“因为一条短信,一夜之间,我的支付宝、所有的银行卡信息都被攻破,所有银行卡的资金全部被转移。”一位手机诈骗的受害者近日通过网络披露受骗经历后,迅速成为网络热点。昨天,北京移动公布了此案的调查结果,称该用户在移动官网的密码失窃。北京移动同时提醒用户妥善保管并定期修改网站登录密码和客服密码。
□事件
收到几条短信后银行卡的钱没了
在微博中,受害者详细介绍了自己如何从收到一条短信开始,直到所有银行卡里的钱都被骗子转走的经过。
记者简单总结了一下他的遭遇:首先是手机收到短信,提示开通了一种名为“中广财经半年包”的业务;接着又收到一条短信,称回复“取消+校验码”可退订该业务;之后他果然收到了10086发来的“USIM卡6位验证码”,按照前一条短信的要求回复之后,他的手机就无法上网和通话了;再之后,他发现自己的支付宝在向绑定的银行卡里转账,而银行卡的网银密码被修改了,他本人无法登录;最终结果就是支付宝和银行卡里的钱都没了。
昨天,记者联系到了受害者本人,他向记者表示自己发布的微博内容属实。
昨天,北京移动对外公布了对此事的调查结果。调查结果称,有人用受害者的手机号和他设定的登录密码,登录了北京移动的官网,在官网上完成了订购增值业务的操作。
此次电信诈骗案件中,根据受害人提供的图片,涉及其在中行和工行两家银行的资金。记者分别联系了中行和工行方面,双方均表示正在跟业务部门了解情况,有消息时会第一时间回复。
受害人在微博中称,在整个维权过程中,支付宝方面一直在跟进此事。对此,京华时报记者向支付宝核实,支付宝方面表示,确实在跟进此事,但目前无法提供进一步信息。
□追问
银行卡里的钱是如何一步步被骗走的?
看到这样一个诈骗过程,大多数用户可能一头雾水,根本搞不懂收到几条短信怎么银行卡里的钱就没有了。记者本人在看到诈骗过程后,第一感觉是伪基站在捣鬼,一些电信行业内的专家在网上发布的分析文章也把矛头对准了伪基站。不过,最终移动公司的调查证明,这一次的诈骗事件与伪基站无关。
360公司反诈骗专家刘洋介绍,从整个过程可以看出,在诈骗实施之前,骗子已经获取了受害人的银行卡号、身份证号、姓名、手机号等个人信息。但是,对受害者的银行卡进行转账操作,还需要一个关键的环节,那就是获得受害人的短信验证码,有了短信验证码,受害者的银行卡就可以随便任由骗子操作了。
手机在受害者手中,短信验证码是如何被骗子弄到的呢?
刘洋详细解释了这个看似很不可思议的过程。首先,骗子为受害者的手机订购了名为“中广财经半年包”的增值业务,让受害者以为自己被强制订购手机业务。实际上,这时骗子在办理USIM卡补换卡业务,因此受害者收到了由中国移动发出的补换卡业务验证码;骗子再利用改号软件定向给受害人发送短信,提示用户退订增值业务需回复短信“取消+验证码”,诱骗受害者把刚才真实的USIM卡补换卡验证码发送过去;骗子收到验证码后,用早已购买的空白手机卡,按照后续操作来替换掉受害者手机卡,使得受害者手机卡失效,这时相当于受害者的手机卡已经到了骗子的手中。
事实上,在完成这一步之后,剩下的支付宝和银行卡转账,已经没有任何玄机了。在知道了受害者的银行卡号、身份证号、姓名、手机号,并且掌握了受害者的手机卡之后,再去转账就如同我们为自己的银行卡办转账一样了。
骗子最初是如何为受害者订购“中广财经半年包”业务的呢?
北京移动对外公布的调查结果让这一谜团被解开。北京移动称:“2016年4月8日17时54分,手机号码152****1249通过静态密码(客户自设密码)方式,登录北京移动官方网站,经网站弹屏二次确认后,办理“中广财经半年包”业务,IP地址显示登录地点为海南海口;18时13分,手机号码152****1249以同样方式登录网站办理更换4GUSIM卡业务。系统向客户本机下发换卡二次确认验证码(6位USIM验证码),该验证码被输入后,换卡成功。以上业务办理流程正常。”
可能有的人还是看不太懂移动说的是什么意思,简单地说,就是有人用受害者的手机号和他设定的登录密码,登录了北京移动的官网,在官网上完成了订购增值业务的操作。
那么,骗子是如何获取受害者的移动官网登录密码的呢?
受害者本人昨天告诉记者,他已多年没有登录移动官网。而安全技术人士介绍,这当中的可能性很多,没法准确断定骗子是如何做到的,例如可能是用户设定了一个弱密码,被轻易试出来了;或者网站登录密码与他常用的银行卡密码是相同的,骗子在得到他的银行卡密码后,通过“撞库”的方式登录了移动官网。
骗子是如何知道受害者的银行卡号、身份证号等信息的呢?
这个其实也很简单,前几天央视在报道中披露,在网上可以轻易买到银行卡信息,包括卡主的姓名、银行卡号、身份证号、银行预留手机号码以及银行密码等。如此一来,诈骗链条就清清楚楚了。
□提醒
建议用户定期修改运营商官网登录密码
在整个诈骗事件中,骗子的手段层层相扣,的确不容易识破。北京移动提醒用户,应妥善保管并定期修改网站登录密码和客服密码;勿将系统下发的业务办理验证码转发和泄露给他人;如收到不知情业务开通短信,请发送短信“0000”到10086查询及退订所订购的业务,有疑问可进一步致电10086咨询。
360反诈骗专家刘洋介绍了防范电信诈骗的几个注意事项:
1.手机用户收到不了解的业务增订或退订短信,一定要拨打官方客服或去营业厅咨询;
2.手机收到陌生短信及链接切勿轻易点击下载;3.骗子会利用伪基站、改号软件等发送短信,用户即使是收到官方客服号码发来的短信也不要轻易相信;
4.手机卡的补卡换卡业务可通过手机直接办理,并非一定要去营业厅办理,遇到相关问题提前了解办理流程,以免被骗;
5.保护好个人信息,避免身份证号、银行卡号、密码等敏感信息被泄露。