新華網 正文
收到兩條短信後 上海白領存款一夜蒸發
2017-01-11 17:02:23 來源: 羊城晚報
分享至手機
微博
Qzone
評論
圖集

  不打電話不釣魚,全新電信詐騙手法已經出現

  丁小姐半夜收到的短信

  上海年輕白領丁小姐早上7點起床,看見手機上有兩條來自銀行和手機運營商的短信,發送時間分別是淩晨3時43分和4時12分。

  起初她以為是發錯了並沒有在意,保險起見丁小姐查了一下自己的賬戶,發現自己10萬多元的余額在一夜間歸零。

  陳先生是國企高管,他也在一夜間被轉走了28萬元。

  兩人都表示,自己平時特別注意用卡安全,卡從不離身,密碼也從未泄露,轉賬都用U盾,上網也都是專業版的網銀。那麼卡裏的錢怎麼會憑空消失呢?

  簡單粗暴的“撞庫”

  丁小姐的噩夢並沒有完。在余額被盜之後,她還遭遇了信用卡被盜刷,甚至“被申請”了7萬元的浦發銀行萬用金貸款,而這些債務,自然都算到了丁小姐的頭上。

  記者在一年多的跟蹤採訪和調查之後,終于搞懂了這種手法更隱蔽、危害性也更大的全新騙術——

  犯罪分子找來一些黑客編寫程序,用批量生成的電話號碼去掃各類網站,把電話號碼所對應的登錄密碼掃出來。這在業界被稱為“撞(數據)庫”。這種簡單粗暴的方法,直接得到了用戶最關鍵的登錄信息,相當于偷取了用戶的網絡身份。撞庫的速度也很快,每分鐘就能跑1000個,成功率在50%以上。

  利用撞庫攻破密碼登錄了網銀之後,要想轉賬,繞不過的還有一步——隨機驗證碼。現在的金融機構採取的都是雙因子認證,也就是説有兩把鑰匙,其中一把鑰匙是用戶自行設置的密碼,這是只有用戶自己知道的;第二把鑰匙是銀行隨機發送到用戶手機的驗證碼,這是用戶和銀行事先都不知道的。只有這兩把鑰匙同時開鎖,才能順利使用轉賬等金融業務。

  要拿到驗證碼,自然需要再攻破你的手機,讀到你的短信。于是犯罪分子登錄用戶的手機營業廳,開通短信過濾和短信保管,以此讀到用戶短信。這也就是為什麼丁小姐深夜收到了那兩條通知短信。

  全新作案手法:“換卡”

  在警方的提醒下,運營商發現安全漏洞,關閉了相關的短信過濾和保管功能。原本以為,犯罪分子這下可以偃旗息鼓了,但誰料到他們又“開發”了全新的作案手法:換卡。

  犯罪分子攻破了受害人的網上營業廳之後,以受害人的“名義”申請了4G換卡業務。

  運營商一般默認登錄人就是持卡人本人,再加上隨機動態碼的驗證,因而跳過更多身份驗證的環節直接就可以把卡快遞到指定的地址。新卡在持卡人毫不知情的情況下,被寄到了不法分子的手上。而當新卡一旦被激活,真正的持卡人手上的這張卡就自動失效了。

  3.2億條信息被攻破

  採訪中記者得知,此次警方從犯罪分子手中截獲的已被破解的用戶信息有3.2億條。如果按照我國平均每人擁有一個手機號碼來算,3.2億條信息,意味著每四個人當中就有一個人的信息已經被泄露或者被攻破。

  好在上海黃浦警方及時破案,阻止了這批數據的進一步泄露,否則後果不堪設想。警方從海南將本案的四名犯罪嫌疑人帶到上海。據説抓捕的時候,有人還在“撞庫”呢。

  【防范提示】

  各網站密碼 不要相同

  面對日益嚴峻的信息泄露形勢,我們自己能做什麼?警方建議:

  1、保證密碼足夠復雜,並妥善保管,防止泄露;

  2、各網站密碼不要相同;

  3、一旦發現手機不能用,立即將銀行卡挂失;

  4、設置轉賬限額,調低信用卡額度。

+1
【糾錯】 責任編輯: 唐斕
相關新聞
新聞評論
    江西南城一水庫發現摩崖造像 “佛頭”遺跡浮出水面
    江西南城一水庫發現摩崖造像 “佛頭”遺跡浮出水面
    礦再出發——王宇琦的24小時書吧
    礦再出發——王宇琦的24小時書吧
    葡萄牙為前總統蘇亞雷斯舉行國葬
    葡萄牙為前總統蘇亞雷斯舉行國葬
    公交女車長元旦開車 兒子給乘客們發禮物
    公交女車長元旦開車 兒子給乘客們發禮物
    010030090900000000000000011101061120291392