手机收到的验证码不要轻易告知他人
只因回复了一条退订短信却导致支付宝及三张银行卡接连被盗刷,直接经济损失超万元,日前北京的许先生遇到了一件蹊跷的短信诈骗案。
蹊跷之处在于犯罪嫌疑人没有用到木马、病毒甚至是伪基站,只是通过运营商开辟的便民服务和正式消息通道,消费者很难识别。
更让许先生觉得后怕的是,按照警方和相关专家的分析,犯罪嫌疑人很可能早就掌握了他的手机号、银行卡、身份证等关键信息,可以在虚拟空间轻松变成另外一个“许先生”,不受真实世界的人所控制。
诈骗过程
攻破邮箱账号、支付宝账号、银行卡密码等
搞到许先生营业厅登录密码
登录网上营业厅开通增值业务、诱导许先生退订
登录网上营业厅办理4G USIM卡自助换卡业务
利用许先生的139邮箱发送虚假退订短信,获得USIM验证码
换卡成功,许先生的手机号被复制
将支付宝、关联银行
账户里的钱全部转走
一条短信三卡被刷
根据许先生的口述,他在4月8日下午先后收到来源为“1065800”、“10086”的短信,提示机主订阅了某财经杂志的手机报,花费40元/半年,并导致手机欠费。看到短信后,他误以为被运营商摊派业务,像往常一样想到退订,没想到误入了早就设计好的陷阱。
按照事后还原来看,这个手机报是犯罪嫌疑人故意登录许先生的网上营业厅订购的,在订购成功后,犯罪嫌疑人又如法炮制地登录了许先生的139邮箱,通过邮箱发了条免费短信,通知许先生如果想要退订这项服务,需发送“取消+校验码”至本条短信。
这个许多人搞不清楚的“校验码”,成为了整件事的转折点。在看到通知后,许先生很快就收到了来自10086的一条短信,内容为:“尊敬的客户,您的USIM卡6位验证码为××××××”。由于两条短信前后脚到,许先生顺其自然地把6位验证码当成校验码用于退订业务。
谁知道在短信回复半小时后,许先生发现自己的SIM卡已无服务。紧接着,他发现手机支付宝开始将余额宝里的钱转入绑定的招商银行卡。意识到可能遭遇诈骗,为避免更大的损失,许先生将余额宝中剩余的钱转到了工商银行卡中。
但是工行的钱,不久也通过支付宝转入了招商银行卡。见到这种情形,许先生立即解绑支付宝所有关联的银行卡,此时支付宝已发生6笔转账。
同时,他的中国银行、招商银行网银由于密码被篡改无法登录,仅能登录的工商银行网银也显示正在转账,就连许久未用的百度钱包,竟然也被绑定了三张银行卡并转出部分资金。
自助换卡服务变成了大漏洞
若这是短信诈骗,为何仅回复一条短信就上当了?这是许先生不解的地方。事实上,早在他发现SIM卡无服务之前,他的卡已经被人成功“复制”,再加上犯罪嫌疑人知道他的银行卡、身份证等信息,不费吹灰之力就能打开他的网络“钱包”。
这里所说的“复制”,实际上是犯罪嫌疑人在许先生的网上营业厅里激活了“自助换卡”业务,那条显示验证码的10086短信就是向许先生做最后的确认,结果他将这6个数字发给了犯罪嫌疑人,对方拿到后成功办理了业务,导致老卡被迅速停用。
自助换卡业务起源于4G时代,当时运营商为了4G用户高速增长,推出“两不一快”服务,即客户采用不登记、不换号的方式,用4G USIM卡替换原SIM卡。用户回复验证短信即可完成换卡操作。
接下来,犯罪嫌疑人所做的就是启用新的SIM卡,通过自己的手机接收所有许先生的电话、短信信息,配合已经获取的支付宝、银行卡账号、身份证信息开始转移财产。
如今包括银行在内的很多平台都鼓励用户直接用手机号码注册,只要输入验证码就完成了身份的确认。这种设计默认注册用户用自己的号码操作,通常情况下,手机是私人物品,不会随意外接。然而,一旦手机号码被他人掌握,意味着用户对于相关应用控制权的旁落。
比如,许先生百度钱包里有两张卡是事发当天关联的。被问及需要哪些信息才能关联银行时,百度钱包客服回复:“银行卡信息,姓名,身份证号,手机号,验证码。”
这起案件中,犯罪嫌疑人利用了自助换卡这项服务,获得许先生的手机号码,短时间完成了“偷天换日”的工作。
|