本周,一起蹊跷的网银被盗案引起业内高度关注。受害人在地铁莫名其妙地收到几条短信,回复退订验证码之后,自己的手机卡立刻失效。随后,受害人支付宝、银行卡被洗劫一空。
有专家建议,一方面应加强用户重视短信验证码保管的教育宣传,另一方面,运营商中国移动也应该加强换卡业务的漏洞防范。
日前,网友许先生爆料称,他在回家的地铁上收到了一条号码源为1065800的短信,短信内容为某财经杂志的手机报。由于并无阅读该杂志手机报的需求,许先生随手回复了一条含验证码的退订短信,没想到之后手机就没信号了,支付宝和银行卡上的钱也随之失窃。
退订短信后手机被换卡
据猎豹移动安全专家分析,在这个案例中,黑客在很短时间内完成网银盗窃,事先应该做了精心准备。首先,黑客通过黑色产业链流传的各种数据库精心筛选了作案目标,在正式动手前,诈骗者已经掌握受害人的手机号、手机营业厅服务密码、支付宝账号、银行卡号、身份证号等信息。
虽然个人信息泄露并不能直接导致网银被盗,但网银、手机银行、第三方支付、网购平台,这些业务都严重依赖手机短信验证码来验证用户身份。当手机卡被其他人补办,灾难就来了。
在这个案例中,黑客通过网上营业厅,为受害者申请4G自助换卡;接到申请后,系统向受害者下发换卡二次确认验证码。
这时,受害者手机上就会收到一条包含验证码的短信,如果受害者将这6位验证码交给别人,结果就是受害者手机卡立刻失效,而黑客在另一个城市,会拿新的空白手机卡换掉用户手中正在使用的手机SIM卡。受害人会突然发现手机没信号了,SIM卡换到其他手机也一样没信号,因为这张卡已经作废,当然不会有信号。
就手机诈骗事件,中国移动表示,来源不明、自己不知情的验证码千万不要提供给别人,尤其是不能发给陌生号码。一旦不法分子获知了验证码,后果将不堪设想。
换卡业务管理亟待加强
业内人士称,这也暴露出运营商的管理漏洞。有专家说,尽管中国移动的自助换卡采取一些很严格的限制措施,比如一定要实名、只能本人申请以及需要较长时间等等,但是还是被骗子通过运营商的管理漏洞绕过了。
不少用户也认为,中国移动发送的换卡短信内容过于简单,无法理解这条短信意味着什么重要后果。用户并不清楚,一旦遭遇“补卡”攻击,手机卡被其他人补办后,由于所有与支付有关的业务,用来验证身份的短信都在诈骗者手里,用户的支付宝、银行卡被盗就成为必然。
业内人士建议中国移动加以防范异地IP登录办理关键业务,应该由客服主动打电话联系用户确认。因为换卡这种业务,异地登录的诈骗嫌疑较大。
链接:三招防范“补卡”攻击
1. 验证码别给任何人,除非是自己在做转账、消费等操作。
2. 如果发现自己被定制了业务,打10086客服退订,不要在手机上操作你不熟悉的业务。
3.当你发现手机突然没信号,而周围其他人手机都正常。请注意,你的手机卡可能被别人补办了。你要做的是,立刻借手机联系银行冻结银行卡。或者,通过WiFi上网,登录手机银行客户端,冻结银行卡。联系支付宝、微信,冻结账号。
案例
用户“退订短信”失财
1.网上营业厅为受害者订制增值业务
黑客以各种手段获得了受害者登录网上营业厅的“网站密码”;通过运营商网上营业厅,为受害者订制增值业务;
2.申请换卡并骗取受害者验证码
黑客通过网上营业厅,为受害者申请4G自助换卡;接到申请后,系统向受害者下发换卡二次确认验证码;黑客利用139邮箱的短信功能伪装,向受害者骗取验证码;
3.换卡成功,受害者原手机“瘫痪”
受害者试图退订增值业务,按黑客指示将验证码发给了黑客;黑客远程完成换卡;
4.黑客重置邮箱密码和支付宝密码
黑客利用手机号登陆受害者支付宝,通过找回密码功能,获得受害者的邮箱地址。黑客利用手机号,重置了受害者的邮箱密码;黑客登录受害者的邮箱,下载数字证书,并重置了受害者的支付宝密码;
5.将支付宝和银行资金洗劫一空
黑客将受害者的支付宝资金进行转移,并通过支付宝关联,洗劫了受害者的银行资金。