返回目录:理财保险
最近,某SNS社区网上一位网友发布了一个在支付宝上遭遇诈骗的亲身经历的案例,瞬间引爆了吃瓜群众。
作为一名吃瓜群众,看完也有点「方」了,感觉分分钟钟就会被下套,支付宝都不敢点开了。
整个事情的来龙去脉是这样的。
最近,在某SNS社区网上,一位叫做「独钓寒江雪」的网友发帖说,他一觉醒来,发现手机被短信刷屏了!100多条短信,全是各种支付验证码的扣款信息。
这位「独钓寒江雪」帖友当时就吓懵了,赶紧检查银行卡,瞬间凉了——果真被扣款了!而且短信支付验证码信息主要来自两个平台——支付宝和京东。
相信各位吃瓜群众看到这里,也是有点方了,我们先说支付宝。
这群骗子们能通过这种手段来诈骗,自然智商不低,看起来对网络也非常熟悉,最令人触目惊心的是,这群骗子居然使用了“洗黑钱”这种套路:先通过支付宝购买大量的Q币,然后再转手将这些Q比卖出!
骗子除了非法盗用这位帖友的支付宝进行支付之外,如果各位觉得事情到这就结束了的话,那就太天真了啊!这群骗子除了盗用支付宝购买Q币之外,这位帖友支付宝里所有的余额,全部都被骗子转走了,一!毛!都!没!剩!
估计看到这里,诸位吃瓜群众不仅仅是心方了!那么重点来了,骗子究竟是如何操作的呢?
不知道各位是否都清楚,支付宝有一个「盗刷险」?这位帖友也购买了支付宝的这项服务,并且设置的是自动续费,这样感觉心安多了,即使盗刷钱也能拿回来!可是,你要是真的这么想,那就要粗大事了!
根据这位支付宝被盗刷的帖友提供的短信截图证据,我们可以非常清晰且明确的发现,支付宝居然拒赔!
我们看到这种拒赔短信时,第一反应大多是火冒三丈,可是这位帖友却异常冷静!!!他思考了片刻,支付宝这种级别的巨头,在网络安全方面,应该是做的非常好了。
如果陌生设备登录支付宝,除了需要账号密码验证,还需要通过手机短信验证码才能在陌生非常用的移动设备上登录,最后支付,还需要输入支付密码,因此最终完成盗刷,难度还是挺大的。
能通过如此之多的安全防护完成盗刷,我想即使支付宝质疑你“自导自演,监守自盗”,你都无可辩驳。
可是,最诡异的一幕居然堂而皇之的就这么出现在眼前......
这位帖友明明选择了「自动续保」,却突然在短短几分钟里,「安全险」的状态变成了「已失效」,大约过了十几分钟,才恢复到「正常状态」。
万幸的是,经过帖友与支付宝交涉,最终支付宝还是给这位帖友赔付了这笔盗刷。
支付宝的惨剧暂时告一段落,最终的赔付让此时有如惊弓之鸟的帖友也算得到了稍许宽慰。
然而,悲剧却还远远没有结束,因为还得解决京东的盗刷!
原本,笔者以为这位帖友的的京东盗刷只是单纯的帮他人消费,没想到,更严重的是还涉及到了白条方面的业务,帖友的京东账户在毫无征兆的情况下,先被骗子开通了白条,然后骗子再通过帖友的白条借走一万多,这神乎奇迹的操作,简直让人眼花缭乱!
手机捏在自己手中,账户却被人在默默的操纵,一身冷汗!
这种操作,在普通人看来,感觉真的上天了,为什么?
因为类似白条这种借贷业务,除了需要个人进行手机号码验证,为了提高可信度,还特别需要借贷本人提供手持身份证的近身照。那么问题就来了,帖友跟本不可能向骗子提供自己的手持身份证照片,那么贷款业务是如何获得通过的呢?
好在,最终,京东也还是为这位倒霉的帖友垫付了白条和金条的费用。
可是,骗子是如何在没有手持身份证照的情况下,完成借贷的,至今依旧无法得到一个合理的解释。
接下来,是在网络上收集的一些民间高手的解释,提供给各位参考。
我们日常生活中,使用短信进行验证的方式非常普遍,无论是各类手机APP,还是网络游戏账号大多使用的是手机短信验证,而问题就出在这里。
短信的发送和接收,基本都是使用的2G网络,这种网络有很多漏洞,很不安全,我们平常最常见的短信诈骗就是通过伪基站从2G网络推送出来的。
而且,最可怕的是,这些诈骗短信还能够将名称或号码伪装成真正的官方名称或号码,比如中国移动的10086等等。
然后,以官方的名义,给用户推送诈骗短信,比如中奖了,点击链接领奖等,一旦用户点击了链接,就掉入了这些诈骗团伙的圈套。
不过,随着运营商的网络升级以及公安机关的严打伪基站短信诈骗,尤其是现在的人越来越谨慎,这种通过伪基站发送诈骗短信的诈骗伎俩成功率越来越低。
于是,骗子们也开始升级换代,与时共进,搞出了伪基站的升级版本2.0。
除了原有的伪装官方号码发送诈骗短信的功能外,升级后的伪基站又搞出了一个嗅探功能。
这种功能可以查看到你的日常短信交流内容,隐私分分钟钟曝光。
因此,上面的帖友在被诈骗的那天,突然接收到如此之多的验证短信,很有可能被人嗅探了。
也就是说,诈骗团伙搞到了你的手机号码,再通过手机短信发送验证码,然后通过升级好的伪基站的嗅探功能,查看到你的手机中的短信内容,获取到验证码,如此再进行登录或者其他的操作简直是易如反掌。
像这种低成本,高回报的黑色产业,已经形成了一条完整的地下产业链。尤其是各种社交平台,到处充斥着这种黑色业务,我们在QQ上使用「伪基」作为关键词搜一搜QQ群,会立即跳出大量这种QQ群。
至于这些QQ群中,都在出售一些什么东西,我想各位已经心里有数了。
通过升级后的伪基站 ,诈骗团伙可以拿到用户极为重要的几项私人信息——姓名、证件号码、银行卡号、银行密码。
可是,这还只是一个前期的常规操作,真正的表演,现在才正式拉开序幕。
诈骗犯们通过非法渠道搞到用户的几项私人账户信息后,就开始了“漂白”的过程,就和我们通常所说的“洗钱”差不多,他们要把通过非法获取的用户信息,并通过这些信息非法盗取的钱财,通过多个渠道进行“漂白”,这个过程完成之后,这些非法获取的钱才能使用。
所以,现在,大家应该就能明白,为什么开头那位帖友,会被盗刷QQ币了吧?
只是,这种通过虚拟产品进行非法洗白的方式,对于诈骗分子来说,还是存在弊端,因为这种方式需要支付手续费给中间商。因此,诈骗分子更多的是选择银行相关的产品。
我们可以看看诈骗分子们常用的几种通过银行产品“洗白”非法钱财的方式:
融e联
工行e支付
甚至在这条黑色产业链中,还有专人统计出了各大银行,金融产品的具体使用规则。
现在这个年头,骗子已经越来越专业化了,可怕!多少年的打拼,几条短信分分钟钟就让你化为泡影。
可是,也不能坐以待毙,面对越来越猖獗的诈骗分子,我们应该如何防范呢?
下面是从网络上收集的一些防范手机短信诈骗的防盗指南。
以下内容来源于网络
1. 开通高清语音通话服务(VoLTE 功能)
正因为走的是有协议缺陷的 GSM(2G)通道,短信才显得如此脆弱。所以防止「短信嗅探」的其中一种思路是:开通 VoLTE 功能,给短信「升级」。(短信升级的方法能提高安全系数,但不能完全避免)。
在开通高清语音通话服务后,短信就会跟电话一样通过 3G/4G 网络进行传输。据 TK 和 360 无线电安全研究院的说法,这能一定程度上增加「短信嗅探」的难度;不过暂时只有部分地区支持开通 VoLTE 功能。
但这么做也并不能 100% 确保安全,因为据警方@江宁公安在线称,LTE 类 4G 手机有可能受到劫持和嗅探的威胁。在遭到降级攻击的时候,3G/4G 会回落到 GSM(2G) 网络,这时候要嗅探短信就轻而易举了。
2. 严格控制 App 读取短信的权限
除了 GSM「短信嗅探」,那些乖乖躺在你手机里、拿到读取短信权限的 app,实际上也是一项信息安全隐患。想想,只要任意一个获得权限的 app 存在漏洞,你的验证码短信就相当于在互联网上「裸奔」。
不要嫌麻烦,现在就动手去把这项权限收回来。
3. 设置专门的号码接收验证短信
更「与世隔绝」的做法,大概就是准备专门的号码和手机来接收各种验证码短信了。
建议你这部手机禁用 WiFi,禁用移动网络,只用来打电话和发短信,这样能把大部分的 app 漏洞、手机木马或短信自助云端备份等带来的危险挡在门外。但是呢,千万不要选择只支持 2G 网络的功能机。复习一下:GSM 网络制式的 2G 信号最容易被挟持了。
4. 换张电信卡
前面提到,「短信嗅探」这种风险,只要是你的手机用了 GSM 网络都会存在。微信公众号「终结诈骗」表示,由于移动和联通的 2G 是 GSM 网络制式,所以中国移动和中国联通的用户是这种劫持技术的风险客户。
而中国电信的 2G 是 CDMA 制式,几乎是不可嗅探的。在以往警方侦办的案例中,也未发现中国电信用户遭受该类技术攻击的情况。
换句话说,电信用户是对 GSM 劫持免疫的。
退一万步来说,万一被诈骗分子突破了重重防范,不幸遭遇被盗,各位切记第一时间收集、保留证据、冻结挂失银行卡并立即报警。尽最大努力追回损失,同时通过保留的证据,准备好材料,向被盗账户的相关平台申请赔偿。
最后,也是最中肯的建议,不想网络账户被盗,或者被盗刷,导致损失太大,就不要往网络账户中放太多钱吧。