警惕!手機驗證碼已被騙子利用轉空銀行卡
銀行卡被盜刷,這事挺可怕。海南三亞警方就破獲了這樣一起新型銀行卡盜刷案件,一位女士在家甚麼都沒做,一覺醒來,卻發現自己的銀行卡已經被洗劫一空。像這樣一類盜刷案件已經多次發生,引起了人們的關注。那麼,不法分子是怎麼無聲無息就把錢轉走了?這類案件為什麼會多次發生,我們又該如何防範呢?
2019年7月4日凌晨3點多,海南省三亞市宋女士的手機上突然收到了幾條短信驗證碼,不一會兒手機又接到短信,顯示她的銀行卡被刷走了5萬元。
在銀行卡上的錢被轉走之前,宋女士有沒有進行什麼操作呢?有沒有什麼可疑的事情發生呢?
受害人宋女士說:“沒有任何操作,問你的身份證,你的銀行卡密碼,根本就沒有,根本不用我操作。”
什麼都沒有操作錢就被轉走了,宋女士趕緊到附近的三亞市公安局三亞灣派出所進行報案。接到報案後,接案的民警也感到蹊蹺。
因為整個過程受害人沒有和盜刷銀行卡的人有過任何的溝通、接觸,無法提供盜刷銀行卡的人的任何信息,於是三亞警方決定從資金流向入手展開調查。
三亞市公安局天涯分局三亞灣派出所副所長趙成良說:“宋女士的錢從銀行卡出來以後,我們查詢到這筆錢進入到了通聯支付公司,就是第三方支付公司。 這筆錢從通聯支付底下一個第四方公司,叫廣州冠勝,有一個代付業務,發起了一個收款請求。”
最後,這筆錢從廣東惠州一家銀行的自動取款機上被取走,三亞警方很快鎖定了犯罪嫌疑人,在廣東惠州將其抓獲,宋女士的5萬元錢被全部追回。錢被追回來了,這個案子或許到此已經可以結案了,但警方在偵破過程中有一個疑問卻一直無法破解。以前的一些案例,不法分子掌握了受害人的個人信息後,會設法獲取受害人的銀行卡密碼進行轉款。而本案受害人宋女士的錢被轉走是因為與動態驗證碼被截獲有關,這個似乎更安全的動態驗證碼不法分子是怎麼獲取的呢?
三亞警方成立專案組對此案進行深挖,經過連日奮戰,這個作案人員涉及海南、四川、山東、廣東等地,成員有著嚴密分工、單線聯繫的特大網絡盜刷團伙終於現形。2019年7月,專案組民警開始收網,在湖南婁底抓獲了這個團伙的上家陳某華,抓獲現場幾台電腦還正在運行。
趙成良說:“當時我們就問他,這個動態驗證碼是怎麼獲得的?他說是在三亞有一個同夥,在被害人居住的範圍之內,嗅取了被害人宋女士的動態支付驗證碼,嗅取到以後他將動態驗證碼發給洗錢通道,就將這個錢給支付出來了。”
什麼是嗅探?犯罪嫌疑人又是怎麼嗅取了受害人的動態驗證碼的呢?
犯罪嫌疑人顧某某說:“用摩托羅拉118的手機,通過一番改造,把它變成一個接收的天線,再配合上特定的優盤系統,在電腦打開之後,就可以模仿基站的信號,攔截相當於嗅取探測到周圍手機短信。一個手機15塊錢,相當於一個簡單的拼接過程。”
為什麼如此廉價簡單的嗅探設備就能截獲大量的手機短信呢?
中國政法大學網絡法學研究院副院長王立梅說:“在2G的狀態下,因為加密技術相對來講比較簡單,比較容易破獲,或者容易破解,那麼當到2G這種網絡的時候,嗅探技術在中間截獲這個數據包,然後解開就可以了。”
雖然現在我們早已進入4G時代,有的地方甚至已經用上了5G,但在一些4G信號不好的地方,手機會切換到2G網絡。另外,一些犯罪嫌疑人利用信號干擾設備,專門對一定範圍的手機信號進行干擾,這時這些用戶的手機信號也會突然變成2G信號。這些犯罪嫌疑人就會利用2G網絡存在的漏洞,用嗅探設備吸附到周圍一定範圍之內的手機信號。吸附成功後,受害人的手機號碼和短信會自動顯示在犯罪嫌疑人的電腦上,受害人不會有任何察覺,悄無聲息中就變成了犯罪嫌疑人的獵物。
要想將受害人銀行卡上的錢轉走,犯罪嫌疑人必須同時獲得該用戶的姓名、身份證號、銀行卡號、手機號、動態驗證碼。這5個條件就像5把鑰匙,一般情況下犯罪分子很難獲得,但因為有了受害人的手機號碼並能夠實時截取動態驗證碼,犯罪嫌疑人就如同拿到了一把“萬能鑰匙”,他們會通過網絡來獲得其他幾把鑰匙。
對於一些沒有買過保險,或者在淘寶沒有登記信息的用戶,犯罪嫌疑人會同時登錄這個用戶其他的多個App。
最關鍵的是支付環節,不少App往往都會對用戶的銀行卡號刻意隱去幾位,那麼犯罪嫌疑人又是怎麼獲得完整的銀行卡號呢?
顧某某說:“可以通過充值,我隨便點一個充值的方式,立即充值和付款方式,可以看見你所有的卡。我知道你有建設銀行的,我就可以去跑你的卡,就腳本跑你的卡,像招商銀行的和工商銀行,我直接通過別的App就直接獲取了。你也不用驚訝,這也不是我發明、創造的,就是這麼一種操作的方式。”
犯罪嫌疑人獲得了受害人的姓名、身份證號、手機號、動態驗證碼、銀行卡號這些信息之後,還會挑選作案對象,查驗用戶是否有作案價值。
確定了有價值的用戶之後,犯罪嫌疑人會再次利用受害人的手機號碼加動態驗證碼,使用免密支付的方式將受害人的錢轉移出去。
此時,受害人甚麼都沒有操作,手機上會收到一堆驗證碼,之後銀行卡上的錢就被轉走了。這個案件當中,犯罪嫌疑人使用的嗅探設備十分廉價,嗅探技術也不是什麼高深的技術,為什麼卻能屢屢得手呢?
顧某某說:“你在一些App上面去實名註冊信息,很多時候是圖方便,當你忘記密碼的時候,就可以通過短信驗證碼去登錄,這個時候你會感覺到很方便,同時也方便了我們這些犯罪分子去盜取你的個人信息,通過驗證碼登錄,方便了你,也方便了我。”
記者隨後在手機上,選擇了多個常用的App進行測試,這些App一般都可以通過用戶名加密碼和手機號加動態驗證碼兩種方式進行登錄。當用戶忘記密碼的時候,可以通過手機號發送驗證碼的方式找回密碼。這一切對用戶來說似乎很方便,也很安全。可是不法分子恰恰利用手機號加動態驗證碼也可以登錄的便利,選擇在夜深人靜、人們防範意識比較低的時候,在自己的手機或電腦上輸入用戶的手機號,再用截獲的動態驗證碼登錄用戶的App,達到盜竊用戶資金的目的。
王立梅說:“手機加驗證碼的方式可能是現在大多數的,尤其是在網絡空間這種很多App所通行採用的方法,不是說一兩個通行驗證方式,但是這種驗證方式本身它是有一定的安全隱患的,也就是說首先驗證碼是有可能被截獲的,這是其中一個。第二個就是預留的手機號碼,這個號碼實際上它洩露的可能性也是非常大的,所以它們兩個加在一起,做一個唯一的驗證方式是有一定漏洞的,盡可能應該是再有其他的驗證方法予以補充。”
不僅如此,很多互聯網公司對用戶的個人信息保護也不到位。
王立梅說:“在我們登錄很多很多App,使用很多移動服務的時候,每一個移動服務都要求我們提供一遍我們個人的一些數據,那麼當我們進入這麼多的使用了這麼多的用途以後,幾乎我們所有的信息,就在互聯網各個節點有非常多的備份,那麼任何一個備份丟失、洩露等等,都會造成全部數據的遺失。”
因為犯罪嫌疑人能夠故意干擾手機信號,這樣就會使4G和5G手機自動轉到2G網絡。而2G網絡的先天不足一時難以彌補,這就要求眾多互聯網公司和銀行不能以手機加動態驗證碼作為唯一的身份驗證方式,應該盡可能再增加其他驗證方法予以補充。同時,普通用戶也要加強個人防範。
犯罪嫌疑人陳某某說:“最好的辦法,打個比方,你如果說要綁定第三方平台銀行卡,盡量不要放太多資金。”
當用戶突然收到不明的驗證碼,然後發現銀行卡被盜刷了也不要驚慌。
趙成良說:“第一時間到公安機關報名,及時止付,把你的銀行卡掛失凍結,我們公安機關去追這筆錢。”
這個案件雖然不大,但反映出來的問題值得大家關注。我們的個人信息就像水池裡的水,每使用一項互聯網服務就像給這個水池安裝了一個管道,增加了洩露的風險,更令人擔憂的是,很多管道用的都是同一種水龍頭,手機號碼加驗證碼。現在信息網絡技術犯罪越來越多,這些不法分子之所以能夠得逞,就是利用了網絡技術上的各種漏洞。人們希望電信運營商、互聯網企業、銀行以及監管部門能多想辦法,保障人民群眾的財產安全。畢竟,沒有安全的方便是沒有意義的。