一夜被盜5萬(wàn)多，都是什么惹的禍？

付亮

不用身份證、不用銀行卡，甚至連真實(shí)姓名都不用知道，錢就這樣不翼而飛。一種電信詐騙的新套路出現(xiàn)，千萬(wàn)小心！

今年2月的一天，深圳的何先生夜間發(fā)現(xiàn)自己的手機(jī)被鎖死，同時(shí)，他在某購(gòu)物平臺(tái)的賬戶遭陌生人盜刷，犯罪分子使用白條消費(fèi)和申請(qǐng)貸款，一夜間洗劫了5萬(wàn)多元。

原來(lái)，何先生的手機(jī)曾被犯罪分子添加為副號(hào)，當(dāng)副號(hào)不能正常使用，所有短信都會(huì)被主號(hào)接收。犯罪分子在此期間竊走了短信驗(yàn)證碼，進(jìn)而作案。

副號(hào)是什么東西？副號(hào)是由運(yùn)營(yíng)商提供的“一卡多號(hào)”業(yè)務(wù)，在不換手機(jī)、不換卡的情況下，用戶可以增加最多3個(gè)真實(shí)手機(jī)作為副號(hào)。副號(hào)與主號(hào)雙待雙通，能根據(jù)需要任意選擇主號(hào)或副號(hào)撥打、接聽(tīng)電話、收發(fā)短信。

當(dāng)事各方調(diào)查回應(yīng)

不用身份證、不用銀行卡，甚至連真實(shí)姓名都不用知道，錢就這樣不翼而飛了。針對(duì)此次事件，當(dāng)事各方進(jìn)行了調(diào)查，迅速作出回應(yīng)。

通信服務(wù)及副號(hào)提供方：中國(guó)移動(dòng)發(fā)布《關(guān)于客戶何先生賬戶遭遇互聯(lián)網(wǎng)盜刷的情況說(shuō)明》，稱經(jīng)調(diào)查，犯罪嫌疑人具體作案手法如下：

1.破解用戶某品牌智能手機(jī)云服務(wù)平臺(tái)賬號(hào)信息。

犯罪嫌疑人利用已經(jīng)掌握的何先生個(gè)人信息，頻繁嘗試破解其使用的某品牌智能手機(jī)云服務(wù)賬號(hào)，最終成功登陸，實(shí)現(xiàn)對(duì)手機(jī)的遠(yuǎn)程操控。

2.利用已被攻破的某品牌智能手機(jī)云服務(wù)平臺(tái)“回復(fù)短信”接口，完成主副卡綁定。

犯罪嫌疑人用自己的手機(jī)號(hào)作為主號(hào)，向何先生的手機(jī)號(hào)發(fā)出綁定副號(hào)申請(qǐng)。因綁定副號(hào)需要機(jī)主二次確認(rèn)，犯罪嫌疑人利用已攻破的某手機(jī)云服務(wù)平臺(tái)中的“回復(fù)短信”接口，在機(jī)主不知情的情況下，完成主副卡綁定。

3.在某品牌智能手機(jī)云服務(wù)平臺(tái)發(fā)起強(qiáng)制關(guān)機(jī)指令，接收相關(guān)驗(yàn)證碼，完成“盜刷”操作。

犯罪嫌疑人通過(guò)某品牌智能手機(jī)云服務(wù)的“找手機(jī)—銷毀資料”功能，頻繁發(fā)起“銷毀資料”指令，強(qiáng)制讓何先生的手機(jī)處于關(guān)機(jī)狀態(tài)。期間利用接收到的短信驗(yàn)證碼，入侵其網(wǎng)絡(luò)網(wǎng)購(gòu)平臺(tái)賬號(hào)用白條消費(fèi)，再發(fā)起互聯(lián)網(wǎng)貸款，將相關(guān)錢款通過(guò)何先生的銀行卡轉(zhuǎn)賬到犯罪嫌疑人賬戶中。

中國(guó)移動(dòng)認(rèn)為，此次案件中，何先生的銀行卡號(hào)、取款密碼、預(yù)留手機(jī)號(hào)、身份證號(hào)已通過(guò)其他途徑泄露并被犯罪嫌疑人掌握，借助這些信息，犯罪嫌疑人攻破其智能手機(jī)云服務(wù)平臺(tái)賬號(hào)，利用平臺(tái)提供的“短信回復(fù)”接口完成了主副卡綁定，完成錢款竊取。

手機(jī)和云服務(wù)廠商：360發(fā)布了《關(guān)于深圳用戶遭盜號(hào)攻擊的調(diào)查公告》，公告中披露了何先生賬戶被盜的過(guò)程，與中國(guó)移動(dòng)調(diào)查發(fā)現(xiàn)的作案手法情況相符。

360認(rèn)為，種種跡象表明，這是一種由團(tuán)伙作案、分工嚴(yán)密的新型詐騙手段。360OS云服務(wù)“找手機(jī)—銷毀資料”是為了防止用戶手機(jī)丟失導(dǎo)致隱私泄漏，卻由于對(duì)用戶身份驗(yàn)證機(jī)制不夠完善，導(dǎo)致何先生的短信驗(yàn)證碼被他人獲取，360對(duì)此深表歉意，并已對(duì)何先生先行賠付53000元。

目前360OS云服務(wù)已在遠(yuǎn)程管理功能中關(guān)閉“回復(fù)短信”接口，消除此類風(fēng)險(xiǎn)隱患。360在公告中稱：“進(jìn)一步采取這幾個(gè)措施，更全面地保障手機(jī)云服務(wù)安全：第一，加強(qiáng)對(duì)弱密碼和異常登陸情況的檢測(cè)與風(fēng)險(xiǎn)控制；第二，對(duì)云服務(wù)遠(yuǎn)程管理手機(jī)的重要功能開(kāi)啟密保問(wèn)題或短信驗(yàn)證碼的二次驗(yàn)證；第三，經(jīng)過(guò)對(duì)異常登陸情況的排查，我們發(fā)現(xiàn)107名存在被盜號(hào)風(fēng)險(xiǎn)的360OS用戶，對(duì)這些高風(fēng)險(xiǎn)用戶已凍結(jié)賬號(hào)，并短信通知修改密碼?！?/p>

網(wǎng)絡(luò)購(gòu)物平臺(tái)：京東金融安全專家認(rèn)為，此案件屬跨平臺(tái)作案，涉及到運(yùn)營(yíng)商、手機(jī)云服務(wù)商、銀行、第三方支付平臺(tái)、消費(fèi)金融服務(wù)方，行業(yè)需要聯(lián)防聯(lián)控，筑高防護(hù)壁壘。

針對(duì)此類新型電信詐騙案件，安全專家提醒用戶：

1.盡量不要去注冊(cè)小型不安全的網(wǎng)站，避免個(gè)人信息被盜用。

2.在不同的互聯(lián)網(wǎng)平臺(tái)盡量使用不同的登錄密碼和支付密碼，避免使用出生年月或者比較簡(jiǎn)單的數(shù)字排列作為賬戶密碼；在公共場(chǎng)合不要輕易連接免費(fèi)WiFi，不要點(diǎn)擊不明來(lái)路的短信鏈接，以免被木馬病毒入侵。

3.保護(hù)好自己的手機(jī)號(hào)，用戶手機(jī)號(hào)所屬的運(yùn)營(yíng)商也是“黑產(chǎn)”的活躍點(diǎn)，運(yùn)營(yíng)商服務(wù)密碼一定要牢記，不要透露給別人。

4.如果手機(jī)出現(xiàn)無(wú)故停機(jī)狀況，建議用戶第一時(shí)間聯(lián)系運(yùn)營(yíng)商；切莫忽視手機(jī)異常，謹(jǐn)防手機(jī)號(hào)被不法分子控制。

5.若用戶發(fā)現(xiàn)網(wǎng)購(gòu)平臺(tái)賬戶異常，請(qǐng)及時(shí)報(bào)警，并第一時(shí)間撥打平臺(tái)客服熱線反饋問(wèn)題。

6.購(gòu)買賬戶安全險(xiǎn)很有必要，在盜刷事件頻發(fā)的當(dāng)下，用戶購(gòu)買一份賬戶安全險(xiǎn)不失為一個(gè)好的選擇。

亡羊補(bǔ)牢猶未為晚

從此次案件可以看出，犯罪手法有四步。第一步，買料。犯罪分子在網(wǎng)上購(gòu)買“四大件”，也就是姓名、身份證號(hào)、銀行卡號(hào)和預(yù)留手機(jī)號(hào)。第二步，釣魚(yú)。犯罪分子廣撒網(wǎng)，向信息已泄露的用戶發(fā)起綁定副號(hào)的業(yè)務(wù)申請(qǐng)。一旦你誤回復(fù)了，就成了作案對(duì)象。第三步，強(qiáng)迫關(guān)機(jī)。犯罪分子利用短信轟炸強(qiáng)迫目標(biāo)把手機(jī)關(guān)機(jī)，或是利用手機(jī)云服務(wù)對(duì)手機(jī)進(jìn)行遠(yuǎn)程操作。副號(hào)關(guān)機(jī)了，主號(hào)接管短信。第四步，洗劫。利用主號(hào)收到的短信驗(yàn)證碼，犯罪分子對(duì)手機(jī)號(hào)碼綁定的網(wǎng)購(gòu)賬戶進(jìn)行洗劫。

再來(lái)看看當(dāng)事三方的說(shuō)明和做法：360承認(rèn)問(wèn)題，先行賠付，多項(xiàng)內(nèi)部改進(jìn)；中國(guó)移動(dòng)分析問(wèn)題，明確責(zé)任，并積極表態(tài)；京東提醒用戶注意，并給出建議多條，尤其是建議用戶“購(gòu)買賬戶安全險(xiǎn)”。

對(duì)此次事件，我認(rèn)為，對(duì)于網(wǎng)絡(luò)購(gòu)物平臺(tái)而言，通過(guò)姓名、身份證號(hào)、銀行卡號(hào)、預(yù)留手機(jī)號(hào)和手機(jī)驗(yàn)證碼，就可取走巨額資產(chǎn)，這本不應(yīng)該發(fā)生。無(wú)論是直接取現(xiàn)還是通過(guò)白條之類的工具消費(fèi)，行為中已有多處明顯異常，但平臺(tái)沒(méi)有發(fā)現(xiàn)。

對(duì)于用戶而言，360云服務(wù)密碼設(shè)置較弱，才導(dǎo)致被騙子反復(fù)試驗(yàn)盜走。

對(duì)于360而言，利用360提供的服務(wù)不僅可獲取用戶大量的信息，而且可遠(yuǎn)程干擾手機(jī)正常使用，結(jié)果導(dǎo)致手機(jī)號(hào)被置為副號(hào)并盜走驗(yàn)證碼。

對(duì)于中國(guó)移動(dòng)而言，副號(hào)申請(qǐng)流程是否可以更嚴(yán)謹(jǐn)？和多號(hào)在打通親情號(hào)和一卡雙號(hào)業(yè)務(wù)時(shí)，是否在某些場(chǎng)景可以做得更嚴(yán)謹(jǐn)一些？

最后想說(shuō)的是，何先生獲得了先行賠付，個(gè)人沒(méi)有損失。此案中大量付款行為是通過(guò)網(wǎng)購(gòu)形成，有詳細(xì)的物流記錄，公安機(jī)關(guān)定會(huì)偵破。但事件不應(yīng)該就此結(jié)束，應(yīng)該繼續(xù)追問(wèn)一下：

該案中，手機(jī)號(hào)的驗(yàn)證碼成為盜取巨額資金的關(guān)鍵。驗(yàn)證碼加上姓名、銀行卡號(hào)、身份證號(hào)和預(yù)留手機(jī)號(hào)，就可以盜走用戶的巨額資金，這合理嗎？像姓名、身份證號(hào)、手機(jī)號(hào)這基本上都是公開(kāi)信息，獲得并不難；銀行卡號(hào)也只能算半公開(kāi)信息。而通過(guò)這四個(gè)公開(kāi)或半公開(kāi)的信息，加上隨機(jī)發(fā)送且短時(shí)間內(nèi)有效的手機(jī)號(hào)驗(yàn)證碼，就可以修改網(wǎng)銀支付密碼，通過(guò)ATM機(jī)取現(xiàn)，通過(guò)網(wǎng)銀快捷支付付款。打個(gè)比如說(shuō)，如果丟了5百塊的手機(jī)，也許銀行卡里五萬(wàn)元就沒(méi)了，這不值得深思嗎？