在回復(fù)了一條短信后，一夜之間，許先生的積蓄幾乎全部被人轉(zhuǎn)走。銀行卡、支付寶和百度錢包的錢在幾個小時內(nèi)被騙子輕易轉(zhuǎn)出去，自己眼睜睜看著，卻無能為力。

　　網(wǎng)絡(luò)安全專家分析，根據(jù)許先生提供的信息，騙子在實施詐騙前已經(jīng)獲取了受害人的銀行卡號、身份證號、姓名、手機(jī)號等個人信息。只需要獲得驗證碼即可實施盜竊。

　　據(jù)新京報記者采訪獲悉，在買賣身份證、銀行卡、手機(jī)號等個人信息的“黑市”中，在QQ上3-5毛錢就可以買到一條。網(wǎng)絡(luò)安全專家表示，不法分子獲取個人信息主要的途徑包括無良商家盜賣、網(wǎng)站數(shù)據(jù)竊取、木馬病毒攻擊、釣魚網(wǎng)站詐騙、二手手機(jī)泄密和新型黑客技術(shù)竊取等。

　　【事件】

　　將驗證碼回復(fù)過去 幾小時內(nèi)錢被盜

　　北京的許先生因根據(jù)提示回復(fù)了一條短信，幾個小時內(nèi)積蓄幾乎被悉數(shù)盜走，涉及三張銀行卡及支付寶、百度錢包。

　　一周來北京市的許先生過得很糟心，一直在為自己被盜的積蓄奔波。許先生告訴新京報記者，自己一直在創(chuàng)業(yè)，好不容易有了點積蓄，卻在幾個小時內(nèi)幾乎被悉數(shù)盜走。涉及三張銀行卡，以及支付寶和百度錢包。事情的起因是自己根據(jù)提示回復(fù)了一條短信。

　　4月8日，許先生在下班回家的地鐵上收到一條10086的短信，提示他手機(jī)開通了一項名為“中廣財經(jīng)半年包”的業(yè)務(wù)；接著又收到一條“10658＋手機(jī)號”發(fā)來的短信，稱回復(fù)“取消＋校驗碼”可退訂業(yè)務(wù)；與此同時，許先生收到10086發(fā)來的“USIM卡6位驗證碼”。正想退訂業(yè)務(wù)的許先生就根據(jù)提示將驗證碼發(fā)送過去。之后“災(zāi)難”就開始了。

　　半個小時后，許先生的手機(jī)無法上網(wǎng)和通話，此時他還以為是中國移動開通業(yè)務(wù)后導(dǎo)致手機(jī)停機(jī)；不過一個小時后，許先生發(fā)現(xiàn)事情并非如同他的猜測，自己的支付寶開始向綁定的銀行卡轉(zhuǎn)賬，而銀行卡的網(wǎng)銀密碼也被修改了，他本人無法登錄。除了用支付寶轉(zhuǎn)賬外，他的百度錢包也被人綁定關(guān)聯(lián)了銀行卡，參與了轉(zhuǎn)賬。最終許先生銀行卡和支付寶里的錢都被轉(zhuǎn)走了。

　　在此期間，許先生采取了不少措施，比如嘗試將錢轉(zhuǎn)到其他的銀行卡上，解除銀行卡與支付寶的綁定等，但都沒能挽回?fù)p失。許先生說：“我是同一時間在和TA搶錢，而最后，我啥也沒搶回來?！?/p>

　　【探因】

　　被盜刷前銀行卡身份證等信息已泄露

　　網(wǎng)絡(luò)安全專家表示，這是一起典型的綜合利用“個人信息＋USIM卡＋改號軟件發(fā)送詐騙短信”的案件。

　　許先生的錢究竟是如何被盜走的呢？新京報記者就此采訪了360互聯(lián)網(wǎng)安全中心網(wǎng)絡(luò)安全專家劉洋，劉洋表示，按照許先生的描述，這是一起典型的綜合利用“個人信息＋USIM卡＋改號軟件發(fā)送詐騙短信”的案件。

　　“根據(jù)已有的信息判斷，在實施詐騙之前，騙子掌握了大量受害者的個人信息，包括姓名、手機(jī)號、身份證號、網(wǎng)銀賬戶和密碼，銀行預(yù)留的驗證手機(jī)號。”劉洋說，在這種情況下，騙子只需要得到許先生的短信驗證碼，即可進(jìn)行轉(zhuǎn)賬操作。于是，騙子選擇利用移動的USIM補(bǔ)換卡業(yè)務(wù)，直接竊取用戶手機(jī)卡，并由此可以掌握該用戶的全部手機(jī)短信，包括轉(zhuǎn)賬必需的“驗證碼短信”內(nèi)容。

　　根據(jù)劉洋的解釋，騙子先獲取了許先生移動網(wǎng)上營業(yè)廳賬號密碼，給許先生訂購手機(jī)報增值業(yè)務(wù)，以便干擾他的判斷，認(rèn)為被強(qiáng)制訂購業(yè)務(wù)；實際上，這時騙子通過網(wǎng)上營業(yè)廳辦理USIM換補(bǔ)卡業(yè)務(wù)，使得許先生收到中國移動發(fā)送的短信驗證碼；騙子再利用改號軟件定向給許先生發(fā)送短信，提示他退訂增值業(yè)務(wù)需回復(fù)短信“取消＋驗證碼”，誘騙許先生把“USIM卡補(bǔ)換卡驗證碼”當(dāng)成“取消訂購業(yè)務(wù)驗證碼”發(fā)送過去，交給騙子。

　　辦理USIM卡補(bǔ)換卡業(yè)務(wù)后，原手機(jī)上的卡就不能用了，騙子利用了這個漏洞竊取了許先生的手機(jī)號，在具備許先生的個人信息后，騙子可以輕易獲取任何轉(zhuǎn)賬支付需要的驗證碼，進(jìn)行支付寶、網(wǎng)銀等轉(zhuǎn)賬支付。

　　新京報記者4月18日登錄移動官網(wǎng)查看發(fā)現(xiàn)，移動這項業(yè)務(wù)已進(jìn)行了安全機(jī)制上的更新，用戶如果沒有申請備卡就不能辦理該業(yè)務(wù)。而且移動會提醒：即將在中國移動北京公司辦理補(bǔ)卡。

　　據(jù)上述涉事銀行內(nèi)部人士分析，該客戶身份信息、銀行卡號、網(wǎng)銀登錄密碼、手機(jī)號均泄露，特別是手機(jī)號及手機(jī)接收到的信息被犯罪分子控制?？蛻粼谥Ц稒C(jī)構(gòu)通過“姓名、銀行卡號、證件類型和證件號、手機(jī)號、手機(jī)驗證碼”綁定銀行卡，支付過程中，驗證客戶在支付機(jī)構(gòu)設(shè)置的密碼。

　　上述銀行人士表示，在與支付機(jī)構(gòu)合作快捷支付業(yè)務(wù)中，銀行一般會建立相應(yīng)的風(fēng)控機(jī)制，例如客戶簽約的手機(jī)號碼應(yīng)在銀行柜面或通過網(wǎng)銀U盾驗證，以防不法分子利用。同時，對支付機(jī)構(gòu)的快捷業(yè)務(wù)設(shè)置了相應(yīng)限額，分為單筆累計、日累計和月累計，如出現(xiàn)資金盜刷，可降低被盜資金額度風(fēng)險。后續(xù)，該行將與客戶一起盡快解決問題，減少客戶損失。提示廣大客戶，妥善保護(hù)好個人信息，防止個人信息泄露。

　　【調(diào)查】

　　個人信息“黑市”交易3毛一條

　　目前非法獲取消費者個人信息的形式主要有無良商家盜賣、網(wǎng)站數(shù)據(jù)竊取、木馬病毒攻擊、釣魚網(wǎng)站詐騙、二手手機(jī)泄密和信息黑客技術(shù)竊取等。

　　個人信息被當(dāng)成商品在“黑市”交易已不是秘密。

　　新京報記者通過調(diào)查發(fā)現(xiàn)，網(wǎng)上有不少出售個人信息的QQ群，在一個名為“出售個人信息數(shù)據(jù)”的QQ群里，不少人在群里咨詢“求購車主信息”“有沒有身份證銀行卡加密碼信息”……

　　新京報記者以需要個人信息的名義聯(lián)系名為“客服3”的管理員，在提供從城市、具體要求之后，該管理員發(fā)來一份“樣例”，并聲稱資料靠譜。

　　據(jù)其描述，不同要求的資料價格也不同。其中只有姓名、身份證號、手機(jī)號等信息的話，一手資料2元/條，二手資料0.3元/條?！般y行的貴，帶密不做，風(fēng)險高?！痹摴芾韱T稱，一般加上銀行卡號后，一手信息會升到一條5元，二手信息也升到0.5元一條。

　　此后，記者又試圖添加其他QQ群，大部分都沒有審核通過。其中有一位自稱“網(wǎng)絡(luò)大咖”的出售人員表示，“1萬數(shù)據(jù)2800元，服務(wù)器提取一手?jǐn)?shù)據(jù)”，并稱統(tǒng)一先收費再操作。當(dāng)記者詢問能否提供“試用”，遭到對方的拒絕。

　　“目前非法獲取消費者個人信息的形式主要有無良商家盜賣、網(wǎng)站數(shù)據(jù)竊取、木馬病毒攻擊、釣魚網(wǎng)站詐騙、二手手機(jī)泄密和信息黑客技術(shù)竊取等。”劉洋說。

　　據(jù)劉洋介紹，無良商家倒賣主要是某些掌握大量用戶個人信息的商業(yè)機(jī)構(gòu)由于管理不善，內(nèi)部員工盜賣用戶個人信息的事件時有發(fā)生；木馬病毒竊取個人信息主要是針對上網(wǎng)賬號，統(tǒng)計顯示，超過一半的流行木馬病毒與網(wǎng)絡(luò)盜號相關(guān)。而且盜號木馬主要針對的用戶的游戲賬號、社交賬號、網(wǎng)銀賬號和其他支付賬號；二手手機(jī)泄密是指用戶出售自己二手手機(jī)時，即便將通訊錄、短信、通話記錄等信息全部刪除，但如果沒有對手機(jī)中存儲的信息進(jìn)行徹底的銷毀，則有可能被不法分子惡意恢復(fù)數(shù)據(jù)并用于不法目的。

　　2015年，關(guān)于網(wǎng)站被拖庫、撞庫的新聞時常見諸各類媒體。在網(wǎng)站數(shù)據(jù)竊取方面，劉洋表示，統(tǒng)計顯示，僅補(bǔ)天平臺在2015年收錄了可造成個人信息泄露的漏洞就多達(dá)1410個，涉及網(wǎng)站1282個，可導(dǎo)致泄露的個人信息量高達(dá)55.3億條，這一數(shù)字較2014年的23.6億條翻了一倍多。如果按照中國網(wǎng)民總數(shù)為6.5億計算，這一數(shù)字也就意味著，僅僅在2015年這一年，平均每個中國網(wǎng)民至少可能泄露了8條以上的個人信息。

　　除此之外，還有新型“黑客”技術(shù)竊取，劉洋介紹，目前一些新型的黑客攻擊技術(shù)也在被越來越多地用于竊取消費者個人信息。比如偽基站可以偽裝成任意號碼向用戶發(fā)送詐騙短信，并誘騙手機(jī)用戶登錄釣魚網(wǎng)站；釣魚WiFi則可以直接監(jiān)聽接入該WiFi網(wǎng)絡(luò)用戶的所有上網(wǎng)行為。

　　【追問】

　　誰來為被盜刷“埋單”？

　　支付寶“先行賠付”許先生一萬多元損失，百度錢包承諾賠付，北京移動稱業(yè)務(wù)流程辦理正常，涉事銀行稱客戶“泄密”導(dǎo)致資金受損。

　　“事情發(fā)生后，都不知道該找誰負(fù)責(zé)?！痹S先生說，他先后找了移動、銀行、支付寶和百度錢包，支付寶和百度錢包答應(yīng)賠償部分損失。移動和各家銀行都沒有賠償?shù)恼f法。

　　北京移動10086熱線4月12日在微博上公布了調(diào)查結(jié)果稱，4月8日17時54分，有人用許先生的手機(jī)號碼和他自設(shè)的密碼登錄了北京移動官方網(wǎng)站，經(jīng)網(wǎng)站彈屏二次確認(rèn)后，辦理“中廣財經(jīng)半年包”業(yè)務(wù)，IP地址顯示登錄地點在海南?？?；18時13分，有人用同樣的方式登錄該網(wǎng)站辦理了更換4G USIM卡業(yè)務(wù)，系統(tǒng)向客戶本機(jī)下發(fā)換卡二次確認(rèn)驗證碼，也就是6位USIM驗證碼，該密碼被輸入后，換卡成功。北京移動稱，以上業(yè)務(wù)流程辦理正常。

　　另外，4月18日后，中移動的USIM卡換卡業(yè)務(wù)已進(jìn)行了安全機(jī)制上的更新，用戶如果沒有申請備卡就不能辦理該業(yè)務(wù)。

　　支付寶相關(guān)負(fù)責(zé)人向新京報記者表示，已經(jīng)在4月11日中午賠付當(dāng)事人一萬多元損失?！鞍蠢韥碚f只能賠償在支付寶平臺上損失的資金，這個用戶的很多資金是通過銀行卡轉(zhuǎn)調(diào)的?！睋?jù)該負(fù)責(zé)人介紹，因為案例比較特殊，當(dāng)事人也比較緊張，所以就走了特殊的先行賠付流程。

　　在當(dāng)事人的描述中，其手機(jī)號碼出現(xiàn)問題后，支付寶就發(fā)生了非本人的轉(zhuǎn)賬操作。而據(jù)上述負(fù)責(zé)人介紹，支付寶要是忘記密碼后進(jìn)行密碼更改，至少需要兩重驗證，包括“手機(jī)+身份證”及“身份證+安全問題”。但她同時表示，該案例的特殊性在于，當(dāng)事人的手機(jī)卡被人用幾條短信就復(fù)制并掌握，同時當(dāng)事人本身的身份證號、銀行卡號，甚至交易密碼都可能泄露了。

　　百度錢包的相關(guān)負(fù)責(zé)人也向新京報記者表示，在全程跟進(jìn)該事件，并已經(jīng)請用戶提供相關(guān)材料，承諾賠付?！爸暗膯栴}在于回復(fù)了短信導(dǎo)致他的個人信息被盜，然后有人在我們平臺上進(jìn)行一系列動作。”該負(fù)責(zé)人表示，要是身份信息被別人拿走的話，這些操作都是可做的，不管在哪個支付平臺。

　　新京報記者也就此事采訪了上述三家涉事銀行。對于許先生所稱的期間“網(wǎng)銀根本登不上”，其中一家銀行相關(guān)負(fù)責(zé)人表示：“通過該客戶的描述，推斷客戶可能已泄露包括銀行卡密碼在內(nèi)的相關(guān)信息?！睋?jù)銀行方面介紹，客戶轉(zhuǎn)賬時需驗證銀行卡卡號、取款密碼和短信驗證碼等多個要素均正確后才可轉(zhuǎn)賬成功。

　　“該客戶的網(wǎng)上銀行轉(zhuǎn)賬功能在此之前已由本人開通，后因泄露包括銀行卡密碼在內(nèi)的主要個人信息導(dǎo)致賬戶資金受損?！便y行稱，已回電客戶，目前資金實時轉(zhuǎn)出銀行確實無法進(jìn)一步處理，關(guān)于資金問題還需客戶催促警方盡快偵破案件，銀行會全力配合警方處理。

　　分析

　　“經(jīng)營者若有安全漏洞須承擔(dān)一定責(zé)任”

　　劉洋表示，就目前掌握的情況初步推斷，之前運營商存在備卡激活太簡單的問題，只要登錄營業(yè)廳，就可以如描述中辦理了，目前運營商已經(jīng)升級了安全的防護(hù)，說明對此前這個短板進(jìn)行了填補(bǔ)。

　　劉洋認(rèn)為，目前第三方支付和銀行，無論是修改密碼和轉(zhuǎn)賬，都需要短信驗證碼，此案中嫌疑人已經(jīng)有了受害者手機(jī)號，接收驗證碼等于完全沒有問題，因此容易“作案”。如果更嚴(yán)格，比如必須網(wǎng)銀“U盾”登錄、轉(zhuǎn)賬等，用戶在使用上可能會覺得不方便。建議利用大數(shù)據(jù)加入一些更加隱秘的驗證方式，比如在新登錄時須有朋友驗證，即使被盜取了驗證碼，還需要選擇認(rèn)識的朋友才可以使用。

　　中國通信業(yè)知名觀察家項立剛表示，事件中有一點是許先生將USIM換卡業(yè)務(wù)驗證碼當(dāng)做退訂業(yè)務(wù)驗證碼，發(fā)到騙子用改號軟件修改過的號碼上，用戶在這方面有些疏忽大意。

　　北京匯佳律師事務(wù)所邱寶昌認(rèn)為，最終責(zé)任人是盜取信息和實施詐騙的犯罪嫌疑人。從中國移動、銀行和第三方支付來看，如果這些經(jīng)營者有安全漏洞或者瑕疵就要承擔(dān)一定的責(zé)任，要先行賠付客戶，加大安全等級設(shè)置。

　　■ 建議

　　對于如何保護(hù)好個人信息，防止賬戶被盜刷，360互聯(lián)網(wǎng)安全中心網(wǎng)絡(luò)安全專家劉洋給出了建議。

　　●如何保護(hù)好個人信息？

　　1、銀行賬戶、支付賬戶、普通網(wǎng)站會員賬號需要區(qū)別使用賬號名和密碼，每3個月修改一次密碼，密碼組合盡量采用大寫字母、小寫字母、數(shù)字等組合。

　　2、對于需要填寫身份證號、銀行卡號、銀行密碼等信息時，需要認(rèn)真檢查網(wǎng)站合法性，如查詢備案信息，使用360瀏覽器的照妖鏡功能等進(jìn)行網(wǎng)站鑒定。

　　3、不隨意登錄不明WIFI，打開不明短信中的鏈接，下載不明軟件，PC和電腦中安裝安全軟件，及時查殺木馬病毒軟件，攔截釣魚鏈接。

　　4、處理舊手機(jī)、電腦等帶有個人信息的電子產(chǎn)品時，利用專業(yè)軟件將個人信息刪除并保證不可恢復(fù)狀態(tài)。

　　●如何防止賬戶被盜刷？

　　1、辦理網(wǎng)銀業(yè)務(wù)時，申請U頓功能，防止被盜后被輕易修改網(wǎng)銀設(shè)置。

　　2、設(shè)置日常轉(zhuǎn)賬、購物額度，防止大額金額被直接盜刷。

　　3、手機(jī)銀行采用最高的安全設(shè)置，如綁定手機(jī)設(shè)備，轉(zhuǎn)賬匯款等采用短信驗證碼和取款密碼等組合。

　　4、大額閑置資金存為定期，每3個月修改一次銀行卡取款密碼、網(wǎng)銀登錄密碼。

　　●怎么提高防騙意識？

　　1、收到熟人發(fā)來的轉(zhuǎn)賬、代付款等信息后，需要電話當(dāng)面確認(rèn)是否屬實。

　　2、收到銀行、運營商等商業(yè)機(jī)構(gòu)發(fā)來的短信，如有鏈接不要輕易點擊，不要輕易安裝鏈接中的軟件。接到電話，可以采用回?fù)芄俜娇头姆绞竭M(jìn)行確認(rèn)，不要輕信電話中所說的內(nèi)容。

　　3、警惕冒充公檢法等政府機(jī)構(gòu)的短信、電話，如若收到，可以咨詢親友意見、到當(dāng)?shù)叵嚓P(guān)機(jī)構(gòu)進(jìn)行核實。