“太可怕了�����,簡直防不勝防��,一覺醒來支付寶和網(wǎng)銀就被‘清空’了��?�!币淮笤?��,小編被校友群的各種“驚恐”籠罩���。
近日,多地警方接報,有市民早上醒來發(fā)現(xiàn)手機多出一堆驗證碼短信�����,同時�,支付寶和網(wǎng)銀里的錢已不翼而飛。
比如�,豆瓣ID“獨釣寒江雪”的網(wǎng)友8月1日凌晨發(fā)布:“30號凌晨5點被尿憋醒,發(fā)現(xiàn)手機一直在震����,一看,接收了100多條驗證碼���,支付寶��、京東�、銀行什么都有���。嚇得一下子清醒����,去看支付寶����,余額寶和關聯(lián)銀行卡的錢都被轉走了。在京東也開了金條�����、白條功能�,借了1萬多?�!?/p>
新式偽基站詐騙
記者了解到���,這是一種新型的偽基站詐騙手段——“GSM劫持+短信嗅探技術”�����,通過GSM2G網(wǎng)絡缺陷�����,在不接觸手機的情況下��,通過偽基站和短信嗅探設備獲取到目標手機的短信驗證碼�,利用銀行���、網(wǎng)站�����、移動支付APP的技術漏洞����,進行短信驗證碼登陸來盜刷信用卡、轉賬等����。
這種新型詐騙術通常分三步:
第一步,通過偽基站獲取到一定范圍內(一般是周邊幾百米內)的手機號碼����;
第二步,在支付APP或網(wǎng)站�����,選擇通過“短信驗證碼登陸”����,然后通過短信嗅探設備來嗅探到驗證碼短信;
第三步�����,通過第三方支付�、網(wǎng)上銀行等,碰撞查詢到目標手機號碼對應的身份證號碼�、銀行卡號等;
第四步��,通過驗證碼登陸��、修改賬戶信息�,進行賬戶的支付、借貸等資金流轉操作����,如綁定、申請貸款����、白條等,實施盜刷�、信用卡詐騙等犯罪行為。
而且呀���,由于一般嗅探設備只能嗅探但不能攔截短信����,犯罪分子通常會選擇在夜深人靜、伸手不見五指的深夜作案��。這個時候呢��,受害者多數(shù)在酣然大睡����,不會注意到短信異常。
支付寶調查小組根據(jù)相關操作記錄�����,復原了遭遇攻擊的網(wǎng)友的支付寶賬戶狀態(tài):
重點來了�����,這一事件之所以比較罕見��,是因為操作者驗證通過了多個校驗因子(包括短信驗證碼�、用戶的多項個人信息,都是一次校驗成功)��,且除一筆消費外���,其他多筆款項均被提現(xiàn)至用戶自己名下的銀行卡��。
這和以前出現(xiàn)的被盜案件不太一樣�����,太像是用戶本人或身邊人的操作了����,因此保險公司初次判定拒賠�。?
多家支付平臺發(fā)聲:全額補償
這下怎么辦?多家支付平臺發(fā)聲����,將“全額補償損失”。
支付寶表示����,會全額補償用戶損失(參見下圖)。支付寶數(shù)據(jù)顯示��,目前的交易資損率不到百萬分之一��。
?
京東金融也表示����,已設立專門的盜刷案件處理通道����,并會對被確認盜刷的用戶賬戶進行先行墊付���,免除用戶的還款責任��。
移動支付還安全嗎��?
用戶最關心的是�,今后���,移動支付還安全嗎�����?如果密碼和短信驗證碼都泄露了怎么辦���?
對此,支付寶表示��,除短信驗證碼外���,目前平臺已增加多因子驗證��,如人臉驗證����。上述案例中,操作者先是利用短信驗證碼進行了一筆900多元的消費���,但在嘗試第二筆時,風控系統(tǒng)要求人臉校驗�����,操作者校驗失敗���。
?同樣的�,京東金融在開通激活白條或金條時����,也需要完成實名認證、補充完善用戶信息并簽約授權服務協(xié)議����,最后通過風險綜合策略的審批����,才可開通成功���。在實名認證環(huán)節(jié)����,會根據(jù)用戶賬戶信用和風險等級動態(tài)選擇通過銀行卡信息�、身份證信息、人臉識別��、短信驗證碼等多維度交叉校驗�。
?類似的交叉認證也在很多銀行類APP中得到應用:
江寧警方指出,更危險的犯罪手段則是重新定向手機信號�����,同時使用GSM“中間人”劫持驗證短信�,此類劫持和嗅探并不僅限于GSM手機,包括LTE����,CDMA類的4G手機也會受到相應威脅。
移動支付在帶來便利的同時,必須基于安全這一根本原則���。綜合螞蟻金服���、騰訊“守護者計劃”等專業(yè)黑產戰(zhàn)斗軍團的防范措施,以及警方意見��,小編建議大家:
?
(圖片來源:騰訊“守護者計劃”)
但這也不是萬能��,江寧警方就表示�,有的手機可能被劫持后本身已無法接收到短信,較為明顯的被攻擊特征除了接收短信外還有手機信號可能在4G和2G間切換�。而一旦你晚上關機或者開啟飛行模式,也可能導致其他詐騙風險的上升或者重要事件時親友無法聯(lián)系你�����。
江寧警方建議�,比較穩(wěn)妥的辦法是關閉手機的移動信號�����,只使用家中或辦公室的WIFI��,這樣既能保持和大家的網(wǎng)絡聯(lián)系,也能略微提高被嗅探的難度�����。
還有就是堅持智能手機使用的基本原則�����,以下四點怎樣強調都不為過:
1.? 不給手機“越獄”��、不亂裝軟件���,謹防病毒軟件
2.? 不使用網(wǎng)吧或免費WIFI等公用網(wǎng)絡上網(wǎng)(如果連接了黑客或不法分子架設的WIFI�����,那么你通過這個WIFI傳輸?shù)乃谢ヂ?lián)網(wǎng)數(shù)據(jù)都可能被監(jiān)聽或竊取���,如果數(shù)據(jù)沒有被很好地加密,就可能被讀取����。)?
3.? 不點擊不明鏈接、二維碼����、圖片�����,不安裝不明文件��,謹防手機木馬(如果你點擊不明鏈接后手機失去信號����,收不到任何短信了�����,有可能是手機中了木馬�。此時請立即恢復手機出廠設置,避免手機木馬盜取你的資料���、賬戶等個人資產。)
4.? 手機丟失或遭遇此類詐騙后���,應立即報警�����,并保留好短信內容等證據(jù)�。同時及時聯(lián)系運營商和支付服務商進行掛失或賬戶凍結。
在培養(yǎng)用戶安全使用習慣的同時�����,平臺方與警方也共同呼吁:想要阻止短信嗅探犯罪����,還需要各大運營商、通信管理部門以及企業(yè)的共同努力��。移動應用和網(wǎng)站服務提供商需優(yōu)化身份驗證措施���。如短信上行驗證����、語音通話傳輸驗證碼����、常用設備綁定、生物特征識別等����。
