生活報訊記者李明哲 沒點釣魚網站、沒有短信驗證碼, 這樣銀行卡就不會被盜刷嗎?30日, 記者從省反詐騙中心瞭解到, 即使沒有這兩樣,
案例重播
近日, 正在睡夢中的孫女士突然接到兩條短信, 一條顯示她在銀行預留的手機號被修改了, 另一條短信是運營商發來的短信過濾和短信保管業務提示。 收到短信的時間她正在睡覺, 根本不可能登錄銀行帳戶修改手機號, 也不可能打電話給運營商定制業務。 於是, 她趕緊查詢自己的銀行帳戶, 發現卡裡的9000餘元分四次被轉走了, 便趕緊報警。
孫女士很納悶, 自己從沒回復過任何釣魚連結, 也沒在電腦上操作過任何帳戶資訊, 更不曾收到過短信驗證碼, 錢是如何時被轉走的?
騙局還原
省反詐騙中心民警張睿告訴記者,
第一步 先雇人編寫駭客程式, 對手機運營商的網上營業廳進行掃描, 獲取使用者的登錄密碼, 這樣就得到了手機號和登錄密碼的一套組合。
第二步 用“撞庫”手法, 編寫專門的軟體, 把這些手機號和相匹配的密碼逐一登錄各家銀行的網站。 如果受害人的網上銀行登錄密碼和服務網站登錄密碼是一個, 那麼就可以成功登錄被害人的網銀, 並且知道了裡面的餘額。
第三步 這時離轉走卡裡的錢只差動態密碼一步。 騙子利用改號器, 撥打手機運營商的客服熱線, 運營商那裡顯示的就是受害人本人的手機號。 然後以被害人身份, 開通短信過濾和短信保管這兩項業務,
警方提醒
不要為了方便登錄, 使用手機號和密碼的組合登錄各個網站, 特別是安全等級不高的服務型網站。 按照帳戶的重要性最好設置不同的密碼, 千萬不要“一套密碼走天下”!
連結:何為撞庫?
是駭客通過收集互聯網已洩露的使用者和密碼資訊, 生成對應的字典表, 嘗試批量登錄其他網站後, 得到一系列可以登錄的用戶。 很多用戶在不同網站使用的是相同的帳號密碼, 因此駭客可以通過獲取用戶在A網站的帳戶從而嘗試登錄B網址, 這就可以理解為撞庫攻擊。