了来自各个网站的验证码轰炸,并伴随大量骚扰电话呼入,直到第二天他的手机卡被人盗补前的差不多一天时间里,王先生的手机累计收到了数百条短信和近百个骚扰电话。记者看到了他收到的短信和电话,来源极为驳杂,有各个不同省份的固话、手机来电,也有400打头的来电,而短信则有各种服务网站的验证码。
就在被大量的骚扰电话和短信搞得不胜其烦时,5月8日上午11:23,一条发自10086的短信还是引起了王先生的警觉。“尊敬的用户,您即将在中国移动北京公司办理补卡(或换卡、或备卡激活)业务,特此提醒。”在互联网行业工作的王先生对网上的各种诈骗手段警惕性比较高,他想到了遭遇诈骗的可能性,马上拨打了移动热线10086,并在客服人员的建议下修改了北京移动官方网站的密码。但是之后他继续收到10086发来的补卡信息,于是又按照移动客服的建议到移动营业厅更换了新的SIM卡,并进行了备案。可是这些办法都没有阻止他的手机卡被他人盗补。
5月8日下午四点半左右,就在他开车外出过程中,手机导航突然掉线,同时手机信号标志消失,无法接打电话也上不了网。在重启手机、重装SIM卡数次均无效后,他意识到自己手机卡可能被人盗补了。于是立即赶回家,在WiFi网络下将微信和支付宝的银行卡解绑,同时查看了消费记录,发现其招商银行储蓄卡有资金变动,有50000元朝朝盈基金被转成活期,然后有一笔0.01元的转出,18:30左右又有两笔500元被转出。
王先生马上用座机报警,并冻结了名下的招商银行全部卡片。当天晚上,他发现自己招商银行储蓄卡的查询密码和取款密码已经都被更改了。所幸王先生本人警惕性足够高,冻结银行账户的反应也很迅速,才没有造成更大的损失,否则他银行卡内的所有资金都可能被骗子转光。
5月9日,王先生从移动营业厅了解到,5月8日16:27,曾有人在门头沟的西区新桥大街营业厅,用一张写有他信息的临时身份证补办了他的手机卡。
□漏洞
>>手机卡补卡
用户自身防范无任何效果
在这个案例中,骗子究竟是如何一步步实现对受害者银行卡上的资金控制的?王先生、记者与手机安全人士对整个过程进行了仔细的复盘,弄清了骗子的行骗环节。
首先是受害者手机号码收到大量的骚扰电话和各种业务短信,据分析,这样做的目的,一是让受害者因为忍受不了打扰而被迫关机,这样就收不到移动官方发来的补卡通知短信。在上周,首航空姐曝光的同类案件中,该空姐就是先接到骚扰电话,不得不被迫关机,在关机期间她的手机卡被他人盗补。另外一种可能就是将移动官方发送的补卡通知短信淹没在大量的无用短信中,让受害者不容易注意到。
从处理过程可以看出,王先生的警惕性很高,也及时发现了移动发来了通知短信,并且主动与移动客服联系,采取了所有移动官方建议采取的防范措施,但还是被盗补成功。这也显示出了一个让人震惊的事实:在这类的电信诈骗中,用户自身的防范措施根本起不到效果。
事后证明,骗子是用王先生的临时身份证在营业厅补卡成功的。根据北京移动向记者披露的内部调查结果:“营业厅记录显示,当天16:27,疑似盗卡人持本案受害人临时身份证办理了补卡业务。工作人员按照规定验证证件,进行信息比对后为其办理。临时身份证上的照片是本案受害人的。”北京移动还表示,客户持临时身份证办理各项业务的规定是:营业前台必须通过国政通公安认证系统调取客户信息,比对照片、姓名、身份证号码。如果照片、姓名、身份证号码比对有误,或无法调取国政通公安认证等情况,不能持此临时身份证办理相关业务。需要客户持有效的二代身份证通过二代证读取器读取后才能够办理相关业务。
骗子所持的受害人临时身份证是真实的还是伪造的,是通过什么途径办理的,暂时无法知晓。但是一个不争的事实是,骗子掌握受害者的几乎所有个人信息,包括身份证上的各项信息。而对于骗子和受害人照片不符的问题,移动方面的回应是“临时身份证和本人头像核验,经营业人员比对面部特征,现场没有疑点”。
另外,移动方面还表示,营业厅留下了当时业务办理现场的监控录像,会按照警方要求提供相关证据协助调查。
>>银行客户端
登录密码可用手机找回
在拿到了受害人的手机号之后,骗子又是如何对受害者的银行卡进行操作的呢?记者通过招商银行的手机客户端进行了模拟,发现登录时,如果选择忘记密码,是可以用手机号找回的。此外,还需要知道该银行卡的取款密码,在掌握了银行卡号、取款密码、登录密码和认证手机号后,可以说,这张银行卡就已经变成骗子的了。
总结起来,完成补卡诈骗,需要的前提条件是,骗子需要掌握受害人的身份证信息、银行卡号和取款密码以及手机号码。这些信息是从哪里获取的?目前尚不得而知,但是据之前央视的报道,网上是可以购买到此类用户数据的,而且准确率很高。从这些数据的来源推算,似乎只有银行或者第三方支付机构能够全部掌握。
□防范
警惕手机卡的异常变动
在这一事件中,王先生的种种反应几乎无可挑剔,也正因为这样,最终他的损失并不大。结合王先生的经验以及安全行业人士的分析,遇到此类诈骗我们应该做些什么呢?
首先,一旦发现手机突然莫名其妙收到大量骚扰电话和短信,一定要提高警惕,要想到电信诈骗的可能,最好第一时间把与手机号关联的银行卡内的钱转给其他账户或者可以信任的家人、朋友;第二,尽快到电信运营商处办理一张新卡,将银行卡、支付宝、微信等解除与旧手机号的绑定,重新绑定在新卡上;第三,如果发现自己的手机突然无法上网也无法接打电话,就很有可能遭遇了被盗补,要第一时间将银行账户冻结,避免损失;第四,为了日常的资金安全,最好不要在与手机号关联的银行卡中存放太多现金,而资金较多的银行卡最好不要开通手机银行、网上银行等功能。
□记者手记
讨论责任非当务之急
从事电信行业报道多年,记者接触过形形色色为数众多的电信诈骗案例,但从来没有像现在这样感到震惊和担心。以往的电信诈骗,只要保持足够警惕性、不轻信他人、不贪图小便宜,我们是有能力保证自己不受骗的,但现在的补卡诈骗则完全不同。遇到这样的诈骗,我们可能根本什么都没有做,就发现自己的钱已经没有了;甚至像王先生一样,已经察觉到了诈骗的可能,采取了一切自己能做的防范手段,但还是无法阻止骗子得手。一位电信运营商内部员工私下表示,他同样担心遇到电信诈骗,已经为自己办理了支付宝保险。
真的是骗子太厉害,让所有人都防不胜防吗?事实上,通过对骗术复盘,也可以看出骗子所利用的一些漏洞,如银行将支付验证的重点放在了手机验证上,也让手机号码一旦丢失,银行账户就有裸奔的危险;电信运营商在补卡业务上也存在审核不严的弊端。如果这些漏洞能够从制度源头被封堵,那是可以堵死骗子的行骗之路的。
记者曾向电信运营商建议,应该对补卡业务流程做更严格的管控,特别是眼下应该暂停临时身份证补卡。有电信运营商内部人士在和记者交流时称,补卡业务满足了一些用户的需求,临时身份证的补卡也确有存在的必要(比如手机、钱包同时丢失的人)。而对于治理电信诈骗,不少运营商人士都坚持认为,银行对用户信息保护不严才是根源,手机只是一种通信工具,运营商在此事上不应该承担主要责任。
诚然,解决电信诈骗,还要从银行支付验证的方式上入手,但一个不容忽视的事实是,补卡诈骗已严重威胁到了每一个人的财产安全。在事关无数用户财产安全的紧迫危机面前,讨论谁的责任更大绝非当务之急,只要有能力做一些补救措施的都应该主动挺身而出。暂停临时身份证补卡业务,并非良策,但在根本解决方案出台前,作为用户,我们需要看到有人先筑起一道防线.
然而得到的结果是,中国移动说他们不负任何责任!各个银行说他们不负任何责任!百度钱包说他们不负任何责任!目前为止只有支付宝在和我跟进此事。
在知道自己损失了几乎所有现金之后,我的内心是无比奔溃的。那是一种一无所有的绝望。更绝望的是,在如今中国这样的社会,你遭遇了损失,只能自认倒霉并且基本不要指望有人可以帮你追回损失。你去警局报一次案,做一次笔录就懂了。
本人受骗经历在事后看来可能略微有点不可思议,你可能甚至会觉得我有点蠢,但这大致就是事情的经过。事情的顺序当然是事后我重新梳理的,在当时当地,我是并不知觉的。以及,到目前为止,我始终没有搞明白,我是如何把自己的信息泄露地如此完整的,现在仍处于恐惧的状态之中。
以下大概就是我的经历:
1、4月8日,周五,下班回家地铁上。我的手机忽然收到一条短信:来源为“1065800”的号码发来了一条 短信杂志,这种垃圾杂志看多了,我第一反应是回复“TD”。该短信回复我“发的指令不正确”。
2、接着,来源为“10086”的号码发来了一条 短信“提醒我开通了中广财经半年包业务”,以及同时发来的还有一条“余额不足”的短信。
我心想,靠,10086怎么莫名其妙给我开了一个什么鬼业务?想打人工客服询问,因正在人山人海的帝都地铁中,心想:回家再说。
3、正在这时候,来源为“10658139013816280086”的号码发来了一条 短信“您成功订阅了中国移动的(中广财经)40元/半年,3分钟退订免费。如需退订请编辑短信“取消+校验码”至本条短信退订。”署名“中国移动”。
这时候我的内心活动是“这SB又给我瞎定什么业务?还需要40元/半年,什么鬼?”以及,犹豫了大概半秒“校验码是什么?”,所以没头没脑地回复了条“取消+校验码”。此时,我甚至都没有注意到这条短信来源号码的可疑,谁会时时迫害妄想症,如此细心?
4、恰在此时,来源为“10086”的号码给我发来一条短信“尊敬的客户,您的USIM卡6位验证码为******”,(大家可以翻回去看上一张图片),此时,我只想快点退订这个破业务,压根不知道USIM卡验证码是什么,于是回复了“取消+*******”。
愚蠢的我,灾难就此开始。下面更精彩……
5、大概过了半小时后,我突然发现手机无服务上不了网。类似的情况曾出现过,我将其简单归结为“居然帮我订阅了个服务,让我欠费停机了”。
6、到家后,晚6,7点,手机经过重启无数次,sim卡换到另外一个手机,仍是无服务。家中只有我自己,手机无服务,打不出中国移动客服,处于信息孤岛。上网查询解决手机无服务方法,一一尝试,无果。
作罢后,便想第二天到营业厅处理。
7、时间大概又过去半小时,我发现手机震动提醒,支付宝提醒刚刚发生了两笔转账交易。一笔为“5元的游戏币充值”,一笔为小额的转账“从我的余额宝转账到我绑定的招商银行”。而这些都不是我操作完成的。
8、纳闷了片刻之后,发现了账单记录中又发生了一笔比之前额度略大的转账,仍然是“从我的余额宝转账到我绑定的招商银行”。
此时我知道事情坏了,略微恐慌。慌乱中,迅速决定将余额宝中剩余的钱先转到另外一张和支付宝绑定的工商银行中。(事后想来十分后悔,应该在此时将钱随便转给一个朋友)。
9、然而,事情并未就此终止,支付宝仍然在发生转账,而此时是“用支付宝,将我工商银行的钱往招商银行转账”。
10、我下意识反应,马上到支付宝个人中心解绑所有关联的银行卡。这时,支付宝账单中已经发生了无数笔转账。而后续发生的三笔交易,因为我解绑了银行卡,无法完成交易。诈骗犯竟在最后一笔给一个号码为“15801375628”的号码充值。(事后,我拨打这个电话已停机,希望让中国移动帮忙查这个号码信息,中国移动说为了保护用户隐私,不能提供。只能提供给警方,这也意味着,可能就没结果……如果有大侠能帮忙hack这个电话号码,本人感激涕零。)
11、这一切都是在电光火石间发生的,我来不及做任何深思熟虑。我甚至是眼睁睁地看着TA把我的钱一笔笔转走,甚至连我转移到工商银行卡的钱亦被转走。这意味着,我是在同一时间和TA抢钱,而最后,我啥也没抢回来。
正如上文所说,事后想来,在有时间深思熟虑的情况下,此时我应该:把钱转给随便一个好友!而最优选择,但是是我当时做不了的选择就是:打支付宝客服冻结账号。我做不了这样的选择,因为此时我的手机是无!服!务!但其实想来等即使等我打完客服,钱应该已经没了。
然而,最荒诞,也最触目惊心的事情发生了……不只我的支付宝账号出现了问题,我所有的网银都出现了问题。
12、支付宝的银行卡已经尽皆被我解绑,此时,我马上检查我的网银。然后我悲伤地发现,我的 中国银行、招商银行 网银根本登不上,密码已经被篡改了。而我能登上的工商银行卡网银,一查交易明细,网银此时竟也在发生转账。我根本打不了银行客服停卡啊。于是我在这一瞬间赶紧发微信让女票帮我挂失这些卡。(补充说明,前面发现支付宝账号问题时,已在微信联系女票打电话帮我锁定支付宝账号)。
13、然而没用,时间太短。中国的银行,要打进客服电话需要和你介绍无数的废话,让你进行无数个步骤,所有卡都挂失完成,已耗去大半小时,一切为时晚矣。
我知道,此时,我支付宝和银行卡里所有的钱都没了……
14、当时就报了警,半小时后,警察来了,做了【不到5分钟】笔录,对,不到5分钟,然后走了……说“明天到警局报案,明天处理!”F**K……白纳那么多税!!
15、准确地说,当天晚上我并不知道招商银行和中国银行卡的钱也都没了,因为我压根登不上网银查看,密码被改。第二天到各个营业厅打印交易流水才知道两张卡都已空空如也。
我整个人是懵逼的,不但攻破了我支付宝的账号,连各个银行的网银也逐个攻破。
16、当晚,我发现163邮箱密码也被篡改,但手机无效,无法找回密码。
第二天(4月9日)手机恢复服务后发现,罪犯在拿到我的SIM卡信息后,第一时间攻破了我的邮箱账号,因为只需要一个账号名,就可以用手机号验证码修改邮箱登陆密码(以前从来没有怀疑过这个流程的安全隐患,希望网易163能够改进这个安全问题)。罪犯在登陆我的163邮箱后,利用邮箱下载了支付宝证书,攻破了我的支付宝账号。并于第二天(4月9日)早上,我恢复邮箱前,取消了数字证书安装。
17、最恐怖的事情是接下来这个:
第二天(4月9日),我从招商银行柜台打印出来的交易记录中发现,这张银行卡里前晚(4月8日)转入的钱中,除了有利用我的支付宝(前文所说的)转入的钱之外,还有用百度钱包转入的。之后分5笔分别转出到另外两个不同的银行账户。
回家后,尝试用我的手机号作为用户名登陆百度钱包(但我根本不记得用过这个产品),提示密码错误。我遂用手机找回密码。是的,我成功了,只要有手机号并且可以收到密码可以修改任何账户的密码。
我登陆进了百度钱包,结果在百度钱包账户的“我的银行卡”中,赫然发现,我的三张银行卡都绑定关联了百度钱包。我可以百分之百确定,这绝对不是我自己干的。
打百度钱包客服得知,有两张卡是4月8日(即案发当天)关联的。当被问及需要哪些信息才能把我的卡关联百度钱包时,客服说“银行卡信息,姓名,身份证号,手机号,验证码”。
我又是一脸大写的懵逼,这意味着,罪犯掌握了以上这些信息。也意味着,我在罪犯面前是一个信息完全暴露的裸点。而我如今仍不明白,他是如何搞定我这些信息的。至今仍不明白。
以上,大致为本人遭受了“倾家荡产”的网络诈骗的过程和诸多细节,流程过于流水账是为了便于大家了解网络诈骗的诸多细节。
我至今仍怀有疑问,在这样一个涉及漏洞如此之多的案例中,究竟是哪个平台的责任?
中国移动(10086):难道不用为自己的客户能如此简单地失去自己的账户安全给出解释?客服的反馈至今仍是,我们会进一步往上面反馈……
涉及所有账户安全被破解的银行:难道就因为我丢失一个手机号就能被转移所有资产?客服至今的处理方式是,我们会积极配合警方调查……银行永远不说自己会负责。
百度钱包:非本人自己操作,罪犯可以自己绑定我的银行卡,并以此转移我的资产,难道不需要对账户安全给出解释和处理?客服至今仍是不相信我的投诉,以及,再也没有人进行跟进回访……
支付宝:作为最开始被攻破的平台,是这两天中客服跟进最积极的,赔付部门和安全部门一直在持续跟进我的案例,已赔付1笔在支付宝上非我操作的充值行为(5元)以及诸多非我操作转账行为付出的30元手续费。利用支付宝转移的其他款项,支付宝已承诺我个人提交相关材料后,“可能”会全款赔付。实事求是的说,在我的这个案例中,支付宝确实算是这些涉及机构中的良心企业。客服一直在跟进情况,前后打过不下30,40个电话。
至于警方,呵呵……本人于4月9日到警局做笔录,笔录粗略。警局给出的回复是“好了,我们会报到上面调查的,回去等吧,有情况会通知你的”。至今没有任何警方机构来跟进咋骗案,笔录好像就是终点了。
网络诈骗也不是什么新鲜事,你我都似乎每天都在看着网上有不同的人在遭受着诈骗和损失。随手一搜“互联网,诈骗”,找到一个信息:2015年全国公安机关共立电信诈骗案件59万起,同比上升32.5%,共造成经济损失222亿元。。对大部分人来说,这只是一个数字,通常这些案件还常常成为我们剔牙买单后的谈资。
坦诚地说,我确实不曾想象过有一天这样的事情会落到自己头上。这只是千千万万种网络诈骗中的一种,我至今还处在流失这么多个人信息的恐惧当中当我自己成为这几十万分之一时,我得以有机会真正地体会一个受害者在财产受到莫名侵犯时所带来的心理伤害,以及得以有机会窥见这个社会系统是如何对待经济诈骗受害者的?
愿大家能多注意自己的信息安全和财产安全。通俗的建议是“不要把所有的银行账户都关联网上平台”。
也希望各个金融平台和通讯能更加完善自身平台的安全。不然,何来用户信任?希望有一天,银行可以说“在我们平台损失的钱,是我们漏洞引起的,我们都赔!”
———————-
安全专家详解:一个短信验证码如何让你倾家荡产
最近,一篇名为《实录亲历网络诈骗,互联网是如何让我生无分文?》的文章在网络广为传播。
作者表示,他莫名其妙地收到一条“订阅增值业务”的短信,根据提示回复了“取消+验证码”之后,自己的漫长的噩梦就此开启:
手机号码失效,半天之内支付宝、银行卡上的资金被席卷一空。
而损失巨大的作者到最后也没有完全明白自己的钱究竟是怎样被黑客盗取的。
作为爱和正义的守护者,雷锋网义不容辞,特地采访到腾讯手机管家安全专家陆兆华大牛,详细解析一下这个诈骗过程中每一步的技术细节。现在请各位童鞋系好安全带,老司机要带你上路了。
核弹引信——验证码
作者的噩梦开始于拥挤的地铁车厢里。
他的手机忽然收到一条短信:来源为“1065800”的号码发来了一条短信杂志。
接着,来源为“10086”的号码发来了一条短信,提醒他“开通了中广财经半年包业务”。
同时发来的还有一条“余额不足”的短信。
正在他纳闷且愤怒的时候,来源为“10658139013816280086”的号码发来了一条短信:
您成功订阅了中国移动的(中广财经)40 元/半年,3 分钟退订免费。如需退订请编辑短信“取消+校验码”至本条短信退订。”署名“中国移动”。
【骗子伪装 10086 向受害者发送钓鱼短信(只有最后一条验证码信息来自真正的 10086)】
至此,所有的证据都指向“万恶的”中国移动。看客们一定认为中国移动又在欺负无辜的消费者,私自为客户订阅了垃圾增值服务。没错,受害者本人也是这么想的。此时,作者的内心大概是:“这 SB 又给我瞎定什么业务?还需要 40 元/半年,什么鬼?”不过,他马上注意到,短信上这个服务是可以被退订的。“中国移动还算有操守“他一边这样想,一边收到了“10086”发来的又一条短信:“尊敬的客户,您的 USIM 卡 6 位验证码为******”。一心只想快点退订这个破业务的作者压根就没注意什么叫“USIM 卡验证码”,直接回复了“取消+******(验证码)”。
【受害者不知情,把更改 USIM 卡的验证码发给了骗子】
从收到第一条短信,到作者回复验证码,地铁也许还没有行进一站,一切都看起来都是那么平常。但是,一个巨大的阴谋已经把他拖进了深渊。。。
让我们看看这串眼花缭乱的短信背后究竟发生了什么:
陆兆华告诉雷锋网:
这是一个电信诈骗的经典手段。整个骗局的关键就在于这个“USIM 卡验证码”。
诈骗分子需要预先准备一张空白的 4G USIM 卡。目前,在淘宝等电商平台上可以轻松买到一张空白的 4G USIM 卡。然后,诈骗分子向运营商申请自主更换 USIM 卡业务。这个业务的完成需要一个验证码。于是骗子借退订 SP 业务迷惑受害者回复验证码(实际上是更换新 USIM 卡的验证信息)到特定的短信端口(骗子接收)。受害者以为自己是在退订业务,实际上已经把最重要的验证信息给了骗子。
骗子利用这个验证码,可以直接在异地复制一张 USIM 卡,而导致真正的 USIM 卡失效。这样一来,机主的手机号码就会被诈骗分子完全控制。
【通过运营商自助换卡业务进行诈骗的流程】
究竟谁是“你”?
如果突然有一天,你看到了一个和你一模一样的人,他辩称自己就是你,甚至知道你的所有个人信息,认识你的所有朋友,那么,究竟“你”是你,还是“他”是你呢?
在网络世界里,证明“你”是“你”的所有证据,只有你的手机号、验证码、邮箱、身份证号等有限的几个证据。如果坏人掌握了这些信息,他就会在赛博空间一点一点变成你,甚至比你还像你,让真正的你百口莫辩。
我们来继续讲述这个悲伤的故事。
果然,不久作者就发现自己的手机失去了信号。(此刻他的手机卡已经失效,而骗子手中的空白卡已经生效)他以为自己由于被恶意扣费,导致了停机,于是打算回到家再进行处理。但是,到家之后作者发现,竟然连中国移动的客服电话“10086”都无法拨通,甚至更换手机也没有信号。但是,此刻手机仍然能接收 Wi-Fi 信号。“噩耗”就是通过 Wi-Fi 传来的。
支付宝突然弹窗,出现两条消费提醒:一笔为“5 元的游戏币充值”;一笔为小额的转账“从余额宝转账到绑定的招商银行”。自此,雪片般的转账信息倾泻而出。
【支付宝的转账信息】
大部分的操作都是将支付宝中的余额分批次转到银行卡。作者的第一反应是给支付宝客服打电话冻结自己的账户,但是,他绝望地发现自己的手机仍然没信号。此刻家里没有其他人,在短暂的空白之后,作者终于想到了要解绑银行卡。然而,资金被转出的速度太快。当作者解绑银行卡之后,账户中的资金已经所剩无几。不过,此时骗子已经没有办法把钱转到银行卡中了,于是竟然丧性病狂地用最后一百多块钱给一个手机号码充了值。(作者调查这个号码时,它已停机)
当然,整件事情还没有结束,不过,我们先暂停一下,看看截至目前,骗子究竟是怎样做到的:
陆兆华给出了他的分析:
此时最为关键的环节是骗子控制了失主的支付宝。理论上,盗取支付宝权限有很多方法。目前大部分邮箱都是依靠手机短信验证码来进行二次身份验证的,诈骗分子可以通过手机号码找回密码或者是利用短信验证码进入邮箱,从而篡改邮箱密码,再利用手机号码和邮箱来找回支付宝密码,安装支付证书。从而直接在异地登录支付宝进行操作。
这个时候,理论上资金还没有离开作者的掌控,只是从支付宝到了银行卡。于是他紧急登陆自己的网银,却惊奇地发现网银的密码已经被篡改,从而无法登陆。此刻他竟然无法掌握自己的账户信息,任凭坏人摆布。这时他挽回损失的唯一方法就是挂失银行卡。由于手机没有信号,他紧急联系女友代为进行银行挂失。由于支付宝连接了好几张银行卡,用电话挂失还要听完银行自助语音的无数废话,完成挂失用去了比预想中更长的时间。当所有的银行卡都被挂失之后,作者已经完成了他所能做的一切。
第二天,作者去银行打印流水的时候,才发现自己的所有银行卡上的所有资金都已经被转走,一分不剩。直到这一天晚上,他才发现原来自己的 163 邮箱密码也被更改。
【骗子利用受害者的邮箱在异地安装了支付宝的数字证书】
作者怎么也想不明白,丧心病狂的骗子为什么能够修改自己的网银密码呢?
陆兆华判断:
实际上骗子早已通过手机验证修改了失主的邮箱密码。此时,骗子手里的筹码有:失主的电话、邮箱、姓名、银行卡账号。目前很多网银的密码修改已经不需要U盾,所以这些筹码已经足够修改他的网银密码。
对于某些银行来说,也许还需要用户提供身份证号等信息。但是,这也依然拦不住诈骗分子。因为在网络上,有很多平台在兜售巨大数量的个人信息。大部分人的身份证号、生日信息等基本资料在地下市场都可以找到,可以说得来全不费工夫。
完全掌握了个人隐私信息并掌握受害者的手机 USIM 卡,就可以完全替代受害者身份进行资金操作转账等操作。
冰冷的结局
在银行的转账详单上,作者发现了犯罪分子的资金转移轨迹,他们把作者的钱从不同的银行卡归集到一张卡上,然后再统一通过该银行网银划走。(骗子这样做的原因很可能是因为某银行管制稍松,可以在短时间内转出大额资金。)另外,作者还在转账详单上发现了数笔从百度钱包转出的资金。也就是说,在诈骗分子用支付宝归集资金的同时,也在用百度钱包做同样的事情。而可怕的是,作者自己都已经卸载了百度钱包很久,甚至忘记了登陆密码。
【百度钱包被骗子用来转移资金】
作者通过调查,已经明白了答案:通过手机号码,可以轻松找回百度钱包的密码,而通过“银行卡信息,姓名,身份证号,手机号,验证码”就可以随意关联新的银行卡到百度钱包。
这件事的冰冷之处不仅在于资金损失殆尽这个结局,还在于当作者报案之后,警察反应迟缓,并且敷衍了事,最终也没有丝毫作为。更在于这其中涉及到的:支付宝、百度钱包、运营商、银行这些巨头们的安全机制都没能挡住一个骗子。
还原一下整个骗局发展的逻辑,可以清晰地看到:骗子通过受害者的手机号,一步步扩大攻击面,掌握了越来越多的个人信息。在网络空间中,一个冰冷的替身通过手机号、验证码、邮箱、身份证号这些“画皮”一步步变成了一个活生生的人。
如果一味埋怨支付宝和银行的验证机制潦草,似乎并不公平。因为综合安全性和易用性,支付宝和银行并不会在你每次修改密码的时候,都要提供身份证原件和本人到场。
陆兆华说:
此类诈骗,最主要的原因是由于受害者不慎泄露验证码等信息而造成的 USIM 卡被恶意复制。但显然运营商和银行都有义务在一些关键步骤上加强对用户的提醒。
而由于几乎所有的诈骗步骤都用到了被恶意复制的 USIM 卡。所以如果发现自己的 USIM 卡被诈骗分子控制,一定要在最短的时间内拿个人身份证到营业厅申请取消被恶意复制的 USIM 卡服务,避免黑客恶意继续利用。
由于诈骗分子可以任意冒充他人的手机号码,所以对于可疑的短信,一定不要回复,更不要向任何人透露自己收到的验证码。
对于诈骗过程的条分缕析并不能挽回一分钱的损失,却能让其他人面对同样的骗局时逃过一劫。
我们身处楼宇森林,感觉自己安全无虞;
然而站在 0 和 1 组成的赛博空间放眼,这个世界仍处蛮荒。
“诈骗分子向运营商申请自主更换 USIM 卡。这个业务的完成需要一个短信验证码。”
一个验证码就够了?!不需要身份证,不需要本人到场?!
这才是主要漏洞!
你如果在京东上面买一张白卡 就可以通过手机短信完成自助写卡将现有的号卡换成运营商新的好卡 主要是运营商为了让大家升4G号卡更方便
差不多流程是这样:
1、骗子掌握了你的身份证信息,银行卡信息,支付宝账号,百度钱包掌握,163邮箱信息,但是这些信息并不能直接盗取钱财,需要掌握你的手机sim卡之后才能够盗窃
2、骗子发现你的生活规律,然后乘你坐地铁的时候,你发送的取消 + 【验证码】,用伪基站捕获之后,把取消换成HK,(此处可能有漏洞)然后发送给中国移动,换卡成功
3、利用1得到的信息,大量的盗取钱财
简单来说就是骗子把你的卡给换了(类似挂失、换卡业务),然后通过你的手机号尝试登陆所有敏感的业务。不知道密码也没关系,可以通过手机找回或者修改密码。 最大的bug就是,这个换卡流程。。。太尼玛容易了吧。。。
-------------
电信诈骗新招数:用临时身份证补手机卡
如今的电信诈骗,已经不是发个短信通知中奖或者“领导”打电话让你去办公室那么简单的伎俩了,一些电信诈骗手段甚至让受害者根本无从防范。在一位首航空姐网上曝光遭遇骗子利用临时身份证补卡骗光银行卡里钱之后,昨天,北京移动用户王先生也向记者介绍了类似的遭遇。一个令人感到恐惧的现实是,这种诈骗手段可能会发生在任何一个人的头上,而且受害者几乎是束手无策的。
□事件
骗子冒名补卡险酿巨额损失
王先生清楚地记得,5月7日下午四五点钟,他的手机突然收到了来自各个网站的验证码轰炸,并伴随大量骚扰电话呼入,直到第二天他的手机卡被人盗补前的差不多一天时间里,王先生的手机累计收到了数百条短信和近百个骚扰电话。记者看到了他收到的短信和电话,来源极为驳杂,有各个不同省份的固话、手机来电,也有400打头的来电,而短信则有各种服务网站的验证码。
就在被大量的骚扰电话和短信搞得不胜其烦时,5月8日上午11:23,一条发自10086的短信还是引起了王先生的警觉。“尊敬的用户,您即将在中国移动北京公司办理补卡(或换卡、或备卡激活)业务,特此提醒。”在互联网行业工作的王先生对网上的各种诈骗手段警惕性比较高,他想到了遭遇诈骗的可能性,马上拨打了移动热线10086,并在客服人员的建议下修改了北京移动官方网站的密码。但是之后他继续收到10086发来的补卡信息,于是又按照移动客服的建议到移动营业厅更换了新的SIM卡,并进行了备案。可是这些办法都没有阻止他的手机卡被他人盗补。
5月8日下午四点半左右,就在他开车外出过程中,手机导航突然掉线,同时手机信号标志消失,无法接打电话也上不了网。在重启手机、重装SIM卡数次均无效后,他意识到自己手机卡可能被人盗补了。于是立即赶回家,在WiFi网络下将微信和支付宝的银行卡解绑,同时查看了消费记录,发现其招商银行储蓄卡有资金变动,有50000元朝朝盈基金被转成活期,然后有一笔0.01元的转出,18:30左右又有两笔500元被转出。
王先生马上用座机报警,并冻结了名下的招商银行全部卡片。当天晚上,他发现自己招商银行储蓄卡的查询密码和取款密码已经都被更改了。所幸王先生本人警惕性足够高,冻结银行账户的反应也很迅速,才没有造成更大的损失,否则他银行卡内的所有资金都可能被骗子转光。
5月9日,王先生从移动营业厅了解到,5月8日16:27,曾有人在门头沟的西区新桥大街营业厅,用一张写有他信息的临时身份证补办了他的手机卡。
□漏洞
>>手机卡补卡
用户自身防范无任何效果
在这个案例中,骗子究竟是如何一步步实现对受害者银行卡上的资金控制的?王先生、记者与手机安全人士对整个过程进行了仔细的复盘,弄清了骗子的行骗环节。
首先是受害者手机号码收到大量的骚扰电话和各种业务短信,据分析,这样做的目的,一是让受害者因为忍受不了打扰而被迫关机,这样就收不到移动官方发来的补卡通知短信。在上周,首航空姐曝光的同类案件中,该空姐就是先接到骚扰电话,不得不被迫关机,在关机期间她的手机卡被他人盗补。另外一种可能就是将移动官方发送的补卡通知短信淹没在大量的无用短信中,让受害者不容易注意到。
从处理过程可以看出,王先生的警惕性很高,也及时发现了移动发来了通知短信,并且主动与移动客服联系,采取了所有移动官方建议采取的防范措施,但还是被盗补成功。这也显示出了一个让人震惊的事实:在这类的电信诈骗中,用户自身的防范措施根本起不到效果。
事后证明,骗子是用王先生的临时身份证在营业厅补卡成功的。根据北京移动向记者披露的内部调查结果:“营业厅记录显示,当天16:27,疑似盗卡人持本案受害人临时身份证办理了补卡业务。工作人员按照规定验证证件,进行信息比对后为其办理。临时身份证上的照片是本案受害人的。”北京移动还表示,客户持临时身份证办理各项业务的规定是:营业前台必须通过国政通公安认证系统调取客户信息,比对照片、姓名、身份证号码。如果照片、姓名、身份证号码比对有误,或无法调取国政通公安认证等情况,不能持此临时身份证办理相关业务。需要客户持有效的二代身份证通过二代证读取器读取后才能够办理相关业务。
骗子所持的受害人临时身份证是真实的还是伪造的,是通过什么途径办理的,暂时无法知晓。但是一个不争的事实是,骗子掌握受害者的几乎所有个人信息,包括身份证上的各项信息。而对于骗子和受害人照片不符的问题,移动方面的回应是“临时身份证和本人头像核验,经营业人员比对面部特征,现场没有疑点”。
另外,移动方面还表示,营业厅留下了当时业务办理现场的监控录像,会按照警方要求提供相关证据协助调查。
>>银行客户端
登录密码可用手机找回
在拿到了受害人的手机号之后,骗子又是如何对受害者的银行卡进行操作的呢?记者通过招商银行的手机客户端进行了模拟,发现登录时,如果选择忘记密码,是可以用手机号找回的。此外,还需要知道该银行卡的取款密码,在掌握了银行卡号、取款密码、登录密码和认证手机号后,可以说,这张银行卡就已经变成骗子的了。
总结起来,完成补卡诈骗,需要的前提条件是,骗子需要掌握受害人的身份证信息、银行卡号和取款密码以及手机号码。这些信息是从哪里获取的?目前尚不得而知,但是据之前央视的报道,网上是可以购买到此类用户数据的,而且准确率很高。从这些数据的来源推算,似乎只有银行或者第三方支付机构能够全部掌握。
□防范
警惕手机卡的异常变动
在这一事件中,王先生的种种反应几乎无可挑剔,也正因为这样,最终他的损失并不大。结合王先生的经验以及安全行业人士的分析,遇到此类诈骗我们应该做些什么呢?
首先,一旦发现手机突然莫名其妙收到大量骚扰电话和短信,一定要提高警惕,要想到电信诈骗的可能,最好第一时间把与手机号关联的银行卡内的钱转给其他账户或者可以信任的家人、朋友;第二,尽快到电信运营商处办理一张新卡,将银行卡、支付宝、微信等解除与旧手机号的绑定,重新绑定在新卡上;第三,如果发现自己的手机突然无法上网也无法接打电话,就很有可能遭遇了被盗补,要第一时间将银行账户冻结,避免损失;第四,为了日常的资金安全,最好不要在与手机号关联的银行卡中存放太多现金,而资金较多的银行卡最好不要开通手机银行、网上银行等功能。
□记者手记
讨论责任非当务之急
从事电信行业报道多年,记者接触过形形色色为数众多的电信诈骗案例,但从来没有像现在这样感到震惊和担心。以往的电信诈骗,只要保持足够警惕性、不轻信他人、不贪图小便宜,我们是有能力保证自己不受骗的,但现在的补卡诈骗则完全不同。遇到这样的诈骗,我们可能根本什么都没有做,就发现自己的钱已经没有了;甚至像王先生一样,已经察觉到了诈骗的可能,采取了一切自己能做的防范手段,但还是无法阻止骗子得手。一位电信运营商内部员工私下表示,他同样担心遇到电信诈骗,已经为自己办理了支付宝保险。
真的是骗子太厉害,让所有人都防不胜防吗?事实上,通过对骗术复盘,也可以看出骗子所利用的一些漏洞,如银行将支付验证的重点放在了手机验证上,也让手机号码一旦丢失,银行账户就有裸奔的危险;电信运营商在补卡业务上也存在审核不严的弊端。如果这些漏洞能够从制度源头被封堵,那是可以堵死骗子的行骗之路的。
记者曾向电信运营商建议,应该对补卡业务流程做更严格的管控,特别是眼下应该暂停临时身份证补卡。有电信运营商内部人士在和记者交流时称,补卡业务满足了一些用户的需求,临时身份证的补卡也确有存在的必要(比如手机、钱包同时丢失的人)。而对于治理电信诈骗,不少运营商人士都坚持认为,银行对用户信息保护不严才是根源,手机只是一种通信工具,运营商在此事上不应该承担主要责任。
诚然,解决电信诈骗,还要从银行支付验证的方式上入手,但一个不容忽视的事实是,补卡诈骗已严重威胁到了每一个人的财产安全。在事关无数用户财产安全的紧迫危机面前,讨论谁的责任更大绝非当务之急,只要有能力做一些补救措施的都应该主动挺身而出。暂停临时身份证补卡业务,并非良策,但在根本解决方案出台前,作为用户,我们需要看到有人先筑起一道防线.