“太可怕了,简直防不胜防,一觉醒来支付宝和网银就被‘清空’了。”
相信这几天,大家都被这种消息刷屏了吧?
近日,多地警方接报,有市民一觉醒来,发现手机多出一堆验证码短信,同时,支付宝和网银里的钱已不翼而飞。
据其中一位用户描述,他一觉醒来,发现手机收到了 100 多条验证码短信,全是被扣款的信息。
赶紧查了银行卡和支付宝余额,余额宝和关联银行卡的钱都被转走。
在京东也开了金条、白条功能,借了1万多。
是不是一脸懵?现在的盗窃手段都逆天到这种地步了?
这里小i要敲黑板划重点了!
现在不管是登微信还是支付宝,短信验证码都是其中最重要的一个验证方式。
而目前为止,收发短信大都是在使用 2G 网络。这种网络非常不安全,最直接的体现就是伪基站。
而伪基站就是此次被用来诈骗的手段——
“GSM劫持+短信嗅探技术”。通过GSM2G网络缺陷,在不接触手机的情况下,通过伪基站和短信嗅探设备获取到目标手机的短信验证码。
利用银行、网站、移动支付APP的技术漏洞,进行短信验证码登陆来盗刷信用卡、转账等。
这种新型诈骗术通常分三步:
第一步:通过伪基站获取到一定范围内(一般是周边几百米内)的手机号码;
第二步:在支付APP或网站,选择通过“短信验证码登陆”,然后通过短信嗅探设备来嗅探到验证码短信;
第三步:通过第三方支付、网上银行等,碰撞查询到目标手机号码对应的身份证号码、银行卡号等;
第四步:通过验证码登陆、修改账户信息,进行账户的支付、借贷等资金流转操作,如绑定、申请贷款、白条等,实施盗刷、信用卡诈骗等犯罪行为。
由于一般嗅探设备只能嗅探但不能拦截短信,犯罪分子通常会选择在深夜作案。这个时候呢,受害者多数在入睡,不会注意到短信异常。
支付宝调查小组根据相关操作记录,复原了遭遇攻击的网友的支付宝账户状态:
不怕骗子没文化,就怕骗子专业化。
你辛苦搬砖攒出来的血汗钱,别人用几条短信,就能把你钱的全部转走。
然而更扎心的是,因为这次事件验证通过了多个校验因子(包括短信验证码、用户的多项个人信息,都是一次校验成功),且除一笔消费外,其他多笔款项均被提现至用户自己名下的银行卡。
这和以前出现的被盗案件不太一样,太像是用户本人或身边人的操作了,所以保险公司初次判定拒赔。
这里不得不再次夸一下支付宝,这些年越来越人性化,在这次的事件中用户损失的金额,支付宝表示,会全额先补偿用户损失(参见下图)。
京东金融也表示,已设立专门的盗刷案件处理通道,并会对被确认盗刷的用户账户进行先行垫付,免除用户的还款责任。
看到这里,你可能更想知道的是,如果是自己,该如何避免遭遇这种新型盗窃?
首先,这种伪基站发出的诈骗短信,绝大部分都是通过 2G 网络发送,所以只要让短信的收发,运行在 3G/4G 网络上即可。
最简单的方法就是开启「volte」。
iPhone 用户:「设置」「蜂窝移动网络」「蜂窝移动数据选项」「启用 LTE」。
安卓用户,因为系统多元化的原因,可以在手机设置里面找找。
还有,一些会同步短信的备份软件,像 QQ 备份,iCloud,以及现在各手机自带的云服务...等等,记得把短信同步功能关掉。
否则,别人只要黑掉你的账户,你收到的验证码,他们在云端就能看光光。
总而言之,保护自己的个人信息很重要!
閱讀更多 平頭i修哥 的文章
