主页 > 增值业务 > 正文

网友给“移动”回短信退订业务 银行卡被盗空

发布时间:2017-08-02 02:44 来源:未知|作者:admin 阅读次数:

  近日有网友称,自己被“强制”订阅了手机增值业务,他根据短信提示回复了“取消+验证码”后不久,自己支付宝、银行卡上的全部钱款被席卷一空。

  安全专家推测,骗子的操作手法是利用“个人信息+USIM补换卡+改号软件发送短信”。移动称,将提供相关配合后续查证。

  据该网友称,他在4月8日下班途中收到多条短信,其中有一种名为“中广财经”的短信,一条“10086”发送的短信提醒他开通了该增值业务。还有一条由一长串号码发送过来,但署名为“中国移动”的短信,提醒该网友“如需退订(增值业务)请回复短信‘取消+验证码’。”

  该网友当时认为,这种短信是中国移动的业务推广内容,他想退订这一增值业务。就在此时,又有一条短信发到他的手机上,写着“尊敬的客户您好!您的USIM卡6位验证码为××××××”。

  于是他将这条验证码回复了那个一长串号码,约半小时后,他的手机就无法上网和通线时许,该网友的支付宝开始向手机发送交易提醒信息,其支付宝余额及绑定的招商银行和工商银行卡上的金额都被转走。该网友的网银、邮箱密码也被。由于手机无法打电话联系客服,他只能通过WIFI解绑支付宝,但为时已晚。

  第二天,他在银行柜台打印的交易记录中发现,他的百度钱包绑定的银行卡,也被人盗走了全部钱款。

  按该网友的描述,事发前他只回复了那条“退订增值业务”的短信,再无其他操作,银行卡上的钱便被人席卷一空。对此,360安全专家刘洋推测了一种可能的诈骗方式。

  想转走卡上资金,要了解人的账号等个人信息。该网友没有点击过链接,或登录过陌生网站,基本可以排除骗子利用钓鱼网站或伪基站获取个人信息的可能。因此,骗子应该是通过其他途径获得了人的银行卡号、身份证号、姓名、手机号等信息。

  控制人手机号和转账的另一个重要环节是验证码,一旦被人获取了验证码,人就只能任人了。

  安全专家认为,此事属于“个人信息+USIM补换卡+改号软件发送诈骗短信”。骗子很可能提前掌握了人的身份证号、姓名以及邮箱密码等个人信息。因此,只要得到验证码就可以进行自己转移。

  要得到转账需要的验证码,就需要拿到人的手机。而由于用户的换卡验证码泄露,骗子可以依照中国移动官网的提示,按照常规步骤完成USIM卡的换卡工作。从而“合规”地替换了用户的手机卡,这样就等于拿到了人的手机。

  控制人的手机后,结合已掌握的人个人信息,骗子就掌握了几乎所有可以验证身份方式。因此不论是支付宝、百度钱包还是银行的网银系统,骗子都可以冒充人进行操作,从而达到转移资金的目的。

  安全专家表示,该网友描述中还存有一些疑点,因此骗子具体的操作过程还需要警方等部门进行调查。

  记者了解到,通过网络补换USIM卡是运营商的一种远程升级服务。用户可以通过网上营业厅提交申请,正常情况下运营商收到申请后,才会寄送空白的USIM卡给用户。

  然后用户按照提示说明,按步骤完成补换卡。此次事件中,骗子可以迅速进行替换,表明他事先已通过某种途径获得了空白的USIM卡。

  昨天下午,移动10086热线分,该人的手机号码通过客户自设密码,登录移动网站,经网站弹屏二次确认后,办理“中广财经半年包”业务,IP地址显示登录地点为海南海口;当晚6时13分,该号码以同样方式登录网站办理更换4G USIM卡业务。系统向客户本机下发换卡二次确认验证码,该验证码被输入后,换卡成功。以上业务办理流程正常。

  安全专家表示,从目前所了解的情况看,该事件存在众多疑点,与通常所见的网络诈骗犯罪的动机不同,属于极端个案,普通用户不必恐慌。

  专家提示,骗子会利用伪基站、改号软件等发送短信,因此任何时候都不要轻易发送验证码给他人。如果遇到不了解的业务增订或退订短信,一定要拨打客服或去营业厅咨询,不要仅通过短信就判断是否为号码。

  此外,最重要的就是好个人信息。不要在多处使用同一个密码,并且不定期地更换密码。