旧版搜索
  • 新版搜索
  • 旧版搜索

历史搜索 全部删除

    热门搜索

      正在阅读:

      【好问】为什么一条短信能骗光你所有财产?

      扫一扫下载界面新闻APP

      其他途径关注界面…

      【好问】为什么一条短信能骗光你所有财产?

      专家告诉你移动互联网时代如何保障自己的隐私和财产安全。

      宁宇 李铁军 ·

      为什么一条短信能骗光你所有财产?

      图片来源:视觉中国

      2016年4月11日,网友@趣火星 发出了一篇文章,讲述被山寨“10086”短信忽悠致手机卡被复制,半天内多个资金账户被席卷一空。为什么一条短信能引发如此严重的后果?移动互联网时代我们如何保障自己的隐私和财产安全?好问请教了安全专家李铁军、CMCC宁宇,详细解答为什么一条短信就能骗走你的所有财产。

      1.这次诈骗是通过什么办法实施的?

      李铁军:有两个关键步骤:一是,小偷攻击前应该拿到足够多的受害者信息;二是,登录网上营业厅办理自助换4G卡的业务。对于前者,几乎防不胜防,已经说不清楚有多少网民的个人信息被黑色产业链所掌握。关于移动的自助换4G SIM卡,看起来很正常的工作流程,存在被恶意利用的可能性。

      CMCC宁宇:第一步,骗子以撞库等手段获得了受害者登陆网上营业厅的密码;

      第二步,骗子通过网上营业厅为受害者订制增值业务,让受害者产生突然收到定制提示的恐慌;

      第三步,骗子通过网上营业厅,以受害者身份申请自助换卡;

      第四步,系统自动向受害者手机下发换卡二次确认验证码(6位USIM验证码),骗子通过利用139邮箱的短信发送功能,编辑诈骗短信向受害者骗取验证码;

      第五步,受害者被迷惑,按照骗子指示试图退订增值业务,实际将验证码发给了骗子;

      第六步,换卡成功,骗子手里的SIM卡被激活,成为受害者的手机;同时受害者原SIM卡失效,手机进入“瘫痪”状态。

      这就相当于,骗子冒充受害者报案,说我身份证掉了,然后骗受害者给公安开具证明,最后把受害者的身份证拿走了。

      之后,骗子利用受害者的手机,进行各种找回密码操作,陆续攻破了用户的邮箱、支付宝、银行卡以及百度钱包,将受害者洗劫。

      2.趣火星遭遇的电信诈骗,骗子通过什么手段能在未换到usim卡时就能够给他定制业务?

      李铁军:这个比较简单,然而很容易被网民忽略。就是网上营业厅的服务,使用手机号码和服务密码就能登录办理手机相关的几乎所有的业务。

      可能有相当一部分用户从来没有关注过这个服务,使用的服务密码相对简单,而且很可能和其他网络服务共用相同的密码。小偷拿到网上营业厅的登录权限,就可以干很多事了。

      CMCC宁宇:通过运营商订购增值业务的方式有很多种。通常用户是通过App或者等短信方式订购业务的,这种情况下运营商会给用户下发确认短信,用户反馈同意后,才正式开通业务,这个过程叫做“二次确认”,目的就是为了防止用户不知情定制的情况发生。

      然而在这个案例中,首先发生的是“趣火星”在网上营业厅的固定登录密码被破解,被骗子盗用身份在网上营业厅登录。该用户既然已经通过身份核实与验证,之后在网上营业厅给自己的手机定了一个业务,这种情况下已经核实过用户身份,就不需要再通过短信方式给用户发送确认信息了。

      3.为什么能通过换了手机卡,就能盗到支付宝、百度钱包、银行卡、身份证号码等等重要信息?

      李铁军:很多关键的互联网服务、银行服务、支付服务是靠手机验证码来确认用户身份的,当你的手机卡落入攻击者手中,意味着所有相关业务安全受到威胁。在手机中病毒,短信被恶意程序拦截的情况下,结果都是一样的。

      CMCC宁宇:从受害者的描述过程看,我分析应该是这样的过程:

      第一步,骗子用受害者的手机号码登录支付宝,选择“找回密码”,这个时候看到了该用户支付宝账号的部分信息,了解到受害者支付宝账号是网易邮箱。

      第二步,骗子在网易邮箱进行找回密码操作,网易邮箱将账号密码等信息发送到手机上,据此骗子攻破受害者的网易邮箱。

      第三步,骗子在支付宝进行找回密码操作,通过网易邮箱得到了受害者支付宝的登陆密码。

      第四步,从用户的支付宝中可以看到用户的部分银行卡信息。

      第三题,我答了一半,后面就不清楚了,请专家补充指正。

      4.如果遭遇类似情况,有哪些情况可以防止自己上当受骗?

      李铁军:很关键一点,验证码不可以随便提供。转发、回复都要倍加小心,必须确切的清楚自己正在做什么,需要使用验证码,其他任何情况都不要提交验证码给别人。

      一旦发现自己的手机突然失效,而此时,周围其他人的手机都正常。要警惕,你可能正在遭遇手机卡被补卡的攻击,应该尽快借用他人的手机联系银行冻结银行卡,微信和支付宝最好也能尽快联系客服做应急处理。

      5.支付宝、银行卡等还能放心地绑定手机号码吗?

      李铁军:当然需要,不能因为被盗刷的风险存在,就不使用更便捷的服务了。事先做好防范措施,就能在安全和便捷中做好平衡。

      6.普通用户有哪些办法可以更好地保护自己的信息安全?

      李铁军:安全意识最重要,这是任何安全软件都没办法简单做到的。网民需要处处注意保护个人隐私,比如不随意网上填表,重要的网络服务使用独一无二的密码,不随意在手机上安装软件。

      7.如电信诈骗发生在非工作时间,受害者可以从运营商、银行、支付宝等获得紧急协助吗?

      李铁军:当然不能依赖银行或支付公司的工作人员,网民可以自己做好应急准备。比如使用手机银行,紧急情况下,手机接入Wi-Fi,登录网银客户端,可以轻易冻结帐号,比打客服电话还要快。支付宝和微信,也可以通过接入Wi-Fi后来实现限制登录。

      8.电信诈骗,中国移动、银行、支付宝等各方会承担责任吗?责任如何划分?

      李铁军:这个就复杂了,法学家可以讨论讨论。

      9.对电信诈骗案的调查、赔付等工作有没有统一的处理标准?

      李铁军:目前没有见到具体的处理标准,微信、支付宝、银行引入保险机制来解决盗刷风险。所有盗刷事件的事后处理都非常复杂,消耗大量时间成本,损失往往无法挽回。所以,对网民来说,最佳选择是事先预防。比如,银行卡里活期余额很少,主要使用理财产品锁定资金,短期资金转进余额宝或微众银行等等。

      嘉宾简介:

      CMCC宁宇,多年运营商从业经验,熟悉运营商业务,界面专栏“尚儒客栈”。

      李铁军,猎豹移动安全工程师,长期从事电脑病毒、手机病毒方面研究,长期战斗在反病毒前线,擅长解决和个人信息安全有关的技术问题。

      欢迎戳此加入提问>>。

      本文为转载内容,授权事宜请联系原著作权人。
      好问电信诈骗移动互联网 网络安全 社会民生
      点赞
      收藏
      看评论
      沉浸模式

      评论

      暂无评论哦,快来评价一下吧!

      下载界面新闻

      微信公众号

      微博

      【好问】为什么一条短信能骗光你所有财产?

      专家告诉你移动互联网时代如何保障自己的隐私和财产安全。

      宁宇 李铁军 · 2016/04/14 10:35

      为什么一条短信能骗光你所有财产?

      图片来源:视觉中国

      2016年4月11日,网友@趣火星 发出了一篇文章,讲述被山寨“10086”短信忽悠致手机卡被复制,半天内多个资金账户被席卷一空。为什么一条短信能引发如此严重的后果?移动互联网时代我们如何保障自己的隐私和财产安全?好问请教了安全专家李铁军、CMCC宁宇,详细解答为什么一条短信就能骗走你的所有财产。

      1.这次诈骗是通过什么办法实施的?

      李铁军:有两个关键步骤:一是,小偷攻击前应该拿到足够多的受害者信息;二是,登录网上营业厅办理自助换4G卡的业务。对于前者,几乎防不胜防,已经说不清楚有多少网民的个人信息被黑色产业链所掌握。关于移动的自助换4G SIM卡,看起来很正常的工作流程,存在被恶意利用的可能性。

      CMCC宁宇:第一步,骗子以撞库等手段获得了受害者登陆网上营业厅的密码;

      第二步,骗子通过网上营业厅为受害者订制增值业务,让受害者产生突然收到定制提示的恐慌;

      第三步,骗子通过网上营业厅,以受害者身份申请自助换卡;

      第四步,系统自动向受害者手机下发换卡二次确认验证码(6位USIM验证码),骗子通过利用139邮箱的短信发送功能,编辑诈骗短信向受害者骗取验证码;

      第五步,受害者被迷惑,按照骗子指示试图退订增值业务,实际将验证码发给了骗子;

      第六步,换卡成功,骗子手里的SIM卡被激活,成为受害者的手机;同时受害者原SIM卡失效,手机进入“瘫痪”状态。

      这就相当于,骗子冒充受害者报案,说我身份证掉了,然后骗受害者给公安开具证明,最后把受害者的身份证拿走了。

      之后,骗子利用受害者的手机,进行各种找回密码操作,陆续攻破了用户的邮箱、支付宝、银行卡以及百度钱包,将受害者洗劫。

      2.趣火星遭遇的电信诈骗,骗子通过什么手段能在未换到usim卡时就能够给他定制业务?

      李铁军:这个比较简单,然而很容易被网民忽略。就是网上营业厅的服务,使用手机号码和服务密码就能登录办理手机相关的几乎所有的业务。

      可能有相当一部分用户从来没有关注过这个服务,使用的服务密码相对简单,而且很可能和其他网络服务共用相同的密码。小偷拿到网上营业厅的登录权限,就可以干很多事了。

      CMCC宁宇:通过运营商订购增值业务的方式有很多种。通常用户是通过App或者等短信方式订购业务的,这种情况下运营商会给用户下发确认短信,用户反馈同意后,才正式开通业务,这个过程叫做“二次确认”,目的就是为了防止用户不知情定制的情况发生。

      然而在这个案例中,首先发生的是“趣火星”在网上营业厅的固定登录密码被破解,被骗子盗用身份在网上营业厅登录。该用户既然已经通过身份核实与验证,之后在网上营业厅给自己的手机定了一个业务,这种情况下已经核实过用户身份,就不需要再通过短信方式给用户发送确认信息了。

      3.为什么能通过换了手机卡,就能盗到支付宝、百度钱包、银行卡、身份证号码等等重要信息?

      李铁军:很多关键的互联网服务、银行服务、支付服务是靠手机验证码来确认用户身份的,当你的手机卡落入攻击者手中,意味着所有相关业务安全受到威胁。在手机中病毒,短信被恶意程序拦截的情况下,结果都是一样的。

      CMCC宁宇:从受害者的描述过程看,我分析应该是这样的过程:

      第一步,骗子用受害者的手机号码登录支付宝,选择“找回密码”,这个时候看到了该用户支付宝账号的部分信息,了解到受害者支付宝账号是网易邮箱。

      第二步,骗子在网易邮箱进行找回密码操作,网易邮箱将账号密码等信息发送到手机上,据此骗子攻破受害者的网易邮箱。

      第三步,骗子在支付宝进行找回密码操作,通过网易邮箱得到了受害者支付宝的登陆密码。

      第四步,从用户的支付宝中可以看到用户的部分银行卡信息。

      第三题,我答了一半,后面就不清楚了,请专家补充指正。

      4.如果遭遇类似情况,有哪些情况可以防止自己上当受骗?

      李铁军:很关键一点,验证码不可以随便提供。转发、回复都要倍加小心,必须确切的清楚自己正在做什么,需要使用验证码,其他任何情况都不要提交验证码给别人。

      一旦发现自己的手机突然失效,而此时,周围其他人的手机都正常。要警惕,你可能正在遭遇手机卡被补卡的攻击,应该尽快借用他人的手机联系银行冻结银行卡,微信和支付宝最好也能尽快联系客服做应急处理。

      5.支付宝、银行卡等还能放心地绑定手机号码吗?

      李铁军:当然需要,不能因为被盗刷的风险存在,就不使用更便捷的服务了。事先做好防范措施,就能在安全和便捷中做好平衡。

      6.普通用户有哪些办法可以更好地保护自己的信息安全?

      李铁军:安全意识最重要,这是任何安全软件都没办法简单做到的。网民需要处处注意保护个人隐私,比如不随意网上填表,重要的网络服务使用独一无二的密码,不随意在手机上安装软件。

      7.如电信诈骗发生在非工作时间,受害者可以从运营商、银行、支付宝等获得紧急协助吗?

      李铁军:当然不能依赖银行或支付公司的工作人员,网民可以自己做好应急准备。比如使用手机银行,紧急情况下,手机接入Wi-Fi,登录网银客户端,可以轻易冻结帐号,比打客服电话还要快。支付宝和微信,也可以通过接入Wi-Fi后来实现限制登录。

      8.电信诈骗,中国移动、银行、支付宝等各方会承担责任吗?责任如何划分?

      李铁军:这个就复杂了,法学家可以讨论讨论。

      9.对电信诈骗案的调查、赔付等工作有没有统一的处理标准?

      李铁军:目前没有见到具体的处理标准,微信、支付宝、银行引入保险机制来解决盗刷风险。所有盗刷事件的事后处理都非常复杂,消耗大量时间成本,损失往往无法挽回。所以,对网民来说,最佳选择是事先预防。比如,银行卡里活期余额很少,主要使用理财产品锁定资金,短期资金转进余额宝或微众银行等等。

      嘉宾简介:

      CMCC宁宇,多年运营商从业经验,熟悉运营商业务,界面专栏“尚儒客栈”。

      李铁军,猎豹移动安全工程师,长期从事电脑病毒、手机病毒方面研究,长期战斗在反病毒前线,擅长解决和个人信息安全有关的技术问题。

      欢迎戳此加入提问>>。

      本文为转载内容,授权事宜请联系原著作权人。