記者薛松

　　本周，一起蹊蹺的網(wǎng)銀被盜案引起業(yè)內(nèi)高度關(guān)注。受害人在地鐵莫名其妙地收到幾條短信，回復(fù)退訂驗(yàn)證碼之后，自己的手機(jī)卡立刻失效。隨后，受害人支付寶、銀行卡被洗劫一空。

　　有專家建議，一方面應(yīng)加強(qiáng)用戶重視短信驗(yàn)證碼保管的教育宣傳，另一方面，運(yùn)營商中國移動(dòng)也應(yīng)該加強(qiáng)換卡業(yè)務(wù)的漏洞防范。

　　日前，網(wǎng)友許先生爆料稱，他在回家的地鐵上收到了一條號(hào)碼源為１０６５８００的短信，短信內(nèi)容為某財(cái)經(jīng)雜志的手機(jī)報(bào)。由于并無閱讀該雜志手機(jī)報(bào)的需求，許先生隨手回復(fù)了一條含驗(yàn)證碼的退訂短信，沒想到之后手機(jī)就沒信號(hào)了，支付寶和銀行卡上的錢也隨之失竊。

　　退訂短信后手機(jī)被換卡

　　據(jù)獵豹移動(dòng)安全專家分析，在這個(gè)案例中，黑客在很短時(shí)間內(nèi)完成網(wǎng)銀盜竊，事先應(yīng)該做了精心準(zhǔn)備。首先，黑客通過黑色產(chǎn)業(yè)鏈流傳的各種數(shù)據(jù)庫精心篩選了作案目標(biāo)，在正式動(dòng)手前，詐騙者已經(jīng)掌握受害人的手機(jī)號(hào)、手機(jī)營業(yè)廳服務(wù)密碼、支付寶賬號(hào)、銀行卡號(hào)、身份證號(hào)等信息。

　　雖然個(gè)人信息泄露并不能直接導(dǎo)致網(wǎng)銀被盜，但網(wǎng)銀、手機(jī)銀行、第三方支付、網(wǎng)購平臺(tái)，這些業(yè)務(wù)都嚴(yán)重依賴手機(jī)短信驗(yàn)證碼來驗(yàn)證用戶身份。當(dāng)手機(jī)卡被其他人補(bǔ)辦，災(zāi)難就來了。

　　在這個(gè)案例中，黑客通過網(wǎng)上營業(yè)廳，為受害者申請(qǐng)４Ｇ自助換卡；接到申請(qǐng)后，系統(tǒng)向受害者下發(fā)換卡二次確認(rèn)驗(yàn)證碼。

　　這時(shí)，受害者手機(jī)上就會(huì)收到一條包含驗(yàn)證碼的短信，如果受害者將這６位驗(yàn)證碼交給別人，結(jié)果就是受害者手機(jī)卡立刻失效，而黑客在另一個(gè)城市，會(huì)拿新的空白手機(jī)卡換掉用戶手中正在使用的手機(jī)ＳＩＭ卡。受害人會(huì)突然發(fā)現(xiàn)手機(jī)沒信號(hào)了，ＳＩＭ卡換到其他手機(jī)也一樣沒信號(hào)，因?yàn)檫@張卡已經(jīng)作廢，當(dāng)然不會(huì)有信號(hào)。

　　就手機(jī)詐騙事件，中國移動(dòng)表示，來源不明、自己不知情的驗(yàn)證碼千萬不要提供給別人，尤其是不能發(fā)給陌生號(hào)碼。一旦不法分子獲知了驗(yàn)證碼，后果將不堪設(shè)想。

　　換卡業(yè)務(wù)管理亟待加強(qiáng)

　　業(yè)內(nèi)人士稱，這也暴露出運(yùn)營商的管理漏洞。有專家說，盡管中國移動(dòng)的自助換卡采取一些很嚴(yán)格的限制措施，比如一定要實(shí)名、只能本人申請(qǐng)以及需要較長時(shí)間等等，但是還是被騙子通過運(yùn)營商的管理漏洞繞過了。

　　不少用戶也認(rèn)為，中國移動(dòng)發(fā)送的換卡短信內(nèi)容過于簡單，無法理解這條短信意味著什么重要后果。用戶并不清楚，一旦遭遇“補(bǔ)卡”攻擊，手機(jī)卡被其他人補(bǔ)辦后，由于所有與支付有關(guān)的業(yè)務(wù)，用來驗(yàn)證身份的短信都在詐騙者手里，用戶的支付寶、銀行卡被盜就成為必然。

　　業(yè)內(nèi)人士建議中國移動(dòng)加以防范異地ＩＰ登錄辦理關(guān)鍵業(yè)務(wù)，應(yīng)該由客服主動(dòng)打電話聯(lián)系用戶確認(rèn)。因?yàn)閾Q卡這種業(yè)務(wù)，異地登錄的詐騙嫌疑較大。

　　鏈接：三招防范“補(bǔ)卡”攻擊

　　１．　驗(yàn)證碼別給任何人，除非是自己在做轉(zhuǎn)賬、消費(fèi)等操作。

　　２．　如果發(fā)現(xiàn)自己被定制了業(yè)務(wù)，打１００８６客服退訂，不要在手機(jī)上操作你不熟悉的業(yè)務(wù)。

　　３．當(dāng)你發(fā)現(xiàn)手機(jī)突然沒信號(hào)，而周圍其他人手機(jī)都正常。請(qǐng)注意，你的手機(jī)卡可能被別人補(bǔ)辦了。你要做的是，立刻借手機(jī)聯(lián)系銀行凍結(jié)銀行卡。或者，通過ＷｉＦｉ上網(wǎng)，登錄手機(jī)銀行客戶端，凍結(jié)銀行卡。聯(lián)系支付寶、微信，凍結(jié)賬號(hào)。

　　案例

　　用戶“退訂短信”失財(cái)

　　１．網(wǎng)上營業(yè)廳為受害者訂制增值業(yè)務(wù)

　　黑客以各種手段獲得了受害者登錄網(wǎng)上營業(yè)廳的“網(wǎng)站密碼”；通過運(yùn)營商網(wǎng)上營業(yè)廳，為受害者訂制增值業(yè)務(wù)；

　　２．申請(qǐng)換卡并騙取受害者驗(yàn)證碼

　　黑客通過網(wǎng)上營業(yè)廳，為受害者申請(qǐng)４Ｇ自助換卡；接到申請(qǐng)后，系統(tǒng)向受害者下發(fā)換卡二次確認(rèn)驗(yàn)證碼；黑客利用１３９郵箱的短信功能偽裝，向受害者騙取驗(yàn)證碼；

　　３．換卡成功，受害者原手機(jī)“癱瘓”

　　受害者試圖退訂增值業(yè)務(wù)，按黑客指示將驗(yàn)證碼發(fā)給了黑客；黑客遠(yuǎn)程完成換卡；

　　４．黑客重置郵箱密碼和支付寶密碼

　　黑客利用手機(jī)號(hào)登陸受害者支付寶，通過找回密碼功能，獲得受害者的郵箱地址。黑客利用手機(jī)號(hào)，重置了受害者的郵箱密碼；黑客登錄受害者的郵箱，下載數(shù)字證書，并重置了受害者的支付寶密碼；

　　５．將支付寶和銀行資金洗劫一空

　　黑客將受害者的支付寶資金進(jìn)行轉(zhuǎn)移，并通過支付寶關(guān)聯(lián)，洗劫了受害者的銀行資金。