如今, 短信驗證碼普遍應用於網上支付、網上購物、買票支付等操作。 一般而言, 短信驗證碼可以有效識別使用者支付交易的真實性, 因此通常也是消費者進行網上交易時的最後一道“安全鎖”。 而這道“鎖”一旦被“盜”, 後果往往很嚴重。
近期以來, 包括銀行等金融服務機構以及一些相關執法部門都發出了提示稱, 臨近春節, 消費者要慎防電信詐騙, 尤其要注意保護好短信驗證碼的安全, 不要輕易轉發給他人, 以免造成資產損失。
案例:卡中資金轉眼被盜
就是因為輕信別人, 把自己手機銀行的短信驗證碼轉發給了別人,
詳談。
其間, 王女士見對方對自己的生意往來很清楚, 於是漸漸信任了對方。 之後, 男子給王女士發來一個連結, 讓王女士點選連結申請理賠。 王女士沒多想就直接點擊了。
不久, 王女士手機上收到一條驗證碼資訊。
無獨有偶, 也是在幾日前, 南京雨花臺派出所接到市民報警, 稱自己遭遇了短信詐騙, 被騙2000元。
經瞭解, 被騙的小王是因為收到了一條提示信用卡提額的短信。 此後, 在該“客服人員”的提示下, 小王不僅登錄了短信提供的網址, 並按提示要求填寫了銀行卡號、身份證號、手機號。
更糟糕的是, 小王最後還把短信驗證碼也輸入了網址。 而當這一系列操作完成後, 小王的手機很快就收到了一條消費提醒短信, XX銀行信用卡付款2000元, 收款方為深圳某科技公司。 這時小王才意識到自己被騙了。 而小王輸入的短信驗證碼更是成了最後一個, 也是至關重要的一個“幫兇”。
當短信驗證碼轉發出去的那一刻, 用戶銀行卡中的錢就被轉走或消費了。 新華社用戶端財富頻道梳理相關資料後發現, 近期發生的不少盜刷案例, 雖然過程有所不同, 但最後一環“驗證碼被騙走”卻驚人地相似。 這是怎麼回事呢?
專家:驗證碼是最後一根稻草
對此, 中國金融認證中心(CFCA)助理總經理趙宇表示, 就當前的盜刷案例來看, 僅憑一條驗證碼其實很難實現直接的盜刷操作,
“其實, 目前很多正在發生的各種盜刷事件, 受害人並不是犯罪分子隨機選取的, 而是通過黑色產業鏈下的黑色資料實施的精准詐騙。 而驗證碼是最容易從受害人手中獲取的資訊, 完全通過遠端傳輸即可搞定, 是最‘方便’的手段。 ”趙宇分析指出, 因此, 很多盜刷案例中短信驗證碼頻頻“現身”。
趙宇介紹說, 目前資訊黑色產業鏈的不法人員通過各種管道買賣使用者資料, 這些資料可能包括姓名、電話、身份證、銀行卡號、銀行開戶情況、住址等等, 甚至包括了密碼, 但僅憑這些資料不一定能直接完成盜刷。 可是,
那麼現在通過驗證碼進行的詐騙方式都有什麼套路呢?
一是通過混淆誘騙驗證碼, 完成盜刷。 趙宇表示, 這種詐騙方式比較老套, 但依舊有這種案例存在, 比如冒充公檢法要求提供驗證碼;或通過其他花言巧語, 比如通過“回復驗證碼領優惠券”, 或通過“你已經訂閱某某服務, 回復驗證碼退訂”等方式進行騙取驗證碼。 雖然驗證碼很多是一次性的, 但是如果本身其作用是開通一個其他支付管道如快捷支付, 則可能發生多筆盜刷。
二是在以上方式的基礎上, 犯罪分子有時並不滿足於只盜刷一次, 而是試圖通過一個驗證碼奪得一個手機號的控制權。 趙宇介紹說:“所以一些直接實施‘換卡’、‘申請手機副卡’、‘更換綁定手機號’等攻擊方式也時有發生。犯罪分子在實施這類詐騙時還經常使用其他諸如偽基站等模式,將自己包裝成一個合法的號碼。比如移動、聯通等官方號碼。”
第三,既然不法分子是騙取驗證碼,那麼絕對不把驗證碼發給任何人,是不是就一定不會被盜刷了?並非絕對。趙宇指出,比如,不乏有這樣的案例:業務方說,明明發給你驗證碼了,也驗證正確了才轉帳的。用戶說,我沒有收到驗證碼,錢就被刷走了。這很有可能是用戶手機遭受木馬等不法軟體攻擊導致的,在手機“中馬”的情況下,完全可能發生驗證碼被攔截,資訊被轉發,而機主卻毫不知情。更有甚者,有犯罪分子知道受害者具體位置時,有可能直接在附近對其驗證碼進行攔截或者直接使用偽基站進行詐騙。
最後,趙宇提醒,驗證碼的驗證都應該在其發起處驗證,不應通過其他手段如短信或者微信等手段傳輸。如果有要求短信回復驗證碼,不可輕信。
提醒:這些詐騙手段要清楚
臨近春節,詐騙高發。除了上述一些詐騙花樣外,其他一些詐騙手段消費者同樣要做到心中有數。
比如,值得注意的是,對於銀行用戶來說,目前對於銀行卡本身的攻擊也時有存在,包括對磁條卡的複製攻擊。目前IC卡普及率已經較高,但依舊有相當多磁條銀行卡正在使用中。在使用磁條卡進行支付時應警惕可疑操作,比如卡片被拿到多個機器附近刷卡的情況。
而二維碼詐騙/盜竊同樣值得警惕。在移動支付已日漸普及的今天,掃碼支付已經非常頻繁,通過二維碼發生詐騙的案例中,不法分子會嘗試誘騙受害者將付款碼發送給對方,或者混淆“付款”和“收款”的概念,讓受害者以為是在“收款”,實際上卻付了錢。
趙宇指出,直接“撞庫”盜刷也是經常見的一種。在資訊黑色產業鏈中,使用者被盜的用戶名密碼經常會被用於嘗試訪問其他網站,甚至嘗試用於交易。那麼如果多個網站公用一個密碼,則可能發生一旦一個密碼遭到洩露,多個帳號被攻破被盜刷的情況。
偽造釣魚網站也是手段之一。這種案例不法分子通常會通過偽造釣魚網站騙取使用者資訊,或者直接誘導受害者向錯誤的帳號或者二維碼付款,導致用戶受騙。
在趙宇看來,想要保護好自己的錢包,消費者首先要學會保護自己的資訊隱私安全。
“作為普通用戶,我們要儘量避免讓自己的資訊進入不法分子的資訊黑色產業鏈中。”趙宇說,總結來說有以下幾點:一是避免使用不熟悉的WIFI,部分WIFI看似免費,但會嘗試獲取使用者的資訊,甚至嘗試植入木馬。二是在提供自己個人隱私資訊時應提高警惕性,避免被小利誘騙導致洩露,比如不法分子可能會聲稱產品位址寫錯了,讓重新提供正確的,或者號稱產品有問題要賠償客戶,請提供銀行卡資訊等。三是避免在多個重要程度不同的場景使用同樣的用戶名密碼。
趙宇介紹說:“所以一些直接實施‘換卡’、‘申請手機副卡’、‘更換綁定手機號’等攻擊方式也時有發生。犯罪分子在實施這類詐騙時還經常使用其他諸如偽基站等模式,將自己包裝成一個合法的號碼。比如移動、聯通等官方號碼。”第三,既然不法分子是騙取驗證碼,那麼絕對不把驗證碼發給任何人,是不是就一定不會被盜刷了?並非絕對。趙宇指出,比如,不乏有這樣的案例:業務方說,明明發給你驗證碼了,也驗證正確了才轉帳的。用戶說,我沒有收到驗證碼,錢就被刷走了。這很有可能是用戶手機遭受木馬等不法軟體攻擊導致的,在手機“中馬”的情況下,完全可能發生驗證碼被攔截,資訊被轉發,而機主卻毫不知情。更有甚者,有犯罪分子知道受害者具體位置時,有可能直接在附近對其驗證碼進行攔截或者直接使用偽基站進行詐騙。
最後,趙宇提醒,驗證碼的驗證都應該在其發起處驗證,不應通過其他手段如短信或者微信等手段傳輸。如果有要求短信回復驗證碼,不可輕信。
提醒:這些詐騙手段要清楚
臨近春節,詐騙高發。除了上述一些詐騙花樣外,其他一些詐騙手段消費者同樣要做到心中有數。
比如,值得注意的是,對於銀行用戶來說,目前對於銀行卡本身的攻擊也時有存在,包括對磁條卡的複製攻擊。目前IC卡普及率已經較高,但依舊有相當多磁條銀行卡正在使用中。在使用磁條卡進行支付時應警惕可疑操作,比如卡片被拿到多個機器附近刷卡的情況。
而二維碼詐騙/盜竊同樣值得警惕。在移動支付已日漸普及的今天,掃碼支付已經非常頻繁,通過二維碼發生詐騙的案例中,不法分子會嘗試誘騙受害者將付款碼發送給對方,或者混淆“付款”和“收款”的概念,讓受害者以為是在“收款”,實際上卻付了錢。
趙宇指出,直接“撞庫”盜刷也是經常見的一種。在資訊黑色產業鏈中,使用者被盜的用戶名密碼經常會被用於嘗試訪問其他網站,甚至嘗試用於交易。那麼如果多個網站公用一個密碼,則可能發生一旦一個密碼遭到洩露,多個帳號被攻破被盜刷的情況。
偽造釣魚網站也是手段之一。這種案例不法分子通常會通過偽造釣魚網站騙取使用者資訊,或者直接誘導受害者向錯誤的帳號或者二維碼付款,導致用戶受騙。
在趙宇看來,想要保護好自己的錢包,消費者首先要學會保護自己的資訊隱私安全。
“作為普通用戶,我們要儘量避免讓自己的資訊進入不法分子的資訊黑色產業鏈中。”趙宇說,總結來說有以下幾點:一是避免使用不熟悉的WIFI,部分WIFI看似免費,但會嘗試獲取使用者的資訊,甚至嘗試植入木馬。二是在提供自己個人隱私資訊時應提高警惕性,避免被小利誘騙導致洩露,比如不法分子可能會聲稱產品位址寫錯了,讓重新提供正確的,或者號稱產品有問題要賠償客戶,請提供銀行卡資訊等。三是避免在多個重要程度不同的場景使用同樣的用戶名密碼。