付亮

不用身份證、不用銀行卡，甚至連真實姓名都不用知道，錢就這樣不翼而飛。一種電信詐騙的新套路出現(xiàn)，千萬小心！

今年2月的一天，深圳的何先生夜間發(fā)現(xiàn)自己的手機被鎖死，同時，他在某購物平臺的賬戶遭陌生人盜刷，犯罪分子使用白條消費和申請貸款，一夜間洗劫了5萬多元。

原來，何先生的手機曾被犯罪分子添加為副號，當(dāng)副號不能正常使用，所有短信都會被主號接收。犯罪分子在此期間竊走了短信驗證碼，進而作案。

副號是什么東西？副號是由運營商提供的“一卡多號”業(yè)務(wù)，在不換手機、不換卡的情況下，用戶可以增加最多3個真實手機作為副號。副號與主號雙待雙通，能根據(jù)需要任意選擇主號或副號撥打、接聽電話、收發(fā)短信。

當(dāng)事各方調(diào)查回應(yīng)

不用身份證、不用銀行卡，甚至連真實姓名都不用知道，錢就這樣不翼而飛了。針對此次事件，當(dāng)事各方進行了調(diào)查，迅速作出回應(yīng)。

通信服務(wù)及副號提供方：中國移動發(fā)布《關(guān)于客戶何先生賬戶遭遇互聯(lián)網(wǎng)盜刷的情況說明》，稱經(jīng)調(diào)查，犯罪嫌疑人具體作案手法如下：

1.破解用戶某品牌智能手機云服務(wù)平臺賬號信息。

犯罪嫌疑人利用已經(jīng)掌握的何先生個人信息，頻繁嘗試破解其使用的某品牌智能手機云服務(wù)賬號，最終成功登陸，實現(xiàn)對手機的遠程操控。

2.利用已被攻破的某品牌智能手機云服務(wù)平臺“回復(fù)短信”接口，完成主副卡綁定。

犯罪嫌疑人用自己的手機號作為主號，向何先生的手機號發(fā)出綁定副號申請。因綁定副號需要機主二次確認，犯罪嫌疑人利用已攻破的某手機云服務(wù)平臺中的“回復(fù)短信”接口，在機主不知情的情況下，完成主副卡綁定。

3.在某品牌智能手機云服務(wù)平臺發(fā)起強制關(guān)機指令，接收相關(guān)驗證碼，完成“盜刷”操作。

犯罪嫌疑人通過某品牌智能手機云服務(wù)的“找手機—銷毀資料”功能，頻繁發(fā)起“銷毀資料”指令，強制讓何先生的手機處于關(guān)機狀態(tài)。期間利用接收到的短信驗證碼，入侵其網(wǎng)絡(luò)網(wǎng)購平臺賬號用白條消費，再發(fā)起互聯(lián)網(wǎng)貸款，將相關(guān)錢款通過何先生的銀行卡轉(zhuǎn)賬到犯罪嫌疑人賬戶中。

中國移動認為，此次案件中，何先生的銀行卡號、取款密碼、預(yù)留手機號、身份證號已通過其他途徑泄露并被犯罪嫌疑人掌握，借助這些信息，犯罪嫌疑人攻破其智能手機云服務(wù)平臺賬號，利用平臺提供的“短信回復(fù)”接口完成了主副卡綁定，完成錢款竊取。

手機和云服務(wù)廠商：360發(fā)布了《關(guān)于深圳用戶遭盜號攻擊的調(diào)查公告》，公告中披露了何先生賬戶被盜的過程，與中國移動調(diào)查發(fā)現(xiàn)的作案手法情況相符。

360認為，種種跡象表明，這是一種由團伙作案、分工嚴密的新型詐騙手段。360OS云服務(wù)“找手機—銷毀資料”是為了防止用戶手機丟失導(dǎo)致隱私泄漏，卻由于對用戶身份驗證機制不夠完善，導(dǎo)致何先生的短信驗證碼被他人獲取，360對此深表歉意，并已對何先生先行賠付53000元。

目前360OS云服務(wù)已在遠程管理功能中關(guān)閉“回復(fù)短信”接口，消除此類風(fēng)險隱患。360在公告中稱：“進一步采取這幾個措施，更全面地保障手機云服務(wù)安全：第一，加強對弱密碼和異常登陸情況的檢測與風(fēng)險控制；第二，對云服務(wù)遠程管理手機的重要功能開啟密保問題或短信驗證碼的二次驗證；第三，經(jīng)過對異常登陸情況的排查，我們發(fā)現(xiàn)107名存在被盜號風(fēng)險的360OS用戶，對這些高風(fēng)險用戶已凍結(jié)賬號，并短信通知修改密碼?！?/p>

網(wǎng)絡(luò)購物平臺：京東金融安全專家認為，此案件屬跨平臺作案，涉及到運營商、手機云服務(wù)商、銀行、第三方支付平臺、消費金融服務(wù)方，行業(yè)需要聯(lián)防聯(lián)控，筑高防護壁壘。

針對此類新型電信詐騙案件，安全專家提醒用戶：

1.盡量不要去注冊小型不安全的網(wǎng)站，避免個人信息被盜用。

2.在不同的互聯(lián)網(wǎng)平臺盡量使用不同的登錄密碼和支付密碼，避免使用出生年月或者比較簡單的數(shù)字排列作為賬戶密碼；在公共場合不要輕易連接免費WiFi，不要點擊不明來路的短信鏈接，以免被木馬病毒入侵。

3.保護好自己的手機號，用戶手機號所屬的運營商也是“黑產(chǎn)”的活躍點，運營商服務(wù)密碼一定要牢記，不要透露給別人。

4.如果手機出現(xiàn)無故停機狀況，建議用戶第一時間聯(lián)系運營商；切莫忽視手機異常，謹防手機號被不法分子控制。

5.若用戶發(fā)現(xiàn)網(wǎng)購平臺賬戶異常，請及時報警，并第一時間撥打平臺客服熱線反饋問題。

6.購買賬戶安全險很有必要，在盜刷事件頻發(fā)的當(dāng)下，用戶購買一份賬戶安全險不失為一個好的選擇。

亡羊補牢猶未為晚

從此次案件可以看出，犯罪手法有四步。第一步，買料。犯罪分子在網(wǎng)上購買“四大件”，也就是姓名、身份證號、銀行卡號和預(yù)留手機號。第二步，釣魚。犯罪分子廣撒網(wǎng)，向信息已泄露的用戶發(fā)起綁定副號的業(yè)務(wù)申請。一旦你誤回復(fù)了，就成了作案對象。第三步，強迫關(guān)機。犯罪分子利用短信轟炸強迫目標把手機關(guān)機，或是利用手機云服務(wù)對手機進行遠程操作。副號關(guān)機了，主號接管短信。第四步，洗劫。利用主號收到的短信驗證碼，犯罪分子對手機號碼綁定的網(wǎng)購賬戶進行洗劫。

再來看看當(dāng)事三方的說明和做法：360承認問題，先行賠付，多項內(nèi)部改進；中國移動分析問題，明確責(zé)任，并積極表態(tài)；京東提醒用戶注意，并給出建議多條，尤其是建議用戶“購買賬戶安全險”。

對此次事件，我認為，對于網(wǎng)絡(luò)購物平臺而言，通過姓名、身份證號、銀行卡號、預(yù)留手機號和手機驗證碼，就可取走巨額資產(chǎn)，這本不應(yīng)該發(fā)生。無論是直接取現(xiàn)還是通過白條之類的工具消費，行為中已有多處明顯異常，但平臺沒有發(fā)現(xiàn)。

對于用戶而言，360云服務(wù)密碼設(shè)置較弱，才導(dǎo)致被騙子反復(fù)試驗盜走。

對于360而言，利用360提供的服務(wù)不僅可獲取用戶大量的信息，而且可遠程干擾手機正常使用，結(jié)果導(dǎo)致手機號被置為副號并盜走驗證碼。

對于中國移動而言，副號申請流程是否可以更嚴謹？和多號在打通親情號和一卡雙號業(yè)務(wù)時，是否在某些場景可以做得更嚴謹一些？

最后想說的是，何先生獲得了先行賠付，個人沒有損失。此案中大量付款行為是通過網(wǎng)購形成，有詳細的物流記錄，公安機關(guān)定會偵破。但事件不應(yīng)該就此結(jié)束，應(yīng)該繼續(xù)追問一下：

該案中，手機號的驗證碼成為盜取巨額資金的關(guān)鍵。驗證碼加上姓名、銀行卡號、身份證號和預(yù)留手機號，就可以盜走用戶的巨額資金，這合理嗎？像姓名、身份證號、手機號這基本上都是公開信息，獲得并不難；銀行卡號也只能算半公開信息。而通過這四個公開或半公開的信息，加上隨機發(fā)送且短時間內(nèi)有效的手機號驗證碼，就可以修改網(wǎng)銀支付密碼，通過ATM機取現(xiàn)，通過網(wǎng)銀快捷支付付款。打個比如說，如果丟了5百塊的手機，也許銀行卡里五萬元就沒了，這不值得深思嗎？