前不久的一天, 上海的丁小姐起床後發現手機上收到兩條短信, 一條顯示她在銀行預留的手機號被修改了, 另一條短信是運營商發來的短信過濾和短信保管業務提示。
收到短信的時間是淩晨, 丁小姐感覺不對, 自己那個時間在睡覺, 既不可能登陸銀行帳戶修改手機號, 也不可能打電話給運營商定制業務。
丁小姐趕緊查詢自己的銀行帳戶, 發現自己卡裡被清空, 卡裡的十萬多塊錢分成三次被轉走了。 丁小姐一下子就蒙了, 她告訴記者, 她從來沒有接到過詐騙電話, 也沒有回復過任何釣魚連結,
丁小姐立刻報警。 民警第一時間判斷可能是丁小姐的手機點擊了帶有病毒的木馬資訊而中毒了, 因此被盜取了個人資訊, 但檢查後發現, 丁小姐的手機沒有中毒, 那麼到底是怎麼回事?
隨著調查的深入, 民警掌握了犯罪分子的犯罪手法。
第一步
掃描服務型網站, 盜取登錄密碼
犯罪分子首先雇人編寫駭客程式, 對手機運營商的網上營業廳這種的服務型網站進行掃描, 獲取使用者登錄服務型網站的登陸密碼, 就獲得了手機號和登陸密碼的一套組合。
第二步
利用“撞庫"手法, 嘗試登錄受害人網上銀行
現在大部分人登錄網上銀行, 用的都是手機號和密碼。
在得到手機號和密碼組合後, 犯罪分子會使用一個“撞庫"的手法, 編寫專門的軟體, 把這些手機號和相匹配的密碼逐一登陸各家銀行的網站。 如果受害人的網上銀行登錄密碼和服務網站登錄密碼是一個, 那麼犯罪分子就成功登陸了受害人網銀。
第三步
撥打運營商電話, 遮罩受害人接到轉帳動態密碼
犯罪分子已經成功登陸了受害人的網上銀行, 並且知道了裡面的餘額, 離轉走卡裡的錢只差動態密碼一步。
犯罪分子利用改號器, 撥打手機運營商的客服熱線, 運營商那裡顯示的就是受害人本人的手機號。 然後犯罪分子以受害人身份, 開通短信過濾和短信保管這兩項業務, 就可以保證受害人收不到銀行發來的動態密碼;同時, 犯罪分子可以自己通過手機營業廳提取到被保管的含有銀行動態密碼的短信。
上海黃浦公安分局在海南公安機關的配合下,
完整視頻請戳↓↓↓
專家提醒:
不要為了方便登錄, 使用手機號和密碼的組合登錄各個網站, 特別是安全等級不高的服務型網站;
另外, 千萬不要用同一套登錄密碼, 按照帳戶的重要性做不同的密碼設置。 “一套密碼走天下"是絕對不行的!
編輯:小野豬