隔空取物,聽上去是小說里才會有的高級“武功”,事實上卻真實地發生在我們身邊。這一次被犯罪分子盯上的,是銀行卡里的幾十萬存款。
這兩個都是真實的故事。
深夜短信:所有存款一夜蒸發
年輕白領丁小姐,在上海新天地附近一家外企上班,早上七點起床,她看見手機上有兩條來自銀行和手機運營商的短信,發送時間分別是凌晨3:43和4:12。
起初她以為是發錯了并沒有在意,但涉及到銀行,保險起見丁小姐還是查了一下自己的賬戶,誰知道,10萬多元的余額在一夜間歸零。
陳先生是國企高管,他也在一夜間被轉走了28萬。這里面1萬是工資,還有27萬是剛剛到期的理財。
兩人都告訴看看新聞Knews記者,自己平時特別注意用卡安全,卡從不離身,密碼也從未泄露,轉賬都用U盾,上網也都是專業版的網銀。那么卡里的錢怎么會憑空消失的呢?
揭秘騙局:兩條短信兩次“淪陷”
丁小姐的噩夢并沒有完。在余額被盜之后,她還遭遇了信用卡被盜刷,甚至“被申請”了7萬元的浦發銀行萬用金貸款,而這些債務,自然都算到了丁小姐的頭上。
所有的這一切都是從凌晨收到的那兩條蹊蹺的短信開始的。看看新聞Knews記者在一年多的跟蹤采訪和調查之后,終于搞懂了這種手法更隱蔽,危害性也更大的全新騙術。
第一條來自銀行的短信表明,犯罪分子已經登錄了丁小姐的銀行賬戶。那么銀行賬戶是怎么被攻破的呢?
犯罪分子找來一些黑客,自己寫了軟件來掃各類網站,用批量生成的電話號碼進去掃,把電話號碼所對應的登錄密碼掃出來。這在業界被稱為“撞庫”。這種簡單粗暴的方法,直接得到了用戶最關鍵的登錄信息,相當于偷取了用戶的網絡身份。
撞(數據)庫的速度也很快,每分鐘就能跑1000個,而據民警透露,成功率在50%以上。
利用撞庫攻破密碼登陸了網銀之后,要想轉賬,繞不過的還有一步——隨機驗證碼。
要拿到驗證碼,自然需要再攻破你的手機,讀到你的短信。到這個地步,你以為你的手機賬戶還是安全的嗎?別傻了。
登錄了你的手機營業廳之后,犯罪分子一般會做這樣幾件事情:開通短信過濾和短信保管。
自助換卡:輕易獲取第二把鑰匙
在警方的提醒下,運營商發現安全漏洞,關閉了相關的短信過濾和保管功能。原本以為,犯罪分子這下可以偃旗息鼓了,但誰料到他們又“開發”了全新的作案手法:換卡。
犯罪分子攻破了受害人的網上營業廳之后,以受害人的“名義”申請了4G換卡業務。
犯罪分子利用受害者的手機號和密碼登錄營業廳,申請升級手機SIM卡,而運營商一般默認登錄人就是持卡人本人,再加上隨機動態碼的驗證,因而跳過更多身份驗證的環節直接就可以把卡快遞到指定的地址。這原本是便民的服務,但殊不知,此時持卡人的登錄密碼已經被攻破,驗證碼和短信通知也已經被攔截,所以新卡在持卡人毫不知情的情況下,被寄到了不法分子的手上。而當新卡一旦被激活,真正的持卡人手上的這張卡就自動失效了。
不寒而栗:3.2億條信息被攻破
采訪中看看新聞Knews記者得知,此次警方從犯罪分子手中截獲的已被破解的用戶信息有3.2億條。如果按照我國平均每人擁有一個手機號碼來算,3.2億條信息,意味著每四個人當中就有一個人的信息已經被泄露或者被攻破,這個數字讓人不寒而栗。好在黃浦警方及時破案,阻止了這批數據泄露,否則后果不堪設想。
警方從海南將本案的四名犯罪嫌疑人帶回上海。據說抓捕的時候,有人還在“撞庫”呢。記者采訪的時候,這些人竟然還在矢口否認,不知道,忘記了,是他們最常的說辭。但抓捕時的人贓并獲,以及從家里搜出來的眾多作案工具,又豈容他們抵賴?
日前,本案的四名犯罪嫌疑人分別因犯“侵犯公民信息罪”和“信用卡詐騙罪”,被黃浦區人民法院判處有期徒刑4-16年。
防范提示:用戶、運營商、銀行都需小心
(敲黑板!!!)
看看新聞Knews記者總結了一些防范提示,希望大家的“辛苦錢”都不被賊惦記——
對于用戶來說——
1、保證密碼足夠復雜,并妥善保管,防止泄漏;
2、各網站密碼不要相同;
3、一旦發現手機不能用,立即將銀行卡掛失;
4、設置轉賬限額,調低信用卡額度。
對于運營商來說——
1、換卡等重要功能必須加強用戶身份驗證;
2、關閉短信過濾、短信保管等不必要的增值服務,不給犯罪分子可乘之機。
對于銀行來說——
1、不能把身份驗證的責任轉嫁給手機運營商。建議加強推廣U盾、密碼器等安全措施;
2、發放貸款時,必須與持卡人本人確認。
