兴海新闻网

首页 > 正文

只不过回复了一条短信 个人积蓄几乎全部被人转走

www.qinwo8.com2019-11-15

在回复一条短信后,徐先生几乎所有的积蓄都在一夜之间转移了。 银行卡、支付宝和百度钱包的钱很容易在几个小时内被骗子转移,但他们无能为力地看着,对此无能为力。

网络安全专家分析称,根据徐先生提供的信息,诈骗者在实施诈骗前已经获得了受害人的个人信息,如银行卡号码、身份证号码、姓名和手机号码。 只有获得验证码才能实施盗窃。

据《新京报》记者采访,在买卖身份证、银行卡、手机号码等个人信息的“黑市”,你可以在QQ上花3-50美分买到一个。 网络安全专家表示,犯罪分子获取个人信息的主要途径包括肆无忌惮的商家盗窃和销售、网站数据窃取、木马攻击、网络钓鱼网站欺诈、二手手机泄露和新黑客技术窃取等。

[事件]

回复验证码钱在过去几个小时被盗

北京的徐先生根据提示回复了一条短信,几个小时内他几乎所有的积蓄都被盗了,包括三张银行卡、支付宝和百度钱包

徐先生在北京度过了糟糕的一周,一直在四处寻找他偷来的存款。 徐先生告诉《新京报》,他已经开始了自己的生意,有一些积蓄,但是几乎所有的钱都在几个小时内被偷了。 涉及三张银行卡,支付宝和百度钱包 事件的原因是他根据提示回复了一条短信。

4月8日,徐先生在下班回家的地铁上收到了一条的短信,提醒他手机已经开始了一项名为“中广财经半年套餐”的业务。然后我收到一条来自“+手机号码”的短信,说可以通过回复“取消+校验码”来取消服务;同时,徐先生收到了的“USIM卡6位验证码”。 试图取消订阅该服务的徐先生根据提示发送了验证码。 然后,“灾难”开始了。

半小时后,徐先生的手机无法连接到互联网,也无法相互通话。当时,他认为是中国移动在开通这项服务后导致手机关机。然而,一小时后,徐先生发现事情并不像他所怀疑的那样。他的支付宝(Alipay)开始向绑定银行卡转账,银行卡的网上银行密码也发生了变化,所以他无法自己登录。 除了使用支付宝转账,他的百度钱包还被绑在银行卡上,参与了转账。 最终,徐先生的银行卡和支付宝里的钱被转移走了。

在此期间,徐先生采取了很多措施,如试图将钱转到其他银行卡上,解除支付宝对银行卡的绑定,但未能追回损失。 许先生说:“我同时在抢劫助教,但最后,我什么也没得到。” "

[原因]"银行卡被盗和被盗前的身份证等信息已经泄露。

互联网安全专家称,这是一个典型的使用“个人信息+USIM卡+号码变更软件发送欺诈短信”的案例

徐先生的钱到底是怎么被偷的?《新京报》记者采访了360互联网安全中心的网络安全专家刘洋,刘洋表示,根据徐先生的描述,这是使用“个人信息+USIM卡+号码变更软件发送欺诈短信”的典型案例

”从现有信息来看,在欺诈发生之前,欺诈者已经掌握了受害者的大量个人信息,包括姓名、手机号码、身份证号码、网上银行账户和密码,以及银行保留的验证手机号码。 ”刘洋说,在这种情况下,骗子只需要拿到徐先生的短信验证码就可以转账。 因此,骗子选择使用移动USIM卡替换服务直接窃取用户的手机卡,从而可以掌握用户所有的手机短信,包括转账所需的“验证码短信”。

根据刘洋的解释,骗子首先获得了徐先生的手机在线营业厅账号密码,并订购了徐先生的手机报纸增值服务,以此干扰他的判断,并认为他是被迫订购该服务的。事实上,骗子通过网上营业厅办理了USIM换卡业务,让徐先生收到了中国移动发来的短信验证码。诈骗者随后使用号码变更软件向徐先生发送短信,提示他回复短信“取消+验证码”,退订增值服务。他骗许先生将“USIM卡替换验证码”作为“取消订阅服务验证码”发送给骗子。

办理USIM卡更换业务后,原手机上的卡不能使用。骗子利用这个漏洞窃取了徐先生的手机号码。获得徐先生的个人信息后,诈骗者可以轻松获得转账支付所需的任何验证码,并进行支付宝、网上银行等转账支付。

新京报记者4月18日登陆移动官方网站查看,发现移动服务的安全机制已经更新。用户在没有申请备用卡的情况下无法处理该服务。 此外,移动将提醒其很快将向中国移动北京公司申请换卡。

根据上述银行内部人士的分析,客户的身份信息、银行卡号码、网上银行登录密码和手机号码都被披露了,尤其是手机号码和手机接收的信息被犯罪分子控制。 客户在支付机构通过“姓名、银行卡号码、证书类型和证书号码、手机号码和手机验证码”绑定银行卡,并在支付过程中在支付机构验证客户设置的密码。

上述银行家表示,在与支付机构合作的快速支付业务中,银行一般会建立相应的风险控制机制,例如,客户签名的手机号码应在银行柜台或网上银行U-shield进行验证,以防止非法分子使用。 同时,对支付机构的快速业务设置了相应的限额,可分为单笔累计、日累计和月累计。在资金被盗的情况下,可以降低被盗资金限额的风险 随后,银行将与客户合作,尽快解决问题,减少客户损失。 提示客户妥善保护个人信息,防止个人信息泄露

[调查]

个人信息的“黑市”交易是31美分

目前,非法获取消费者个人信息主要表现为肆无忌惮的商家非法销售、网站数据盗窃、木马攻击、网络钓鱼网站欺诈、二手手机泄露和信息黑客技术盗窃等形式。

众所周知,个人信息被视为商品,在“黑市”交易

新京报记者通过调查发现,有很多QQ群在网上出售个人信息。在一个名为“销售个人信息数据”的QQ群中,许多人在“购买车主信息”和“您有身份证和银行卡加密码信息”的群中进行咨询.

新京报记者以需要个人信息的名义联系了名为“客服3”的管理员。在提供了城市的具体要求后,管理员发送了一份“样本”,并声称该信息是可靠的。

根据其描述,所需数据的价格随不同需求而变化。 如果只有姓名、身份证号码、手机号码等信息,第一手信息为2元/篇,第二手信息为0.3元/篇。 “银行很贵,有秘密,高风险 “管理员说,银行卡号码增加后,第一手信息将上升到5元,第二手信息也将上升到0.5元

从那以后,记者试图添加其他的QQ群,但大多数都没有被批准。 其中一名自称“大网吧”的销售人员说,“个数据是2800元,服务器提取第一手数据”,并说统一收费是运营前的第一步。 当记者问及是否可以进行“审判”时,对方拒绝了。

“目前,非法获取消费者个人信息主要表现为肆无忌惮的商家销售、网站数据盗窃、木马攻击、网络钓鱼网站欺诈、二手手机泄露和信息黑客技术盗窃等形式。 ”刘洋说道

刘洋认为,肆无忌惮的商家转售主要是因为一些拥有大量用户个人信息的商业组织由于管理不善,经常有内部员工窃取和出售用户个人信息。特洛伊木马主要为在线账户窃取个人信息。统计数据显示,一半以上的流行木马与网络号码盗窃有关。 此外,游戏账户、社交账户、网上银行账户和用户的其他支付账户主要是被盗取日期木马攻击的目标;二手手机泄密(Leak of second-hand mobile phone)是指当用户出售他们的二手手机时,即使他们删除了通讯录、短信、通话记录等所有信息,如果手机中存储的信息没有完全销毁,这些数据可能会被犯罪分子恶意找回并用于非法目的。

2015年,关于网站被拖进或撞进图书馆的新闻经常出现在各种媒体上。 在网站数据窃取方面,刘洋表示,统计数据显示,仅天步平台就记录了2015年可能导致个人信息泄露的1410个漏洞,涉及1282个网站,可能导致55.3亿条个人信息泄露,是2014年23.6亿条的两倍多。 如果中国网民总数为6.5亿,这个数字也意味着仅在2015年,平均每个中国网民可能已经泄露了至少8条或更多的个人信息。

此外,还有新的“黑客”技术可以窃取。刘洋说,一些新的黑客攻击技术也越来越多地被用来窃取消费者的个人信息。 例如,伪基站可以伪装成任何号码向用户发送欺诈性短消息,并引诱移动电话用户登录网络钓鱼网站;网络钓鱼WiFi可以直接监控用户访问WiFi网络的所有上网行为

[追问]

谁将为盗窃“买单”?

支付宝“提前支付”徐先生损失1万多元,百度钱包承诺支付,北京移动表示业务流程正常,涉案银行表示客户“泄密”导致资金损失

“事件发生后,我不知道谁应该对此负责。 “徐说,他先后找到了手机、银行、支付宝和百度钱包。支付宝和百度钱包承诺赔偿部分损失 移动和银行都没有要求赔偿。

北京移动热线于4月12日在其微博上公布了调查结果。根据调查结果,4月8日17时54分,有人用徐先生的手机号码和自己的密码登录了北京移动的官方网站。在网站弹出屏幕第二次确认后,他们办理了“中广财经半年套餐”业务。IP地址显示登录地点是海南海口。18时13分,有人以同样的方式登录网站,处理更换4G USIM卡的业务。系统向客户的机器发送卡替换二次确认验证码,即6位USIM验证码。输入密码后,卡更换成功。 北京移动表示,上述业务流程是正常的

此外,4月18日之后,中国移动的USIM卡交换服务在其安全机制上进行了更新。用户在没有申请备用卡的情况下无法处理此服务。

支付宝负责人告诉《新京报》,4月11日中午,他已经向该方支付了1万多元的损失。 “理论上,我们只能补偿支付宝平台上损失的钱。这个用户的很多钱都是通过银行卡转账的 “据负责人说,由于案件特殊,有关各方都很紧张,他们经过了一个特殊的预付款程序。

在有关当事人的描述中,在有关当事人的手机号码出现问题后,支付宝进行了非个人转账操作。 负责人表示,支付宝如果忘记密码并更改密码,至少需要两次验证,包括“手机+身份证”和“身份证+安全问题” 但与此同时,她说,本案的特殊性在于,当事人的手机卡是用几条短信复制和掌握的,与此同时,当事人自己的身份证号码、银行卡号码甚至交易密码都可能被泄露。

百度钱包负责人还告诉《新京报》记者,他正在跟进此事,并要求用户提供相关材料,并承诺支付赔偿。 “以前的问题是,回复短信导致他的个人信息被窃取,然后有人在我们的平台上采取了一系列行动 “负责人说,如果身份信息被别人拿走,这些操作都可以完成,不管是哪个支付平台

《新京报》记者还采访了参与该事件的三家银行。 关于徐先生所说的“完全没有网上银行”的时期,一名银行官员说:“根据对客户的描述,可以推断客户可能泄露了包括银行卡密码在内的相关信息。” “根据银行的说法,在成功转账之前,客户需要验证银行卡号码、取款密码、短信验证码等因素是否正确。

"客户的网上银行转账功能之前是由他自己激活的,但由于披露了包括银行卡密码在内的主要个人信息,账户资金受损 “该行表示已回电客户,目前无法进一步办理资金实时转出。关于资金问题,客户仍需督促警方尽快破案,银行将全力配合警方办案。

分析

“如果操作人员有安全漏洞,他们必须承担一定的责任”刘洋说,根据目前的情况,初步得出的结论是,操作人员的问题太简单,以前无法激活备份卡。一旦他们登录到营业厅,他们就可以按照说明中的描述进行处理。目前,运营商已经升级了安全保护,这表明之前的短板已经填满。

刘洋认为,目前第三方支付和银行无论是更改密码还是转账都需要短信验证码。本案嫌疑人已经有了受害人的手机号码。接收验证码完全没有问题,所以很容易“犯罪” 如果它更严格,比如必须通过网上银行“优盾”登录和转账,用户可能会发现使用它不方便。 建议使用大数据加入一些更秘密的身份验证方法,例如登录时请朋友进行身份验证。即使认证码被偷了,你仍然需要选择一个你认识的朋友才能使用它。

中国通信行业知名观察家向立刚表示,事件中有一件事是,徐先生使用USIM的换卡服务验证码作为退订服务验证码,并用换号软件将其发送给被欺诈者修改的号码。用户在这方面疏忽了。

北京家辉律师事务所邱常宝认为,最终责任人是窃取信息和欺诈的犯罪嫌疑人 从中国移动、银行和第三方支付的角度来看,如果这些运营商存在安全漏洞或瑕疵,他们必须承担一定的责任,提前支付客户,提高安全等级设置。

■建议

刘洋,360互联网安全中心的网络安全专家,就如何保护个人信息和防止账户被盗和被盗给出了建议。

●如何保护个人信息?

1。银行账户、支付账户和普通网站会员账户需要不同的账户名称和密码,密码每3个月修改一次。密码组合应尽可能使用大写字母、小写字母、数字和其他组合

2.在填写身份证号、银行卡号、银行密码等信息时,有必要仔细检查网站的合法性,如查询归档信息,使用360浏览器的恶魔镜功能来识别网站。

3。不要随意登录未知WIFI,打开未知短信的链接,下载未知软件,在个人电脑和电脑上安装安全软件,及时检查并清除木马病毒软件,拦截钓鱼链接

4。在处理带有个人信息的旧手机、电脑和其他电子产品时,使用专业软件删除个人信息,确保不可恢复的状态

●如何防止我的帐户被盗?

1。办理网上银行业务时,申请u盘功能,防止网上银行设置被盗后容易修改。

2。设定每日转账和购物限额,防止大笔款项被直接窃取。

3。手机银行使用最高安全设置,如绑定手机设备,使用短信验证码和取款密码相结合进行转账汇款。

4。定期存入大量闲置资金,银行卡取款密码和网上银行登录密码每3个月修改一次

●如何提高我的防欺诈意识?

1。在代表熟人收到转账和付款等信息后,你需要打电话确认是否属实。

2。收到银行、运营商和其他商业组织的短信后,不要点击任何链接,也不要在链接中轻松安装软件。 如果你接到一个电话,你可以通过打电话给官方客服来确认。不要相信电话里说的话。

3.当心冒充公安机关和其他政府机构的短信和电话。如果你收到了,你可以咨询你的亲戚朋友,并到当地相关机构核实。

热门浏览
热门排行榜
热门标签
日期归档