付亮
不用身份證、不用銀行卡,甚至連真實姓名都不用知道,錢就這樣不翼而飛。一種電信詐騙的新套路出現(xiàn),千萬小心!
今年2月的一天,深圳的何先生夜間發(fā)現(xiàn)自己的手機被鎖死,同時,他在某購物平臺的賬戶遭陌生人盜刷,犯罪分子使用白條消費和申請貸款,一夜間洗劫了5萬多元。
原來,何先生的手機曾被犯罪分子添加為副號,當副號不能正常使用,所有短信都會被主號接收。犯罪分子在此期間竊走了短信驗證碼,進而作案。
副號是什么東西?副號是由運營商提供的“一卡多號”業(yè)務(wù),在不換手機、不換卡的情況下,用戶可以增加最多3個真實手機作為副號。副號與主號雙待雙通,能根據(jù)需要任意選擇主號或副號撥打、接聽電話、收發(fā)短信。
當事各方調(diào)查回應(yīng)
不用身份證、不用銀行卡,甚至連真實姓名都不用知道,錢就這樣不翼而飛了。針對此次事件,當事各方進行了調(diào)查,迅速作出回應(yīng)。
通信服務(wù)及副號提供方:中國移動發(fā)布《關(guān)于客戶何先生賬戶遭遇互聯(lián)網(wǎng)盜刷的情況說明》,稱經(jīng)調(diào)查,犯罪嫌疑人具體作案手法如下:
1.破解用戶某品牌智能手機云服務(wù)平臺賬號信息。
犯罪嫌疑人利用已經(jīng)掌握的何先生個人信息,頻繁嘗試破解其使用的某品牌智能手機云服務(wù)賬號,最終成功登陸,實現(xiàn)對手機的遠程操控。
2.利用已被攻破的某品牌智能手機云服務(wù)平臺“回復短信”接口,完成主副卡綁定。
犯罪嫌疑人用自己的手機號作為主號,向何先生的手機號發(fā)出綁定副號申請。因綁定副號需要機主二次確認,犯罪嫌疑人利用已攻破的某手機云服務(wù)平臺中的“回復短信”接口,在機主不知情的情況下,完成主副卡綁定。
3.在某品牌智能手機云服務(wù)平臺發(fā)起強制關(guān)機指令,接收相關(guān)驗證碼,完成“盜刷”操作。
犯罪嫌疑人通過某品牌智能手機云服務(wù)的“找手機—銷毀資料”功能,頻繁發(fā)起“銷毀資料”指令,強制讓何先生的手機處于關(guān)機狀態(tài)。期間利用接收到的短信驗證碼,入侵其網(wǎng)絡(luò)網(wǎng)購平臺賬號用白條消費,再發(fā)起互聯(lián)網(wǎng)貸款,將相關(guān)錢款通過何先生的銀行卡轉(zhuǎn)賬到犯罪嫌疑人賬戶中。
中國移動認為,此次案件中,何先生的銀行卡號、取款密碼、預(yù)留手機號、身份證號已通過其他途徑泄露并被犯罪嫌疑人掌握,借助這些信息,犯罪嫌疑人攻破其智能手機云服務(wù)平臺賬號,利用平臺提供的“短信回復”接口完成了主副卡綁定,完成錢款竊取。
手機和云服務(wù)廠商:360發(fā)布了《關(guān)于深圳用戶遭盜號攻擊的調(diào)查公告》,公告中披露了何先生賬戶被盜的過程,與中國移動調(diào)查發(fā)現(xiàn)的作案手法情況相符。
360認為,種種跡象表明,這是一種由團伙作案、分工嚴密的新型詐騙手段。360OS云服務(wù)“找手機—銷毀資料”是為了防止用戶手機丟失導致隱私泄漏,卻由于對用戶身份驗證機制不夠完善,導致何先生的短信驗證碼被他人獲取,360對此深表歉意,并已對何先生先行賠付53000元。
目前360OS云服務(wù)已在遠程管理功能中關(guān)閉“回復短信”接口,消除此類風險隱患。360在公告中稱:“進一步采取這幾個措施,更全面地保障手機云服務(wù)安全:第一,加強對弱密碼和異常登陸情況的檢測與風險控制;第二,對云服務(wù)遠程管理手機的重要功能開啟密保問題或短信驗證碼的二次驗證;第三,經(jīng)過對異常登陸情況的排查,我們發(fā)現(xiàn)107名存在被盜號風險的360OS用戶,對這些高風險用戶已凍結(jié)賬號,并短信通知修改密碼?!?/p>
網(wǎng)絡(luò)購物平臺:京東金融安全專家認為,此案件屬跨平臺作案,涉及到運營商、手機云服務(wù)商、銀行、第三方支付平臺、消費金融服務(wù)方,行業(yè)需要聯(lián)防聯(lián)控,筑高防護壁壘。
針對此類新型電信詐騙案件,安全專家提醒用戶:
1.盡量不要去注冊小型不安全的網(wǎng)站,避免個人信息被盜用。
2.在不同的互聯(lián)網(wǎng)平臺盡量使用不同的登錄密碼和支付密碼,避免使用出生年月或者比較簡單的數(shù)字排列作為賬戶密碼;在公共場合不要輕易連接免費WiFi,不要點擊不明來路的短信鏈接,以免被木馬病毒入侵。
3.保護好自己的手機號,用戶手機號所屬的運營商也是“黑產(chǎn)”的活躍點,運營商服務(wù)密碼一定要牢記,不要透露給別人。
4.如果手機出現(xiàn)無故停機狀況,建議用戶第一時間聯(lián)系運營商;切莫忽視手機異常,謹防手機號被不法分子控制。
5.若用戶發(fā)現(xiàn)網(wǎng)購平臺賬戶異常,請及時報警,并第一時間撥打平臺客服熱線反饋問題。
6.購買賬戶安全險很有必要,在盜刷事件頻發(fā)的當下,用戶購買一份賬戶安全險不失為一個好的選擇。
亡羊補牢猶未為晚
從此次案件可以看出,犯罪手法有四步。第一步,買料。犯罪分子在網(wǎng)上購買“四大件”,也就是姓名、身份證號、銀行卡號和預(yù)留手機號。第二步,釣魚。犯罪分子廣撒網(wǎng),向信息已泄露的用戶發(fā)起綁定副號的業(yè)務(wù)申請。一旦你誤回復了,就成了作案對象。第三步,強迫關(guān)機。犯罪分子利用短信轟炸強迫目標把手機關(guān)機,或是利用手機云服務(wù)對手機進行遠程操作。副號關(guān)機了,主號接管短信。第四步,洗劫。利用主號收到的短信驗證碼,犯罪分子對手機號碼綁定的網(wǎng)購賬戶進行洗劫。
再來看看當事三方的說明和做法:360承認問題,先行賠付,多項內(nèi)部改進;中國移動分析問題,明確責任,并積極表態(tài);京東提醒用戶注意,并給出建議多條,尤其是建議用戶“購買賬戶安全險”。
對此次事件,我認為,對于網(wǎng)絡(luò)購物平臺而言,通過姓名、身份證號、銀行卡號、預(yù)留手機號和手機驗證碼,就可取走巨額資產(chǎn),這本不應(yīng)該發(fā)生。無論是直接取現(xiàn)還是通過白條之類的工具消費,行為中已有多處明顯異常,但平臺沒有發(fā)現(xiàn)。
對于用戶而言,360云服務(wù)密碼設(shè)置較弱,才導致被騙子反復試驗盜走。
對于360而言,利用360提供的服務(wù)不僅可獲取用戶大量的信息,而且可遠程干擾手機正常使用,結(jié)果導致手機號被置為副號并盜走驗證碼。
對于中國移動而言,副號申請流程是否可以更嚴謹?和多號在打通親情號和一卡雙號業(yè)務(wù)時,是否在某些場景可以做得更嚴謹一些?
最后想說的是,何先生獲得了先行賠付,個人沒有損失。此案中大量付款行為是通過網(wǎng)購形成,有詳細的物流記錄,公安機關(guān)定會偵破。但事件不應(yīng)該就此結(jié)束,應(yīng)該繼續(xù)追問一下:
該案中,手機號的驗證碼成為盜取巨額資金的關(guān)鍵。驗證碼加上姓名、銀行卡號、身份證號和預(yù)留手機號,就可以盜走用戶的巨額資金,這合理嗎?像姓名、身份證號、手機號這基本上都是公開信息,獲得并不難;銀行卡號也只能算半公開信息。而通過這四個公開或半公開的信息,加上隨機發(fā)送且短時間內(nèi)有效的手機號驗證碼,就可以修改網(wǎng)銀支付密碼,通過ATM機取現(xiàn),通過網(wǎng)銀快捷支付付款。打個比如說,如果丟了5百塊的手機,也許銀行卡里五萬元就沒了,這不值得深思嗎?