本周，一起蹊蹺的網(wǎng)銀被盜案引起業(yè)內(nèi)高度關(guān)注。受害人在地鐵莫名其妙地收到幾條短信，回復(fù)退訂驗證碼之后，自己的手機(jī)卡立刻失效。隨后，受害人支付寶、銀行卡被洗劫一空。

有專家建議，一方面應(yīng)加強(qiáng)用戶重視短信驗證碼保管的教育宣傳，另一方面，運營商中國移動也應(yīng)該加強(qiáng)換卡業(yè)務(wù)的漏洞防范。

日前，網(wǎng)友許先生爆料稱，他在回家的地鐵上收到了一條號碼源為1065800的短信，短信內(nèi)容為某財經(jīng)雜志的手機(jī)報。由于并無閱讀該雜志手機(jī)報的需求，許先生隨手回復(fù)了一條含驗證碼的退訂短信，沒想到之后手機(jī)就沒信號了，支付寶和銀行卡上的錢也隨之失竊。

退訂短信后手機(jī)被換卡

據(jù)獵豹移動安全專家分析，在這個案例中，黑客在很短時間內(nèi)完成網(wǎng)銀盜竊，事先應(yīng)該做了精心準(zhǔn)備。首先，黑客通過黑色產(chǎn)業(yè)鏈流傳的各種數(shù)據(jù)庫精心篩選了作案目標(biāo)，在正式動手前，詐騙者已經(jīng)掌握受害人的手機(jī)號、手機(jī)營業(yè)廳服務(wù)密碼、支付寶賬號、銀行卡號、身份證號等信息。

雖然個人信息泄露并不能直接導(dǎo)致網(wǎng)銀被盜，但網(wǎng)銀、手機(jī)銀行、第三方支付、網(wǎng)購平臺，這些業(yè)務(wù)都嚴(yán)重依賴手機(jī)短信驗證碼來驗證用戶身份。當(dāng)手機(jī)卡被其他人補(bǔ)辦，災(zāi)難就來了。

在這個案例中，黑客通過網(wǎng)上營業(yè)廳，為受害者申請4G自助換卡；接到申請后，系統(tǒng)向受害者下發(fā)換卡二次確認(rèn)驗證碼。

這時，受害者手機(jī)上就會收到一條包含驗證碼的短信，如果受害者將這6位驗證碼交給別人，結(jié)果就是受害者手機(jī)卡立刻失效，而黑客在另一個城市，會拿新的空白手機(jī)卡換掉用戶手中正在使用的手機(jī)SIM卡。受害人會突然發(fā)現(xiàn)手機(jī)沒信號了，SIM卡換到其他手機(jī)也一樣沒信號，因為這張卡已經(jīng)作廢，當(dāng)然不會有信號。

就手機(jī)詐騙事件，中國移動表示，來源不明、自己不知情的驗證碼千萬不要提供給別人，尤其是不能發(fā)給陌生號碼。一旦不法分子獲知了驗證碼，后果將不堪設(shè)想。

換卡業(yè)務(wù)管理亟待加強(qiáng)

業(yè)內(nèi)人士稱，這也暴露出運營商的管理漏洞。有專家說，盡管中國移動的自助換卡采取一些很嚴(yán)格的限制措施，比如一定要實名、只能本人申請以及需要較長時間等等，但是還是被騙子通過運營商的管理漏洞繞過了。

不少用戶也認(rèn)為，中國移動發(fā)送的換卡短信內(nèi)容過于簡單，無法理解這條短信意味著什么重要后果。用戶并不清楚，一旦遭遇“補(bǔ)卡”攻擊，手機(jī)卡被其他人補(bǔ)辦后，由于所有與支付有關(guān)的業(yè)務(wù)，用來驗證身份的短信都在詐騙者手里，用戶的支付寶、銀行卡被盜就成為必然。

業(yè)內(nèi)人士建議中國移動加以防范異地IP登錄辦理關(guān)鍵業(yè)務(wù)，應(yīng)該由客服主動打電話聯(lián)系用戶確認(rèn)。因為換卡這種業(yè)務(wù)，異地登錄的詐騙嫌疑較大。

鏈接：三招防范“補(bǔ)卡”攻擊

1. 驗證碼別給任何人，除非是自己在做轉(zhuǎn)賬、消費等操作。

2. 如果發(fā)現(xiàn)自己被定制了業(yè)務(wù)，打10086客服退訂，不要在手機(jī)上操作你不熟悉的業(yè)務(wù)。

3.當(dāng)你發(fā)現(xiàn)手機(jī)突然沒信號，而周圍其他人手機(jī)都正常。請注意，你的手機(jī)卡可能被別人補(bǔ)辦了。你要做的是，立刻借手機(jī)聯(lián)系銀行凍結(jié)銀行卡�；蛘�，通過WiFi上網(wǎng)，登錄手機(jī)銀行客戶端，凍結(jié)銀行卡。聯(lián)系支付寶、微信，凍結(jié)賬號。

案例

用戶“退訂短信”失財

1.網(wǎng)上營業(yè)廳為受害者訂制增值業(yè)務(wù)

黑客以各種手段獲得了受害者登錄網(wǎng)上營業(yè)廳的“網(wǎng)站密碼”；通過運營商網(wǎng)上營業(yè)廳，為受害者訂制增值業(yè)務(wù)；

2.申請換卡并騙取受害者驗證碼

黑客通過網(wǎng)上營業(yè)廳，為受害者申請4G自助換卡；接到申請后，系統(tǒng)向受害者下發(fā)換卡二次確認(rèn)驗證碼；黑客利用139郵箱的短信功能偽裝，向受害者騙取驗證碼；

3.換卡成功，受害者原手機(jī)“癱瘓”

受害者試圖退訂增值業(yè)務(wù)，按黑客指示將驗證碼發(fā)給了黑客；黑客遠(yuǎn)程完成換卡；

4.黑客重置郵箱密碼和支付寶密碼

黑客利用手機(jī)號登陸受害者支付寶，通過找回密碼功能，獲得受害者的郵箱地址。黑客利用手機(jī)號，重置了受害者的郵箱密碼；黑客登錄受害者的郵箱，下載數(shù)字證書，并重置了受害者的支付寶密碼；

5.將支付寶和銀行資金洗劫一空

黑客將受害者的支付寶資金進(jìn)行轉(zhuǎn)移，并通過支付寶關(guān)聯(lián)，洗劫了受害者的銀行資金。