手機放在家裡,
銀行卡和身份證也在身上,
沒掃二維碼,也沒點鏈接,
一夜間卻收到上百條扣款短信。
卡在機在人在!
錢沒了!!!
這究竟是怎麼回事呢?
1
7月28日,武漢徐東
女子8張卡中5萬餘元不翼而飛
事情雖然過去了半個多月,但至今回想起來,武漢市民張女士仍然惴惴不安。
7月28日早晨,家住武昌徐東的張女士醒來,她拿起手機,發現竟然有99條未讀短信。經查看,這些短信有的是驗證碼,由翼支付、環迅支付、暢捷支付等平臺發來;有的是扣款短信,涉及張女士在4家銀行的8張銀行卡,共產生了27筆交易。此外,她的名下還莫名產生了一筆1萬元的網絡貸款,而且也被轉走。初步統計,張女士一夜之間損失了5萬多元。
張女士收到的被盜刷信息 記者劉中燦攝
慌亂不已的張女士,來不及多想,逐一撥打銀行客服和網貸平臺的電話,掛失賬號、反映問題,並向警方報案。期間,她的手機信號很不穩定,明顯不如平時,通話中斷了七八次。當晚,她無法入睡,一直看著手機,想不通到底發生了什麼,生怕再收到提醒短信。此後幾天,她冒著酷暑,多次跑銀行、派出所,心力交瘁。
經過申訴,翼支付退還了張女士被盜刷的1000元;另一支付平臺認定她當時的交易屬於盜刷,賠付了3.4萬元;一家互聯網金融支付公司向她賠付了1萬元貸款。
2
7月30日,深圳龍崗
網友一覺醒來發現自己一無所有
一系列盜刷事件引發全國關注,源於一個《這下一無所有了》的網帖。
近日,深圳市龍崗區豆瓣網友“獨釣寒江雪”發帖說:“7月30日凌晨5點被尿憋醒,發現手機一直在震,一看,接收了100多條驗證碼,幾個支付平臺和銀行的付款信息都有。嚇得一下子清醒,去看支付平臺和關聯銀行卡的錢,都被轉走了。甚至還開通了借款功能,借走1萬多。”
最初,這一事件被各方判定是這位用戶自己的行為。因為從當日凌晨1時42分開始,包括登錄支付賬戶、綁定銀行卡、網上購物等一系列操作中,需要用到用戶姓名、短信驗證碼、用戶名下銀行卡號、身份證號、手機號。如此多的安全檢驗程序,操作者均一次驗證通過。操作者修改了支付密碼後,將多筆款項轉到了用戶名下的銀行卡中。
事件發生後,一家支付平臺表示,從用戶權益保障出發,在未確認被盜事實成立的情況下,保險尚無法理賠,支付平臺將先行全額補償用戶在平臺上的損失,然後全力配合警方調查。另一支付平臺也表示,已設立專門的盜刷案件處理通道,並會對被確認盜刷的用戶賬戶進行先行賠付,免除用戶的還款責任。
3
8月1日,深圳龍崗
銀行卡和身份證在身上但錢沒了
河南周口的王女士,也有同樣的經歷。7月20日,王女士一家三口去深圳旅遊,幾天後她和老公去了越南,女兒留在深圳龍崗實習。出發前,王女士將自己的一個手機卡裝在女兒的手機上,方便接聽國內的重要電話。
8月1日,王女士得到一個匪夷所思的消息:女兒一覺醒來,看到手機收到上百條短信驗證碼,銀行卡被盜刷。“身份證和銀行卡都在我的身上,怎麼會被盜刷呢?”王女士說。她偶爾網購,但從未註冊過某知名電商的賬戶,但此次卻收到該電商支付平臺的大量短信驗證碼,共產生1.46萬元消費,還申請了1000元貸款並被轉走,還有一張銀行卡中的720元餘額也不知去向。
當天,翼支付客服人員致電王女士,稱發現她的賬戶凌晨註冊並綁定銀行卡後,轉賬存在異常,系統已主動攔截2.1萬元的轉賬交易,待核實清楚後,會將這筆錢退還王女士。
8月8日,王女士回到深圳。去派出所報案時,她一小時內就看到四五個人前來反映類似遭遇,被盜刷金額從數千元到上萬元不等。
銀行卡離奇被盜刷,
究竟是如何發生的?
原來,
他們遭遇了短信嗅探,
所以資金被盜刷。
在國內,類似事件近期時有發生。
最新進展
全國多地破獲短信嗅探盜刷案
深圳警方告訴王女士,短信嗅探盜刷是一種新型作案方式,當地接到多起類似警情。經過抽調精兵強將串並偵查,警方一週內抓獲9名犯罪嫌疑人,並繳獲了作案設備。偵查發現,武漢的張女士出現在受害人名單中,犯罪嫌疑人盜取張女士賬戶後,購買了Q幣、加油卡等物。
記者搜索公開報道發現,短信嗅探盜刷案件,已在國內多地發生,情形與上述案件相似。有的受害人除了賬戶資金損失,網上銀行APP登錄賬號、密碼等也被更改,損失十分慘重。
6月26日凌晨
鄭州警方接到報案,楊女士在睡夢中被手機鈴聲吵醒,她發現賬戶中1萬多元被盜刷。接著,另一位女士也報警反映遇到同樣的情況,兩人距離很近。7月3日,警方抓獲一名利用2G短信嗅探設備竊取通信基站短信,進而對該基站覆蓋範圍的手機用戶銀行卡進行盜刷的犯罪嫌疑人,並繳獲作案設備。
7月26日
廣州警方破獲一個短信嗅探盜刷作案團伙,抓獲三名犯罪嫌疑人。該團伙通過劫持GSM手機短信信息,用短信嗅探技術對受害人銀行卡實施盜刷,自6月以來,先後作案16起。
8月1日至2日
廈門警方接到三名受害人報案,稱早晨起床後,發現手機收到多個驗證碼,銀行卡中資金莫名消失。經偵查,警方很快確定犯罪嫌疑人身份,於8月3日抓獲準備潛逃的犯罪嫌疑人林某,同時繳獲9部手機、10張銀行卡、2套短信嗅探設備及U盾等一批作案工具。
警方繳獲的作案設備“終結詐騙”公眾號供圖
在沒有受害人身份證、銀行卡的情況下,犯罪嫌疑人是如何利用短信嗅探技術實施盜刷的呢?
民警介紹,嫌疑人通過“GSM劫持+短信嗅探技術”,可實時獲取受害人的手機短信內容,進而利用各大知名銀行、網站、移動支付APP存在的技術漏洞和缺陷,實現信息竊取、資金盜刷和網絡犯罪等犯罪。
那麼,如何防範這種新型犯罪?楚天都市報記者採訪了相關專家和業內人士。
案件揭秘
短信嗅探盜刷案大多發生在凌晨
國內網絡安全界知名的“黑客鍊金術士”鄒曉東(Seeker)介紹,通常情況下,要想在沒有銀行卡、身份證的情況下實施盜刷,需要知道受害人的手機號、姓名、身份證號、銀行卡號和驗證碼。
在目前的技術條件下,通過四步即可達到目的:
一,利用GSM技術的單向鑑權體系漏洞,通過偽基站自動搜索附近(一般是周邊幾百米內)的潛在手機號碼;
二,通過查詢地下出售的個人隱私數據,或登錄第三方支付平臺、網上銀行等,碰撞查詢到目標手機號碼對應的身份證號碼、銀行卡號等;
三,通過短信嗅探設備,嗅探目標手機號碼收到的驗證碼及運營商、銀行所發短信;
四,在網上銀行或者移動支付平臺,通過驗證碼登錄、修改賬戶信息,進行賬戶支付、借貸等資金流轉操作,如綁定銀行卡、申請網絡貸款、打白條等,實施盜刷和信用卡犯罪等犯罪行為。
鄒曉東進一步解釋,這種犯罪手法主要針對2G手機的GSM信號,因此犯罪分子常常會干擾附近的基站通信,使手機信號從4G降級到2G,然後通過嗅探設備竊取手機短信等信息。由於嗅探設備只能嗅探但不能攔截短信,因此犯罪分子通常會選擇在深夜作案,這時受害人大多在酣然入睡,不會注意到短信異常。
專家建議
金融機構通訊及驗證系統應升級
盜刷案件的發生,與系統漏洞有著直接的關係。鄒曉東告訴記者,2011年,手機通信的GSM協議就遭到破解,有多種方式可以獲取用戶的短信驗證碼,只是這些技術一直沒有被犯罪分子所掌握。最近的案例表明,部分犯罪分子已經掌握其中一種技術。
鄒曉東認為,連續發生的短信驗證碼攻擊事件,可能是攻擊工具產業化的標誌。利用手機短信驗證用戶身份,已無法保證用戶信息和資金安全,金融機構需要儘快改進,選擇安全性更高的身份認證方式。同時,用戶也不必過於擔心,因為使用偽基站和短信嗅探,必須接近受害人,而警方很容易利用監控錄像排查定位犯罪分子。隨著公安機關快速破案,這種犯罪會越來越少。
鄒曉東介紹,2016年6月,央行明確規定:各商業銀行、支付機構、卡清算機構,要加強對支付敏感信息的內控管理和安全防護工作;各商業銀行基於銀行卡與支付機構、商業機構建立關聯業務時,應嚴格採用多因素身份認證方式,直接鑑別客戶身份,並取得客戶授權;身份鑑別應使用數字證書、交易密碼、動態令牌設備等方式至少組合兩種認證;針對批量或高頻登錄等異常行為,應利用IP地址、終端設備標識信息、瀏覽器緩存信息等進行綜合識別,及時採取附加驗證、拒絕請求等手段。
如何防範
增加支付登錄關卡降低被盜風險
記者瞭解到,要滿足盜刷需要的所有條件,不是一件容易的事。深圳警方抓獲的一名犯罪嫌疑人供述,他一個晚上雖然能嗅探到很多手機短信、捕獲到很多手機號碼,但盜刷成功的並不多。原因是很多金融公司風控很嚴,即使盜刷,單筆金額也不大。
武漢極意網絡科技有限公司網絡工程師許偉告訴記者,黑色產業者的攻擊方式很多,但最終的關鍵還是要獲取受害人的身份證號、銀行卡號、手機號碼等。缺少其中一環,他們都不可能成功。
對於消費者來說,為了防止個人財產被盜,需要保護好敏感的私人信息。同時,微信、支付寶、京東等個人賬號,可以通過定期修改登錄密碼,或增加登錄和支付“關卡”來降低被盜風險。銀行、高校等單位,應該保護好消費者、學生群體的身份證、銀行卡等信息不被洩露,還要不斷完善平臺的風控體系建設,優化風控策略方案。只有安全意識增強了,犯罪分子鑽空子的機會才會越來越小。
許偉表示,目前傳統的驗證方式,有短信驗證、字符驗證等。短信驗證步驟繁雜,容易被盜取;而一些字符驗證碼越來越扭曲,體驗感差,也容易被一些圖像識別技術識別。驗證碼未來的發展趨勢,應該在充分保證安全性的基礎上,做到零打擾、無感化。
大額資金賬戶
建議不要開通網銀
湖北銀行業糾紛調解中心主任宋心鵬介紹,利用短信嗅探獲取銀行客戶信息,進而盜取資金,在技術上有一定難度,在侵害對象上具有隨機性。目前,該中心尚未接到類似投訴舉報,但是中心已經關注到這類案件的動向。公眾對此既要高度警惕,又不必過於恐慌。
宋心鵬建議,用戶要加強防範意識,做到以下幾點:
一、保護好個人手機號、身份證號、銀行卡號、支付平臺賬號等私人敏感信息。
二、存有大額資金的個人銀行賬戶,建議不要開通網銀功能。網上支付賬戶應設置支付限額,支付密碼與取款密碼要有區別。
三、對不明來歷的短信、微信、驗證碼鏈接,不點、不收、不回覆。對自行發起的轉賬和支付短信,一定要分辨清楚。
四、睡覺前,可將手機關機或設置為飛行模式,防止被短信嗅探設備探測。
五、如賬戶遭遇攻擊,應立即查看自己的銀行卡和支付應用,一旦確認資金被盜刷,要立即凍結相關賬戶並報警。
閱讀更多 江都檢察 的文章
