個(gè)人信息泄露 一條短信盜走積蓄

責(zé)任編輯:editor006

2016-04-20 17:06:35

摘自:新浪網(wǎng)

支付寶“先行賠付”許先生一萬(wàn)多元損失,百度錢(qián)包承諾賠付,北京移動(dòng)稱(chēng)業(yè)務(wù)流程辦理正常,涉事銀行稱(chēng)客戶(hù)“泄密”導(dǎo)致資金受損。

在回復(fù)了一條短信后,一夜之間,許先生的積蓄幾乎全部被人轉(zhuǎn)走。銀行卡、支付寶和百度錢(qián)包的錢(qián)在幾個(gè)小時(shí)內(nèi)被騙子輕易轉(zhuǎn)出去,自己眼睜睜看著,卻無(wú)能為力。

網(wǎng)絡(luò)安全專(zhuān)家分析,根據(jù)許先生提供的信息,騙子在實(shí)施詐騙前已經(jīng)獲取了受害人的銀行卡號(hào)、身份證號(hào)、姓名、手機(jī)號(hào)等個(gè)人信息。只需要獲得驗(yàn)證碼即可實(shí)施盜竊。

據(jù)新京報(bào)記者采訪獲悉,在買(mǎi)賣(mài)身份證、銀行卡、手機(jī)號(hào)等個(gè)人信息的“黑市”中,在QQ上3-5毛錢(qián)就可以買(mǎi)到一條。網(wǎng)絡(luò)安全專(zhuān)家表示,不法分子獲取個(gè)人信息主要的途徑包括無(wú)良商家盜賣(mài)、網(wǎng)站數(shù)據(jù)竊取、木馬病毒攻擊、釣魚(yú)網(wǎng)站詐騙、二手手機(jī)泄密和新型黑客技術(shù)竊取等。

[事件]

將驗(yàn)證碼回復(fù)過(guò)去 幾小時(shí)內(nèi)錢(qián)被盜

北京的許先生因根據(jù)提示回復(fù)了一條短信,幾個(gè)小時(shí)內(nèi)積蓄幾乎被悉數(shù)盜走,涉及三張銀行卡及支付寶、百度錢(qián)包。

一周來(lái)北京市的許先生過(guò)得很糟心,一直在為自己被盜的積蓄奔波。許先生告訴新京報(bào)記者,自己一直在創(chuàng)業(yè),好不容易有了點(diǎn)積蓄,卻在幾個(gè)小時(shí)內(nèi)幾乎被悉數(shù)盜走。涉及三張銀行卡,以及支付寶和百度錢(qián)包。事情的起因是自己根據(jù)提示回復(fù)了一條短信。

4月8日,許先生在下班回家的地鐵上收到一條10086的短信,提示他手機(jī)開(kāi)通了一項(xiàng)名為“中廣財(cái)經(jīng)半年包”的業(yè)務(wù);接著又收到一條“10658+手機(jī)號(hào)”發(fā)來(lái)的短信,稱(chēng)回復(fù)“取消+校驗(yàn)碼”可退訂業(yè)務(wù);與此同時(shí),許先生收到10086發(fā)來(lái)的“USIM卡6位驗(yàn)證碼”。正想退訂業(yè)務(wù)的許先生就根據(jù)提示將驗(yàn)證碼發(fā)送過(guò)去。之后“災(zāi)難”就開(kāi)始了。

半個(gè)小時(shí)后,許先生的手機(jī)無(wú)法上網(wǎng)和通話,此時(shí)他還以為是中國(guó)移動(dòng)開(kāi)通業(yè)務(wù)后導(dǎo)致手機(jī)停機(jī);不過(guò)一個(gè)小時(shí)后,許先生發(fā)現(xiàn)事情并非如同他的猜測(cè),自己的支付寶開(kāi)始向綁定的銀行卡轉(zhuǎn)賬,而銀行卡的網(wǎng)銀密碼也被修改了,他本人無(wú)法登錄。除了用支付寶轉(zhuǎn)賬外,他的百度錢(qián)包也被人綁定關(guān)聯(lián)了銀行卡,參與了轉(zhuǎn)賬。最終許先生銀行卡和支付寶里的錢(qián)都被轉(zhuǎn)走了。

在此期間,許先生采取了不少措施,比如嘗試將錢(qián)轉(zhuǎn)到其他的銀行卡上,解除銀行卡與支付寶的綁定等,但都沒(méi)能挽回?fù)p失。許先生說(shuō):“我是同一時(shí)間在和TA搶錢(qián),而最后,我啥也沒(méi)搶回來(lái)。”

[探因]

被盜刷前銀行卡身份證等信息已泄露

網(wǎng)絡(luò)安全專(zhuān)家表示,這是一起典型的綜合利用“個(gè)人信息+USIM卡+改號(hào)軟件發(fā)送詐騙短信”的案件。

許先生的錢(qián)究竟是如何被盜走的呢?新京報(bào)記者就此采訪了360互聯(lián)網(wǎng)安全中心網(wǎng)絡(luò)安全專(zhuān)家劉洋,劉洋表示,按照許先生的描述,這是一起典型的綜合利用“個(gè)人信息+USIM卡+改號(hào)軟件發(fā)送詐騙短信”的案件。

“根據(jù)已有的信息判斷,在實(shí)施詐騙之前,騙子掌握了大量受害者的個(gè)人信息,包括姓名、手機(jī)號(hào)、身份證號(hào)、網(wǎng)銀賬戶(hù)和密碼,銀行預(yù)留的驗(yàn)證手機(jī)號(hào)。”劉洋說(shuō),在這種情況下,騙子只需要得到許先生的短信驗(yàn)證碼,即可進(jìn)行轉(zhuǎn)賬操作。于是,騙子選擇利用移動(dòng)的USIM補(bǔ)換卡業(yè)務(wù),直接竊取用戶(hù)手機(jī)卡,并由此可以掌握該用戶(hù)的全部手機(jī)短信,包括轉(zhuǎn)賬必需的“驗(yàn)證碼短信”內(nèi)容。

根據(jù)劉洋的解釋?zhuān)_子先獲取了許先生移動(dòng)網(wǎng)上營(yíng)業(yè)廳賬號(hào)密碼,給許先生訂購(gòu)手機(jī)報(bào)增值業(yè)務(wù),以便干擾他的判斷,認(rèn)為被強(qiáng)制訂購(gòu)業(yè)務(wù);實(shí)際上,這時(shí)騙子通過(guò)網(wǎng)上營(yíng)業(yè)廳辦理USIM換補(bǔ)卡業(yè)務(wù),使得許先生收到中國(guó)移動(dòng)發(fā)送的短信驗(yàn)證碼;騙子再利用改號(hào)軟件定向給許先生發(fā)送短信,提示他退訂增值業(yè)務(wù)需回復(fù)短信“取消+驗(yàn)證碼”,誘騙許先生把“USIM卡補(bǔ)換卡驗(yàn)證碼”當(dāng)成“取消訂購(gòu)業(yè)務(wù)驗(yàn)證碼”發(fā)送過(guò)去,交給騙子。

辦理USIM卡補(bǔ)換卡業(yè)務(wù)后,原手機(jī)上的卡就不能用了,騙子利用了這個(gè)漏洞竊取了許先生的手機(jī)號(hào),在具備許先生的個(gè)人信息后,騙子可以輕易獲取任何轉(zhuǎn)賬支付需要的驗(yàn)證碼,進(jìn)行支付寶、網(wǎng)銀等轉(zhuǎn)賬支付。

新京報(bào)記者4月18日登錄移動(dòng)官網(wǎng)查看發(fā)現(xiàn),移動(dòng)這項(xiàng)業(yè)務(wù)已進(jìn)行了安全機(jī)制上的更新,用戶(hù)如果沒(méi)有申請(qǐng)備卡就不能辦理該業(yè)務(wù)。而且移動(dòng)會(huì)提醒:即將在中國(guó)移動(dòng)北京公司辦理補(bǔ)卡。

據(jù)上述涉事銀行內(nèi)部人士分析,該客戶(hù)身份信息、銀行卡號(hào)、網(wǎng)銀登錄密碼、手機(jī)號(hào)均泄露,特別是手機(jī)號(hào)及手機(jī)接收到的信息被犯罪分子控制??蛻?hù)在支付機(jī)構(gòu)通過(guò)“姓名、銀行卡號(hào)、證件類(lèi)型和證件號(hào)、手機(jī)號(hào)、手機(jī)驗(yàn)證碼”綁定銀行卡,支付過(guò)程中,驗(yàn)證客戶(hù)在支付機(jī)構(gòu)設(shè)置的密碼。

上述銀行人士表示,在與支付機(jī)構(gòu)合作快捷支付業(yè)務(wù)中,銀行一般會(huì)建立相應(yīng)的風(fēng)控機(jī)制,例如客戶(hù)簽約的手機(jī)號(hào)碼應(yīng)在銀行柜面或通過(guò)網(wǎng)銀U盾驗(yàn)證,以防不法分子利用。同時(shí),對(duì)支付機(jī)構(gòu)的快捷業(yè)務(wù)設(shè)置了相應(yīng)限額,分為單筆累計(jì)、日累計(jì)和月累計(jì),如出現(xiàn)資金盜刷,可降低被盜資金額度風(fēng)險(xiǎn)。后續(xù),該行將與客戶(hù)一起盡快解決問(wèn)題,減少客戶(hù)損失。提示廣大客戶(hù),妥善保護(hù)好個(gè)人信息,防止個(gè)人信息泄露。

[調(diào)查]

個(gè)人信息“黑市”交易3毛一條

目前非法獲取消費(fèi)者個(gè)人信息的形式主要有無(wú)良商家盜賣(mài)、網(wǎng)站數(shù)據(jù)竊取、木馬病毒攻擊、釣魚(yú)網(wǎng)站詐騙、二手手機(jī)泄密和信息黑客技術(shù)竊取等。

個(gè)人信息被當(dāng)成商品在“黑市”交易已不是秘密。

新京報(bào)記者通過(guò)調(diào)查發(fā)現(xiàn),網(wǎng)上有不少出售個(gè)人信息的QQ群,在一個(gè)名為“出售個(gè)人信息數(shù)據(jù)”的QQ群里,不少人在群里咨詢(xún)“求購(gòu)車(chē)主信息”“有沒(méi)有身份證銀行卡加密碼信息”……

新京報(bào)記者以需要個(gè)人信息的名義聯(lián)系名為“客服3”的管理員,在提供從城市、具體要求之后,該管理員發(fā)來(lái)一份“樣例”,并聲稱(chēng)資料靠譜。

據(jù)其描述,不同要求的資料價(jià)格也不同。其中只有姓名、身份證號(hào)、手機(jī)號(hào)等信息的話,一手資料2元/條,二手資料0.3元/條。“銀行的貴,帶密不做,風(fēng)險(xiǎn)高。”該管理員稱(chēng),一般加上銀行卡號(hào)后,一手信息會(huì)升到一條5元,二手信息也升到0.5元一條。

此后,記者又試圖添加其他QQ群,大部分都沒(méi)有審核通過(guò)。其中有一位自稱(chēng)“網(wǎng)絡(luò)大咖”的出售人員表示,“1萬(wàn)數(shù)據(jù)2800元,服務(wù)器提取一手?jǐn)?shù)據(jù)”,并稱(chēng)統(tǒng)一先收費(fèi)再操作。當(dāng)記者詢(xún)問(wèn)能否提供“試用”,遭到對(duì)方的拒絕。

“目前非法獲取消費(fèi)者個(gè)人信息的形式主要有無(wú)良商家盜賣(mài)、網(wǎng)站數(shù)據(jù)竊取、木馬病毒攻擊、釣魚(yú)網(wǎng)站詐騙、二手手機(jī)泄密和信息黑客技術(shù)竊取等。”劉洋說(shuō)。

據(jù)劉洋介紹,無(wú)良商家倒賣(mài)主要是某些掌握大量用戶(hù)個(gè)人信息的商業(yè)機(jī)構(gòu)由于管理不善,內(nèi)部員工盜賣(mài)用戶(hù)個(gè)人信息的事件時(shí)有發(fā)生;木馬病毒竊取個(gè)人信息主要是針對(duì)上網(wǎng)賬號(hào),統(tǒng)計(jì)顯示,超過(guò)一半的流行木馬病毒與網(wǎng)絡(luò)盜號(hào)相關(guān)。而且盜號(hào)木馬主要針對(duì)的用戶(hù)的游戲賬號(hào)、社交賬號(hào)、網(wǎng)銀賬號(hào)和其他支付賬號(hào);二手手機(jī)泄密是指用戶(hù)出售自己二手手機(jī)時(shí),即便將通訊錄、短信、通話記錄等信息全部刪除,但如果沒(méi)有對(duì)手機(jī)中存儲(chǔ)的信息進(jìn)行徹底的銷(xiāo)毀,則有可能被不法分子惡意恢復(fù)數(shù)據(jù)并用于不法目的。

2015年,關(guān)于網(wǎng)站被拖庫(kù)、撞庫(kù)的新聞時(shí)常見(jiàn)諸各類(lèi)媒體。在網(wǎng)站數(shù)據(jù)竊取方面,劉洋表示,統(tǒng)計(jì)顯示,僅補(bǔ)天平臺(tái)在2015年收錄了可造成個(gè)人信息泄露的漏洞就多達(dá)1410個(gè),涉及網(wǎng)站1282個(gè),可導(dǎo)致泄露的個(gè)人信息量高達(dá)55.3億條,這一數(shù)字較2014年的23.6億條翻了一倍多。如果按照中國(guó)網(wǎng)民總數(shù)為6.5億計(jì)算,這一數(shù)字也就意味著,僅僅在2015年這一年,平均每個(gè)中國(guó)網(wǎng)民至少可能泄露了8條以上的個(gè)人信息。

除此之外,還有新型“黑客”技術(shù)竊取,劉洋介紹,目前一些新型的黑客攻擊技術(shù)也在被越來(lái)越多地用于竊取消費(fèi)者個(gè)人信息。比如偽基站可以偽裝成任意號(hào)碼向用戶(hù)發(fā)送詐騙短信,并誘騙手機(jī)用戶(hù)登錄釣魚(yú)網(wǎng)站;釣魚(yú)WiFi則可以直接監(jiān)聽(tīng)接入該WiFi網(wǎng)絡(luò)用戶(hù)的所有上網(wǎng)行為。

[追問(wèn)]

誰(shuí)來(lái)為被盜刷“埋單”?

支付寶“先行賠付”許先生一萬(wàn)多元損失,百度錢(qián)包承諾賠付,北京移動(dòng)稱(chēng)業(yè)務(wù)流程辦理正常,涉事銀行稱(chēng)客戶(hù)“泄密”導(dǎo)致資金受損。

“事情發(fā)生后,都不知道該找誰(shuí)負(fù)責(zé)。”許先生說(shuō),他先后找了移動(dòng)、銀行、支付寶和百度錢(qián)包,支付寶和百度錢(qián)包答應(yīng)賠償部分損失。移動(dòng)和各家銀行都沒(méi)有賠償?shù)恼f(shuō)法。

北京移動(dòng)10086熱線4月12日在微博上公布了調(diào)查結(jié)果稱(chēng),4月8日17時(shí)54分,有人用許先生的手機(jī)號(hào)碼和他自設(shè)的密碼登錄了北京移動(dòng)官方網(wǎng)站,經(jīng)網(wǎng)站彈屏二次確認(rèn)后,辦理“中廣財(cái)經(jīng)半年包”業(yè)務(wù),IP地址顯示登錄地點(diǎn)在海南???;18時(shí)13分,有人用同樣的方式登錄該網(wǎng)站辦理了更換4G USIM卡業(yè)務(wù),系統(tǒng)向客戶(hù)本機(jī)下發(fā)換卡二次確認(rèn)驗(yàn)證碼,也就是6位USIM驗(yàn)證碼,該密碼被輸入后,換卡成功。北京移動(dòng)稱(chēng),以上業(yè)務(wù)流程辦理正常。

另外,4月18日后,中移動(dòng)的USIM卡換卡業(yè)務(wù)已進(jìn)行了安全機(jī)制上的更新,用戶(hù)如果沒(méi)有申請(qǐng)備卡就不能辦理該業(yè)務(wù)。

支付寶相關(guān)負(fù)責(zé)人向新京報(bào)記者表示,已經(jīng)在4月11日中午賠付當(dāng)事人一萬(wàn)多元損失。“按理來(lái)說(shuō)只能賠償在支付寶平臺(tái)上損失的資金,這個(gè)用戶(hù)的很多資金是通過(guò)銀行卡轉(zhuǎn)調(diào)的。”據(jù)該負(fù)責(zé)人介紹,因?yàn)榘咐容^特殊,當(dāng)事人也比較緊張,所以就走了特殊的先行賠付流程。

在當(dāng)事人的描述中,其手機(jī)號(hào)碼出現(xiàn)問(wèn)題后,支付寶就發(fā)生了非本人的轉(zhuǎn)賬操作。而據(jù)上述負(fù)責(zé)人介紹,支付寶要是忘記密碼后進(jìn)行密碼更改,至少需要兩重驗(yàn)證,包括“手機(jī)+身份證”及“身份證+安全問(wèn)題”。但她同時(shí)表示,該案例的特殊性在于,當(dāng)事人的手機(jī)卡被人用幾條短信就復(fù)制并掌握,同時(shí)當(dāng)事人本身的身份證號(hào)、銀行卡號(hào),甚至交易密碼都可能泄露了。

百度錢(qián)包的相關(guān)負(fù)責(zé)人也向新京報(bào)記者表示,在全程跟進(jìn)該事件,并已經(jīng)請(qǐng)用戶(hù)提供相關(guān)材料,承諾賠付。“之前的問(wèn)題在于回復(fù)了短信導(dǎo)致他的個(gè)人信息被盜,然后有人在我們平臺(tái)上進(jìn)行一系列動(dòng)作。”該負(fù)責(zé)人表示,要是身份信息被別人拿走的話,這些操作都是可做的,不管在哪個(gè)支付平臺(tái)。

新京報(bào)記者也就此事采訪了上述三家涉事銀行。對(duì)于許先生所稱(chēng)的期間“網(wǎng)銀根本登不上”,其中一家銀行相關(guān)負(fù)責(zé)人表示:“通過(guò)該客戶(hù)的描述,推斷客戶(hù)可能已泄露包括銀行卡密碼在內(nèi)的相關(guān)信息。”據(jù)銀行方面介紹,客戶(hù)轉(zhuǎn)賬時(shí)需驗(yàn)證銀行卡卡號(hào)、取款密碼和短信驗(yàn)證碼等多個(gè)要素均正確后才可轉(zhuǎn)賬成功。

“該客戶(hù)的網(wǎng)上銀行轉(zhuǎn)賬功能在此之前已由本人開(kāi)通,后因泄露包括銀行卡密碼在內(nèi)的主要個(gè)人信息導(dǎo)致賬戶(hù)資金受損。”銀行稱(chēng),已回電客戶(hù),目前資金實(shí)時(shí)轉(zhuǎn)出銀行確實(shí)無(wú)法進(jìn)一步處理,關(guān)于資金問(wèn)題還需客戶(hù)催促警方盡快偵破案件,銀行會(huì)全力配合警方處理。

分析

“經(jīng)營(yíng)者若有安全漏洞須承擔(dān)一定責(zé)任”

劉洋表示,就目前掌握的情況初步推斷,之前運(yùn)營(yíng)商存在備卡激活太簡(jiǎn)單的問(wèn)題,只要登錄營(yíng)業(yè)廳,就可以如描述中辦理了,目前運(yùn)營(yíng)商已經(jīng)升級(jí)了安全的防護(hù),說(shuō)明對(duì)此前這個(gè)短板進(jìn)行了填補(bǔ)。

劉洋認(rèn)為,目前第三方支付和銀行,無(wú)論是修改密碼和轉(zhuǎn)賬,都需要短信驗(yàn)證碼,此案中嫌疑人已經(jīng)有了受害者手機(jī)號(hào),接收驗(yàn)證碼等于完全沒(méi)有問(wèn)題,因此容易“作案”。如果更嚴(yán)格,比如必須網(wǎng)銀“U盾”登錄、轉(zhuǎn)賬等,用戶(hù)在使用上可能會(huì)覺(jué)得不方便。建議利用大數(shù)據(jù)加入一些更加隱秘的驗(yàn)證方式,比如在新登錄時(shí)須有朋友驗(yàn)證,即使被盜取了驗(yàn)證碼,還需要選擇認(rèn)識(shí)的朋友才可以使用。

中國(guó)通信業(yè)知名觀察家項(xiàng)立剛表示,事件中有一點(diǎn)是許先生將USIM換卡業(yè)務(wù)驗(yàn)證碼當(dāng)做退訂業(yè)務(wù)驗(yàn)證碼,發(fā)到騙子用改號(hào)軟件修改過(guò)的號(hào)碼上,用戶(hù)在這方面有些疏忽大意。

北京匯佳律師事務(wù)所邱寶昌認(rèn)為,最終責(zé)任人是盜取信息和實(shí)施詐騙的犯罪嫌疑人。從中國(guó)移動(dòng)、銀行和第三方支付來(lái)看,如果這些經(jīng)營(yíng)者有安全漏洞或者瑕疵就要承擔(dān)一定的責(zé)任,要先行賠付客戶(hù),加大安全等級(jí)設(shè)置。

■ 建議

對(duì)于如何保護(hù)好個(gè)人信息,防止賬戶(hù)被盜刷,360互聯(lián)網(wǎng)安全中心網(wǎng)絡(luò)安全專(zhuān)家劉洋給出了建議。

●如何保護(hù)好個(gè)人信息?

1、銀行賬戶(hù)、支付賬戶(hù)、普通網(wǎng)站會(huì)員賬號(hào)需要區(qū)別使用賬號(hào)名和密碼,每3個(gè)月修改一次密碼,密碼組合盡量采用大寫(xiě)字母、小寫(xiě)字母、數(shù)字等組合。

2、對(duì)于需要填寫(xiě)身份證號(hào)、銀行卡號(hào)、銀行密碼等信息時(shí),需要認(rèn)真檢查網(wǎng)站合法性,如查詢(xún)備案信息,使用360瀏覽器的照妖鏡功能等進(jìn)行網(wǎng)站鑒定。

3、不隨意登錄不明WIFI,打開(kāi)不明短信中的鏈接,下載不明軟件,PC和電腦中安裝安全軟件,及時(shí)查殺木馬病毒軟件,攔截釣魚(yú)鏈接。

4、處理舊手機(jī)、電腦等帶有個(gè)人信息的電子產(chǎn)品時(shí),利用專(zhuān)業(yè)軟件將個(gè)人信息刪除并保證不可恢復(fù)狀態(tài)。

●如何防止賬戶(hù)被盜刷?

1、辦理網(wǎng)銀業(yè)務(wù)時(shí),申請(qǐng)U頓功能,防止被盜后被輕易修改網(wǎng)銀設(shè)置。

2、設(shè)置日常轉(zhuǎn)賬、購(gòu)物額度,防止大額金額被直接盜刷。

3、手機(jī)銀行采用最高的安全設(shè)置,如綁定手機(jī)設(shè)備,轉(zhuǎn)賬匯款等采用短信驗(yàn)證碼和取款密碼等組合。

4、大額閑置資金存為定期,每3個(gè)月修改一次銀行卡取款密碼、網(wǎng)銀登錄密碼。

●怎么提高防騙意識(shí)?

1、收到熟人發(fā)來(lái)的轉(zhuǎn)賬、代付款等信息后,需要電話當(dāng)面確認(rèn)是否屬實(shí)。

2、收到銀行、運(yùn)營(yíng)商等商業(yè)機(jī)構(gòu)發(fā)來(lái)的短信,如有鏈接不要輕易點(diǎn)擊,不要輕易安裝鏈接中的軟件。接到電話,可以采用回?fù)芄俜娇头姆绞竭M(jìn)行確認(rèn),不要輕信電話中所說(shuō)的內(nèi)容。

3、警惕冒充公檢法等政府機(jī)構(gòu)的短信、電話,如若收到,可以咨詢(xún)親友意見(jiàn)、到當(dāng)?shù)叵嚓P(guān)機(jī)構(gòu)進(jìn)行核實(shí)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)