论文部分内容阅读
不用身份证、不用银行卡,甚至连真实姓名都不用知道,钱就这样不翼而飞。一种电信诈骗的新套路出现,千万小心!
今年2月的一天,深圳的何先生夜间发现自己的手机被锁死,同时,他在某购物平台的账户遭陌生人盗刷,犯罪分子使用白条消费和申请贷款,一夜间洗劫了5万多元。
原来,何先生的手机曾被犯罪分子添加为副号,当副号不能正常使用,所有短信都会被主号接收。犯罪分子在此期间窃走了短信验证码,进而作案。
副号是什么东西?副号是由运营商提供的“一卡多号”业务,在不换手机、不换卡的情况下,用户可以增加最多3个真实手机作为副号。副号与主号双待双通,能根据需要任意选择主号或副號拨打、接听电话、收发短信。
当事各方调查回应
不用身份证、不用银行卡,甚至连真实姓名都不用知道,钱就这样不翼而飞了。针对此次事件,当事各方进行了调查,迅速作出回应。
通信服务及副号提供方:中国移动发布《关于客户何先生账户遭遇互联网盗刷的情况说明》,称经调查,犯罪嫌疑人具体作案手法如下:
1.破解用户某品牌智能手机云服务平台账号信息。
犯罪嫌疑人利用已经掌握的何先生个人信息,频繁尝试破解其使用的某品牌智能手机云服务账号,最终成功登陆,实现对手机的远程操控。
2.利用已被攻破的某品牌智能手机云服务平台“回复短信”接口,完成主副卡綁定。
犯罪嫌疑人用自己的手机号作为主号,向何先生的手机号发出绑定副号申请。因绑定副号需要机主二次确认,犯罪嫌疑人利用已攻破的某手机云服务平台中的“回复短信”接口,在机主不知情的情况下,完成主副卡绑定。
3.在某品牌智能手机云服务平台发起强制关机指令,接收相关验证码,完成“盗刷”操作。
犯罪嫌疑人通过某品牌智能手机云服务的“找手机—销毁资料”功能,频繁发起“销毁资料”指令,强制让何先生的手机处于关机状态。期间利用接收到的短信验证码,入侵其网络网购平台账号用白条消费,再发起互联网贷款,将相关钱款通过何先生的银行卡转账到犯罪嫌疑人账户中。
中国移动认为,此次案件中,何先生的银行卡号、取款密码、预留手机号、身份证号已通过其他途径泄露并被犯罪嫌疑人掌握,借助这些信息,犯罪嫌疑人攻破其智能手机云服务平台账号,利用平台提供的“短信回复”接口完成了主副卡绑定,完成钱款窃取。
手机和云服务厂商:360发布了《关于深圳用户遭盗号攻击的调查公告》,公告中披露了何先生账户被盗的过程,与中国移动调查发现的作案手法情况相符。
360认为,种种迹象表明,这是一种由团伙作案、分工严密的新型诈骗手段。360OS云服务“找手机—销毁资料”是为了防止用户手机丢失导致隐私泄漏,却由于对用户身份验证机制不够完善,导致何先生的短信验证码被他人获取,360对此深表歉意,并已对何先生先行赔付53000元。
目前360OS云服务已在远程管理功能中关闭“回复短信”接口,消除此类风险隐患。360在公告中称:“进一步采取这几个措施,更全面地保障手机云服务安全:第一,加强对弱密码和异常登陆情况的检测与风险控制;第二,对云服务远程管理手机的重要功能开启密保问题或短信验证码的二次验证;第三,经过对异常登陆情况的排查,我们发现107名存在被盗号风险的360OS用户,对这些高风险用户已冻结账号,并短信通知修改密码。”
网络购物平台:京东金融安全专家认为,此案件属跨平台作案,涉及到运营商、手机云服务商、银行、第三方支付平台、消费金融服务方,行业需要联防联控,筑高防护壁垒。
针对此类新型电信诈骗案件,安全专家提醒用户:
1.尽量不要去注册小型不安全的网站,避免个人信息被盗用。
2.在不同的互联网平台尽量使用不同的登录密码和支付密码,避免使用出生年月或者比较简单的数字排列作为账户密码;在公共场合不要轻易连接免费WiFi,不要点击不明来路的短信链接,以免被木马病毒入侵。
3.保护好自己的手机号,用户手机号所属的运营商也是“黑产”的活跃点,运营商服务密码一定要牢记,不要透露给别人。
4.如果手机出现无故停机状况,建议用户第一时间联系运营商;切莫忽视手机异常,谨防手机号被不法分子控制。
5.若用户发现网购平台账户异常,请及时报警,并第一时间拨打平台客服热线反馈问题。
6.购买账户安全险很有必要,在盗刷事件频发的当下,用户购买一份账户安全险不失为一个好的选择。
亡羊补牢犹未为晚
从此次案件可以看出,犯罪手法有四步。第一步,买料。犯罪分子在网上购买“四大件”,也就是姓名、身份证号、银行卡号和预留手机号。第二步,钓鱼。犯罪分子广撒网,向信息已泄露的用户发起绑定副号的业务申请。一旦你误回复了,就成了作案对象。第三步,强迫关机。犯罪分子利用短信轰炸强迫目标把手机关机,或是利用手机云服务对手机进行远程操作。副号关机了,主号接管短信。第四步,洗劫。利用主号收到的短信验证码,犯罪分子对手机号码绑定的网购账户进行洗劫。
再来看看当事三方的说明和做法:360承认问题,先行赔付,多项内部改进;中国移动分析问题,明确责任,并积极表态;京东提醒用户注意,并给出建议多条,尤其是建议用户“购买账户安全险”。
对此次事件,我认为,对于网络购物平台而言,通过姓名、身份证号、银行卡号、预留手机号和手机验证码,就可取走巨额资产,这本不应该发生。无论是直接取现还是通过白条之类的工具消费,行为中已有多处明显异常,但平台没有发现。
对于用户而言,360云服务密码设置较弱,才导致被骗子反复试验盗走。
对于360而言,利用360提供的服务不仅可获取用户大量的信息,而且可远程干扰手机正常使用,结果导致手机号被置为副号并盗走验证码。
对于中国移动而言,副号申请流程是否可以更严谨?和多号在打通亲情号和一卡双号业务时,是否在某些场景可以做得更严谨一些?
最后想说的是,何先生获得了先行赔付,个人没有损失。此案中大量付款行为是通过网购形成,有详细的物流记录,公安机关定会侦破。但事件不应该就此结束,应该继续追问一下:
该案中,手机号的验证码成为盗取巨额资金的关键。验证码加上姓名、银行卡号、身份证号和预留手机号,就可以盗走用户的巨额资金,这合理吗?像姓名、身份证号、手机号这基本上都是公开信息,获得并不难;银行卡号也只能算半公开信息。而通过这四个公开或半公开的信息,加上随机发送且短时间内有效的手机号验证码,就可以修改网银支付密码,通过ATM机取现,通过网银快捷支付付款。打个比如说,如果丢了5百块的手机,也许银行卡里五万元就没了,这不值得深思吗?
今年2月的一天,深圳的何先生夜间发现自己的手机被锁死,同时,他在某购物平台的账户遭陌生人盗刷,犯罪分子使用白条消费和申请贷款,一夜间洗劫了5万多元。
原来,何先生的手机曾被犯罪分子添加为副号,当副号不能正常使用,所有短信都会被主号接收。犯罪分子在此期间窃走了短信验证码,进而作案。
副号是什么东西?副号是由运营商提供的“一卡多号”业务,在不换手机、不换卡的情况下,用户可以增加最多3个真实手机作为副号。副号与主号双待双通,能根据需要任意选择主号或副號拨打、接听电话、收发短信。
当事各方调查回应
不用身份证、不用银行卡,甚至连真实姓名都不用知道,钱就这样不翼而飞了。针对此次事件,当事各方进行了调查,迅速作出回应。
通信服务及副号提供方:中国移动发布《关于客户何先生账户遭遇互联网盗刷的情况说明》,称经调查,犯罪嫌疑人具体作案手法如下:
1.破解用户某品牌智能手机云服务平台账号信息。
犯罪嫌疑人利用已经掌握的何先生个人信息,频繁尝试破解其使用的某品牌智能手机云服务账号,最终成功登陆,实现对手机的远程操控。
2.利用已被攻破的某品牌智能手机云服务平台“回复短信”接口,完成主副卡綁定。
犯罪嫌疑人用自己的手机号作为主号,向何先生的手机号发出绑定副号申请。因绑定副号需要机主二次确认,犯罪嫌疑人利用已攻破的某手机云服务平台中的“回复短信”接口,在机主不知情的情况下,完成主副卡绑定。
3.在某品牌智能手机云服务平台发起强制关机指令,接收相关验证码,完成“盗刷”操作。
犯罪嫌疑人通过某品牌智能手机云服务的“找手机—销毁资料”功能,频繁发起“销毁资料”指令,强制让何先生的手机处于关机状态。期间利用接收到的短信验证码,入侵其网络网购平台账号用白条消费,再发起互联网贷款,将相关钱款通过何先生的银行卡转账到犯罪嫌疑人账户中。
中国移动认为,此次案件中,何先生的银行卡号、取款密码、预留手机号、身份证号已通过其他途径泄露并被犯罪嫌疑人掌握,借助这些信息,犯罪嫌疑人攻破其智能手机云服务平台账号,利用平台提供的“短信回复”接口完成了主副卡绑定,完成钱款窃取。
手机和云服务厂商:360发布了《关于深圳用户遭盗号攻击的调查公告》,公告中披露了何先生账户被盗的过程,与中国移动调查发现的作案手法情况相符。
360认为,种种迹象表明,这是一种由团伙作案、分工严密的新型诈骗手段。360OS云服务“找手机—销毁资料”是为了防止用户手机丢失导致隐私泄漏,却由于对用户身份验证机制不够完善,导致何先生的短信验证码被他人获取,360对此深表歉意,并已对何先生先行赔付53000元。
目前360OS云服务已在远程管理功能中关闭“回复短信”接口,消除此类风险隐患。360在公告中称:“进一步采取这几个措施,更全面地保障手机云服务安全:第一,加强对弱密码和异常登陆情况的检测与风险控制;第二,对云服务远程管理手机的重要功能开启密保问题或短信验证码的二次验证;第三,经过对异常登陆情况的排查,我们发现107名存在被盗号风险的360OS用户,对这些高风险用户已冻结账号,并短信通知修改密码。”
网络购物平台:京东金融安全专家认为,此案件属跨平台作案,涉及到运营商、手机云服务商、银行、第三方支付平台、消费金融服务方,行业需要联防联控,筑高防护壁垒。
针对此类新型电信诈骗案件,安全专家提醒用户:
1.尽量不要去注册小型不安全的网站,避免个人信息被盗用。
2.在不同的互联网平台尽量使用不同的登录密码和支付密码,避免使用出生年月或者比较简单的数字排列作为账户密码;在公共场合不要轻易连接免费WiFi,不要点击不明来路的短信链接,以免被木马病毒入侵。
3.保护好自己的手机号,用户手机号所属的运营商也是“黑产”的活跃点,运营商服务密码一定要牢记,不要透露给别人。
4.如果手机出现无故停机状况,建议用户第一时间联系运营商;切莫忽视手机异常,谨防手机号被不法分子控制。
5.若用户发现网购平台账户异常,请及时报警,并第一时间拨打平台客服热线反馈问题。
6.购买账户安全险很有必要,在盗刷事件频发的当下,用户购买一份账户安全险不失为一个好的选择。
亡羊补牢犹未为晚
从此次案件可以看出,犯罪手法有四步。第一步,买料。犯罪分子在网上购买“四大件”,也就是姓名、身份证号、银行卡号和预留手机号。第二步,钓鱼。犯罪分子广撒网,向信息已泄露的用户发起绑定副号的业务申请。一旦你误回复了,就成了作案对象。第三步,强迫关机。犯罪分子利用短信轰炸强迫目标把手机关机,或是利用手机云服务对手机进行远程操作。副号关机了,主号接管短信。第四步,洗劫。利用主号收到的短信验证码,犯罪分子对手机号码绑定的网购账户进行洗劫。
再来看看当事三方的说明和做法:360承认问题,先行赔付,多项内部改进;中国移动分析问题,明确责任,并积极表态;京东提醒用户注意,并给出建议多条,尤其是建议用户“购买账户安全险”。
对此次事件,我认为,对于网络购物平台而言,通过姓名、身份证号、银行卡号、预留手机号和手机验证码,就可取走巨额资产,这本不应该发生。无论是直接取现还是通过白条之类的工具消费,行为中已有多处明显异常,但平台没有发现。
对于用户而言,360云服务密码设置较弱,才导致被骗子反复试验盗走。
对于360而言,利用360提供的服务不仅可获取用户大量的信息,而且可远程干扰手机正常使用,结果导致手机号被置为副号并盗走验证码。
对于中国移动而言,副号申请流程是否可以更严谨?和多号在打通亲情号和一卡双号业务时,是否在某些场景可以做得更严谨一些?
最后想说的是,何先生获得了先行赔付,个人没有损失。此案中大量付款行为是通过网购形成,有详细的物流记录,公安机关定会侦破。但事件不应该就此结束,应该继续追问一下:
该案中,手机号的验证码成为盗取巨额资金的关键。验证码加上姓名、银行卡号、身份证号和预留手机号,就可以盗走用户的巨额资金,这合理吗?像姓名、身份证号、手机号这基本上都是公开信息,获得并不难;银行卡号也只能算半公开信息。而通过这四个公开或半公开的信息,加上随机发送且短时间内有效的手机号验证码,就可以修改网银支付密码,通过ATM机取现,通过网银快捷支付付款。打个比如说,如果丢了5百块的手机,也许银行卡里五万元就没了,这不值得深思吗?