原標題:焦點訪談:當心你的驗證碼被嗅探
央視網(wǎng)消息(焦點訪談):銀行卡被盜刷,,這事挺可怕,。海南三亞警方就破獲了這樣一起新型銀行卡盜刷案件,一位女士在家什么都沒做,,一覺醒來,,卻發(fā)現(xiàn)自己的銀行卡已經(jīng)被洗劫一空。像這樣一類盜刷案件已經(jīng)多次發(fā)生,,引起了人們的關(guān)注,。那么,不法分子是怎么無聲無息就把錢轉(zhuǎn)走了,?這類案件為什么會多次發(fā)生,,我們又該如何防范呢?
2019年7月4日凌晨3點多,,海南省三亞市宋女士的手機上突然收到了幾條短信驗證碼,,不一會兒手機又接到短信,顯示她的銀行卡被刷走了5萬元,。
在銀行卡上的錢被轉(zhuǎn)走之前,,宋女士有沒有進行什么操作呢?有沒有什么可疑的事情發(fā)生呢,?
受害人宋女士說:“沒有任何操作,,問你的身份證,你的銀行卡密碼,,根本就沒有,,根本不用我操作?!?/p>
什么都沒有操作錢就被轉(zhuǎn)走了,,宋女士趕緊到附近的三亞市公安局三亞灣派出所進行報案,。接到報案后,接案的民警也感到蹊蹺,。
因為整個過程受害人沒有和盜刷銀行卡的人有過任何的溝通,、接觸,無法提供盜刷銀行卡的人的任何信息,,于是三亞警方?jīng)Q定從資金流向入手展開調(diào)查,。
三亞市公安局天涯分局三亞灣派出所副所長趙成良說:“宋女士的錢從銀行卡出來以后,我們查詢到這筆錢進入到了通聯(lián)支付公司,,就是第三方支付公司,。這筆錢從通聯(lián)支付底下一個第四方公司,,叫廣州冠勝,有一個代付業(yè)務(wù),,發(fā)起了一個收款請求,。”
最后,,這筆錢從廣東惠州一家銀行的自動取款機上被取走,,三亞警方很快鎖定了犯罪嫌疑人,在廣東惠州將其抓獲,,宋女士的5萬元錢被全部追回,。錢被追回來了,這個案子或許到此已經(jīng)可以結(jié)案了,,但警方在偵破過程中有一個疑問卻一直無法破解,。以前的一些案例,不法分子掌握了受害人的個人信息后,,會設(shè)法獲取受害人的銀行卡密碼進行轉(zhuǎn)款,。而本案受害人宋女士的錢被轉(zhuǎn)走是因為與動態(tài)驗證碼被截獲有關(guān),這個似乎更安全的動態(tài)驗證碼不法分子是怎么獲取的呢,?
三亞警方成立專案組對此案進行深挖,,經(jīng)過連日奮戰(zhàn),,這個作案人員涉及海南、四川,、山東,、廣東等地,成員有著嚴密分工,、單線聯(lián)系的特大網(wǎng)絡(luò)盜刷團伙終于現(xiàn)形,。2019年7月,專案組民警開始收網(wǎng),,在湖南婁底抓獲了這個團伙的上家陳某華,,抓獲現(xiàn)場幾臺電腦還正在運行。
趙成良說:“當時我們就問他,,這個動態(tài)驗證碼是怎么獲得的,?他說是在三亞有一個同伙,在被害人居住的范圍之內(nèi),,嗅取了被害人宋女士的動態(tài)支付驗證碼,,嗅取到以后他將動態(tài)驗證碼發(fā)給洗錢通道,就將這個錢給支付出來了?!?/p>
什么是嗅探,?犯罪嫌疑人又是怎么嗅取了受害人的動態(tài)驗證碼的呢?
犯罪嫌疑人顧某某說:“用摩托羅拉118的手機,,通過一番改造,把它變成一個接收的天線,,再配合上特定的優(yōu)盤系統(tǒng),,在電腦打開之后,就可以模仿基站的信號,,攔截相當于嗅取探測到周圍手機短信,。一個手機15塊錢,相當于一個簡單的拼接過程,?!?/p>
為什么如此廉價簡單的嗅探設(shè)備就能截獲大量的手機短信呢?
中國政法大學(xué)網(wǎng)絡(luò)法學(xué)研究院副院長王立梅說:“在2G的狀態(tài)下,,因為加密技術(shù)相對來講比較簡單,,比較容易破獲,或者容易破解,,那么當?shù)?G這種網(wǎng)絡(luò)的時候,,嗅探技術(shù)在中間截獲這個數(shù)據(jù)包,然后解開就可以了,?!?/p>
雖然現(xiàn)在我們早已進入4G時代,,有的地方甚至已經(jīng)用上了5G,但在一些4G信號不好的地方,,手機會切換到2G網(wǎng)絡(luò),。另外,一些犯罪嫌疑人利用信號干擾設(shè)備,,專門對一定范圍的手機信號進行干擾,,這時這些用戶的手機信號也會突然變成2G信號。這些犯罪嫌疑人就會利用2G網(wǎng)絡(luò)存在的漏洞,,用嗅探設(shè)備吸附到周圍一定范圍之內(nèi)的手機信號,。吸附成功后,受害人的手機號碼和短信會自動顯示在犯罪嫌疑人的電腦上,,受害人不會有任何察覺,,悄無聲息中就變成了犯罪嫌疑人的獵物。
要想將受害人銀行卡上的錢轉(zhuǎn)走,,犯罪嫌疑人必須同時獲得該用戶的姓名,、身份證號,、銀行卡號、手機號,、動態(tài)驗證碼,。這5個條件就像5把鑰匙,一般情況下犯罪分子很難獲得,,但因為有了受害人的手機號碼并能夠?qū)崟r截取動態(tài)驗證碼,,犯罪嫌疑人就如同拿到了一把“萬能鑰匙”,他們會通過網(wǎng)絡(luò)來獲得其他幾把鑰匙,。
對于一些沒有買過保險,,或者在淘寶沒有登記信息的用戶,犯罪嫌疑人會同時登錄這個用戶其他的多個APP,。
最關(guān)鍵的是支付環(huán)節(jié),,不少APP往往都會對用戶的銀行卡號刻意隱去幾位,那么犯罪嫌疑人又是怎么獲得完整的銀行卡號呢,?
顧某某說:“可以通過充值,,我隨便點一個充值的方式,立即充值和付款方式,,可以看見你所有的卡,。我知道你有建設(shè)銀行的,我就可以去跑你的卡,,就腳本跑你的卡,,像招商銀行的和工商銀行,我直接通過別的APP就直接獲取了,。你也不用驚訝,,這也不是我發(fā)明、創(chuàng)造的,,就是這么一種操作的方式,。”
犯罪嫌疑人獲得了受害人的姓名,、身份證號,、手機號、動態(tài)驗證碼,、銀行卡號這些信息之后,,還會挑選作案對象,查驗用戶是否有作案價值,。
確定了有價值的用戶之后,,犯罪嫌疑人會再次利用受害人的手機號碼加動態(tài)驗證碼,使用免密支付的方式將受害人的錢轉(zhuǎn)移出去。
此時,,受害人什么都沒有操作,,手機上會收到一堆驗證碼,之后銀行卡上的錢就被轉(zhuǎn)走了,。這個案件當中,,犯罪嫌疑人使用的嗅探設(shè)備十分廉價,嗅探技術(shù)也不是什么高深的技術(shù),,為什么卻能屢屢得手呢,?
顧某某說:“你在一些APP上面去實名注冊信息,很多時候是圖方便,,當你忘記密碼的時候,就可以通過短信驗證碼去登錄,,這個時候你會感覺到很方便,,同時也方便了我們這些犯罪分子去盜取你的個人信息,通過驗證碼登錄,,方便了你,,也方便了我?!?/p>
記者隨后在手機上,,選擇了多個常用的APP進行測試,這些APP一般都可以通過用戶名加密碼和手機號加動態(tài)驗證碼兩種方式進行登錄,。當用戶忘記密碼的時候,,可以通過手機號發(fā)送驗證碼的方式找回密碼。這一切對用戶來說似乎很方便,,也很安全,。可是不法分子恰恰利用手機號加動態(tài)驗證碼也可以登錄的便利,,選擇在夜深人靜,、人們防范意識比較低的時候,在自己的手機或電腦上輸入用戶的手機號,,再用截獲的動態(tài)驗證碼登錄用戶的APP,,達到盜竊用戶資金的目的。
王立梅說:“手機加驗證碼的方式可能是現(xiàn)在大多數(shù)的,,尤其是在網(wǎng)絡(luò)空間這種很多APP所通行采用的方法,,不是說一兩個通行驗證方式,但是這種驗證方式本身它是有一定的安全隱患的,,也就是說首先驗證碼是有可能被截獲的,,這是其中一個。第二個就是預(yù)留的手機號碼,這個號碼實際上它泄露的可能性也是非常大的,,所以它們兩個加在一起,,做一個唯一的驗證方式是有一定漏洞的,,盡可能應(yīng)該是再有其他的驗證方法予以補充,?!?/p>
不僅如此,,很多互聯(lián)網(wǎng)公司對用戶的個人信息保護也不到位,。
王立梅說:“在我們登錄很多很多APP,,使用很多移動服務(wù)的時候,,每一個移動服務(wù)都要求我們提供一遍我們個人的一些數(shù)據(jù),,那么當我們進入這么多的使用了這么多的用途以后,,幾乎我們所有的信息,,就在互聯(lián)網(wǎng)各個節(jié)點有非常多的備份,,那么任何一個備份丟失,、泄露等等,,都會造成全部數(shù)據(jù)的遺失,?!?/p>
因為犯罪嫌疑人能夠故意干擾手機信號,,這樣就會使4G和5G手機自動轉(zhuǎn)到2G網(wǎng)絡(luò),。而2G網(wǎng)絡(luò)的先天不足一時難以彌補,,這就要求眾多互聯(lián)網(wǎng)公司和銀行不能以手機加動態(tài)驗證碼作為唯一的身份驗證方式,,應(yīng)該盡可能再增加其他驗證方法予以補充,。同時,普通用戶也要加強個人防范,。
犯罪嫌疑人陳某某說:“最好的辦法,,打個比方,,你如果說要綁定第三方平臺銀行卡,盡量不要放太多資金,?!?/p>
當用戶突然收到不明的驗證碼,然后發(fā)現(xiàn)銀行卡被盜刷了也不要驚慌,。
趙成良說:“第一時間到公安機關(guān)報名,,及時止付,把你的銀行卡掛失凍結(jié),,我們公安機關(guān)去追這筆錢,?!?/p>
這個案件雖然不大,但反映出來的問題值得大家關(guān)注,。我們的個人信息就像水池里的水,,每使用一項互聯(lián)網(wǎng)服務(wù)就像給這個水池安裝了一個管道,增加了泄露的風(fēng)險,,更令人擔憂的是,,很多管道用的都是同一種水龍頭,手機號碼加驗證碼?,F(xiàn)在信息網(wǎng)絡(luò)技術(shù)犯罪越來越多,,這些不法分子之所以能夠得逞,,就是利用了網(wǎng)絡(luò)技術(shù)上的各種漏洞。人們希望電信運營商,、互聯(lián)網(wǎng)企業(yè),、銀行以及監(jiān)管部門能多想辦法,,保障人民群眾的財產(chǎn)安全,。畢竟,,沒有安全的方便是沒有意義的,。
原標題:太無恥了,!美國一護士竟干出這種事!據(jù)多家美國媒體報道,,美國紐約警方近日逮捕了當?shù)匾患裔t(yī)院的一名護士,,因為此人竟涉嫌盜用了一名新冠肺炎重癥患者的信用卡。
4629筆訂單,、827名用戶,直到快手平臺的運營方北京快手科技有限公司發(fā)現(xiàn)數(shù)據(jù)異常,,24天間,,平臺統(tǒng)計被惡意盜刷金額達672萬元,。
新華社廣州5月21日電中山大學(xué)校長,、我國空間引力波探測“天琴計劃”首席科學(xué)家羅俊21日接受記者采訪時披露,經(jīng)過多方評估