原標(biāo)題：焦點(diǎn)訪談：當(dāng)心你的驗(yàn)證碼被嗅探

央視網(wǎng)消息（焦點(diǎn)訪談）：銀行卡被盜刷,，這事挺可怕。海南三亞警方就破獲了這樣一起新型銀行卡盜刷案件,，一位女士在家什么都沒(méi)做,，一覺(jué)醒來(lái)，卻發(fā)現(xiàn)自己的銀行卡已經(jīng)被洗劫一空,。像這樣一類盜刷案件已經(jīng)多次發(fā)生,，引起了人們的關(guān)注。那么,，不法分子是怎么無(wú)聲無(wú)息就把錢轉(zhuǎn)走了,？這類案件為什么會(huì)多次發(fā)生，我們又該如何防范呢,？

2019年7月4日凌晨3點(diǎn)多,，海南省三亞市宋女士的手機(jī)上突然收到了幾條短信驗(yàn)證碼，不一會(huì)兒手機(jī)又接到短信,，顯示她的銀行卡被刷走了5萬(wàn)元,。

在銀行卡上的錢被轉(zhuǎn)走之前，宋女士有沒(méi)有進(jìn)行什么操作呢,？有沒(méi)有什么可疑的事情發(fā)生呢,？

受害人宋女士說(shuō)：“沒(méi)有任何操作，問(wèn)你的身份證,，你的銀行卡密碼,，根本就沒(méi)有，根本不用我操作,?！?/p>

什么都沒(méi)有操作錢就被轉(zhuǎn)走了,，宋女士趕緊到附近的三亞市公安局三亞灣派出所進(jìn)行報(bào)案,。接到報(bào)案后，接案的民警也感到蹊蹺,。

因?yàn)檎麄€(gè)過(guò)程受害人沒(méi)有和盜刷銀行卡的人有過(guò)任何的溝通,、接觸，無(wú)法提供盜刷銀行卡的人的任何信息,，于是三亞警方?jīng)Q定從資金流向入手展開調(diào)查,。

三亞市公安局天涯分局三亞灣派出所副所長(zhǎng)趙成良說(shuō)：“宋女士的錢從銀行卡出來(lái)以后，我們查詢到這筆錢進(jìn)入到了通聯(lián)支付公司,，就是第三方支付公司,。這筆錢從通聯(lián)支付底下一個(gè)第四方公司，叫廣州冠勝,，有一個(gè)代付業(yè)務(wù),，發(fā)起了一個(gè)收款請(qǐng)求?！?/p>

最后,，這筆錢從廣東惠州一家銀行的自動(dòng)取款機(jī)上被取走，三亞警方很快鎖定了犯罪嫌疑人,，在廣東惠州將其抓獲,，宋女士的5萬(wàn)元錢被全部追回。錢被追回來(lái)了,，這個(gè)案子或許到此已經(jīng)可以結(jié)案了,，但警方在偵破過(guò)程中有一個(gè)疑問(wèn)卻一直無(wú)法破解。以前的一些案例,，不法分子掌握了受害人的個(gè)人信息后,，會(huì)設(shè)法獲取受害人的銀行卡密碼進(jìn)行轉(zhuǎn)款。而本案受害人宋女士的錢被轉(zhuǎn)走是因?yàn)榕c動(dòng)態(tài)驗(yàn)證碼被截獲有關(guān),，這個(gè)似乎更安全的動(dòng)態(tài)驗(yàn)證碼不法分子是怎么獲取的呢,？

三亞警方成立專案組對(duì)此案進(jìn)行深挖,，經(jīng)過(guò)連日奮戰(zhàn)，這個(gè)作案人員涉及海南,、四川,、山東、廣東等地,，成員有著嚴(yán)密分工,、單線聯(lián)系的特大網(wǎng)絡(luò)盜刷團(tuán)伙終于現(xiàn)形,。2019年7月，專案組民警開始收網(wǎng),，在湖南婁底抓獲了這個(gè)團(tuán)伙的上家陳某華,，抓獲現(xiàn)場(chǎng)幾臺(tái)電腦還正在運(yùn)行。

趙成良說(shuō)：“當(dāng)時(shí)我們就問(wèn)他,，這個(gè)動(dòng)態(tài)驗(yàn)證碼是怎么獲得的,？他說(shuō)是在三亞有一個(gè)同伙，在被害人居住的范圍之內(nèi),，嗅取了被害人宋女士的動(dòng)態(tài)支付驗(yàn)證碼,，嗅取到以后他將動(dòng)態(tài)驗(yàn)證碼發(fā)給洗錢通道，就將這個(gè)錢給支付出來(lái)了,?！?/p>

什么是嗅探,？犯罪嫌疑人又是怎么嗅取了受害人的動(dòng)態(tài)驗(yàn)證碼的呢,？

犯罪嫌疑人顧某某說(shuō)：“用摩托羅拉118的手機(jī)，通過(guò)一番改造,，把它變成一個(gè)接收的天線,，再配合上特定的優(yōu)盤系統(tǒng)，在電腦打開之后,，就可以模仿基站的信號(hào),，攔截相當(dāng)于嗅取探測(cè)到周圍手機(jī)短信。一個(gè)手機(jī)15塊錢,，相當(dāng)于一個(gè)簡(jiǎn)單的拼接過(guò)程,。”

為什么如此廉價(jià)簡(jiǎn)單的嗅探設(shè)備就能截獲大量的手機(jī)短信呢,？

中國(guó)政法大學(xué)網(wǎng)絡(luò)法學(xué)研究院副院長(zhǎng)王立梅說(shuō)：“在2G的狀態(tài)下,，因?yàn)榧用芗夹g(shù)相對(duì)來(lái)講比較簡(jiǎn)單，比較容易破獲,，或者容易破解,，那么當(dāng)?shù)?G這種網(wǎng)絡(luò)的時(shí)候，嗅探技術(shù)在中間截獲這個(gè)數(shù)據(jù)包,，然后解開就可以了,。”

雖然現(xiàn)在我們?cè)缫堰M(jìn)入4G時(shí)代，有的地方甚至已經(jīng)用上了5G,，但在一些4G信號(hào)不好的地方,，手機(jī)會(huì)切換到2G網(wǎng)絡(luò),。另外，一些犯罪嫌疑人利用信號(hào)干擾設(shè)備,，專門對(duì)一定范圍的手機(jī)信號(hào)進(jìn)行干擾,，這時(shí)這些用戶的手機(jī)信號(hào)也會(huì)突然變成2G信號(hào)。這些犯罪嫌疑人就會(huì)利用2G網(wǎng)絡(luò)存在的漏洞,，用嗅探設(shè)備吸附到周圍一定范圍之內(nèi)的手機(jī)信號(hào),。吸附成功后，受害人的手機(jī)號(hào)碼和短信會(huì)自動(dòng)顯示在犯罪嫌疑人的電腦上,，受害人不會(huì)有任何察覺(jué),，悄無(wú)聲息中就變成了犯罪嫌疑人的獵物。

要想將受害人銀行卡上的錢轉(zhuǎn)走,，犯罪嫌疑人必須同時(shí)獲得該用戶的姓名,、身份證號(hào)、銀行卡號(hào),、手機(jī)號(hào),、動(dòng)態(tài)驗(yàn)證碼。這5個(gè)條件就像5把鑰匙,，一般情況下犯罪分子很難獲得,，但因?yàn)橛辛耸芎θ说氖謾C(jī)號(hào)碼并能夠?qū)崟r(shí)截取動(dòng)態(tài)驗(yàn)證碼，犯罪嫌疑人就如同拿到了一把“萬(wàn)能鑰匙”,，他們會(huì)通過(guò)網(wǎng)絡(luò)來(lái)獲得其他幾把鑰匙,。

對(duì)于一些沒(méi)有買過(guò)保險(xiǎn)，或者在淘寶沒(méi)有登記信息的用戶,，犯罪嫌疑人會(huì)同時(shí)登錄這個(gè)用戶其他的多個(gè)APP,。

最關(guān)鍵的是支付環(huán)節(jié)，不少APP往往都會(huì)對(duì)用戶的銀行卡號(hào)刻意隱去幾位,，那么犯罪嫌疑人又是怎么獲得完整的銀行卡號(hào)呢,？

顧某某說(shuō)：“可以通過(guò)充值，我隨便點(diǎn)一個(gè)充值的方式,，立即充值和付款方式,，可以看見(jiàn)你所有的卡。我知道你有建設(shè)銀行的,，我就可以去跑你的卡,，就腳本跑你的卡，像招商銀行的和工商銀行,，我直接通過(guò)別的APP就直接獲取了,。你也不用驚訝，這也不是我發(fā)明,、創(chuàng)造的,，就是這么一種操作的方式,。”

犯罪嫌疑人獲得了受害人的姓名,、身份證號(hào),、手機(jī)號(hào)、動(dòng)態(tài)驗(yàn)證碼,、銀行卡號(hào)這些信息之后,，還會(huì)挑選作案對(duì)象，查驗(yàn)用戶是否有作案價(jià)值,。

確定了有價(jià)值的用戶之后,，犯罪嫌疑人會(huì)再次利用受害人的手機(jī)號(hào)碼加動(dòng)態(tài)驗(yàn)證碼，使用免密支付的方式將受害人的錢轉(zhuǎn)移出去,。

此時(shí),，受害人什么都沒(méi)有操作，手機(jī)上會(huì)收到一堆驗(yàn)證碼,，之后銀行卡上的錢就被轉(zhuǎn)走了,。這個(gè)案件當(dāng)中，犯罪嫌疑人使用的嗅探設(shè)備十分廉價(jià),，嗅探技術(shù)也不是什么高深的技術(shù),，為什么卻能屢屢得手呢,？

顧某某說(shuō)：“你在一些APP上面去實(shí)名注冊(cè)信息,，很多時(shí)候是圖方便，當(dāng)你忘記密碼的時(shí)候,，就可以通過(guò)短信驗(yàn)證碼去登錄,，這個(gè)時(shí)候你會(huì)感覺(jué)到很方便，同時(shí)也方便了我們這些犯罪分子去盜取你的個(gè)人信息,，通過(guò)驗(yàn)證碼登錄,，方便了你，也方便了我,?！?/p>

記者隨后在手機(jī)上，選擇了多個(gè)常用的APP進(jìn)行測(cè)試,，這些APP一般都可以通過(guò)用戶名加密碼和手機(jī)號(hào)加動(dòng)態(tài)驗(yàn)證碼兩種方式進(jìn)行登錄,。當(dāng)用戶忘記密碼的時(shí)候，可以通過(guò)手機(jī)號(hào)發(fā)送驗(yàn)證碼的方式找回密碼,。這一切對(duì)用戶來(lái)說(shuō)似乎很方便,，也很安全?？墒遣环ǚ肿忧∏±檬謾C(jī)號(hào)加動(dòng)態(tài)驗(yàn)證碼也可以登錄的便利,，選擇在夜深人靜,、人們防范意識(shí)比較低的時(shí)候，在自己的手機(jī)或電腦上輸入用戶的手機(jī)號(hào),，再用截獲的動(dòng)態(tài)驗(yàn)證碼登錄用戶的APP,，達(dá)到盜竊用戶資金的目的。

王立梅說(shuō)：“手機(jī)加驗(yàn)證碼的方式可能是現(xiàn)在大多數(shù)的,，尤其是在網(wǎng)絡(luò)空間這種很多APP所通行采用的方法,，不是說(shuō)一兩個(gè)通行驗(yàn)證方式，但是這種驗(yàn)證方式本身它是有一定的安全隱患的,，也就是說(shuō)首先驗(yàn)證碼是有可能被截獲的,，這是其中一個(gè)。第二個(gè)就是預(yù)留的手機(jī)號(hào)碼,，這個(gè)號(hào)碼實(shí)際上它泄露的可能性也是非常大的,，所以它們兩個(gè)加在一起，做一個(gè)唯一的驗(yàn)證方式是有一定漏洞的,，盡可能應(yīng)該是再有其他的驗(yàn)證方法予以補(bǔ)充,。”

不僅如此,，很多互聯(lián)網(wǎng)公司對(duì)用戶的個(gè)人信息保護(hù)也不到位,。

王立梅說(shuō)：“在我們登錄很多很多APP，使用很多移動(dòng)服務(wù)的時(shí)候,，每一個(gè)移動(dòng)服務(wù)都要求我們提供一遍我們個(gè)人的一些數(shù)據(jù),，那么當(dāng)我們進(jìn)入這么多的使用了這么多的用途以后，幾乎我們所有的信息,，就在互聯(lián)網(wǎng)各個(gè)節(jié)點(diǎn)有非常多的備份,，那么任何一個(gè)備份丟失、泄露等等,，都會(huì)造成全部數(shù)據(jù)的遺失,。”

因?yàn)榉缸锵右扇四軌蚬室飧蓴_手機(jī)信號(hào)，這樣就會(huì)使4G和5G手機(jī)自動(dòng)轉(zhuǎn)到2G網(wǎng)絡(luò),。而2G網(wǎng)絡(luò)的先天不足一時(shí)難以彌補(bǔ),，這就要求眾多互聯(lián)網(wǎng)公司和銀行不能以手機(jī)加動(dòng)態(tài)驗(yàn)證碼作為唯一的身份驗(yàn)證方式，應(yīng)該盡可能再增加其他驗(yàn)證方法予以補(bǔ)充,。同時(shí),，普通用戶也要加強(qiáng)個(gè)人防范。

犯罪嫌疑人陳某某說(shuō)：“最好的辦法，打個(gè)比方,，你如果說(shuō)要綁定第三方平臺(tái)銀行卡,，盡量不要放太多資金?！?/p>

當(dāng)用戶突然收到不明的驗(yàn)證碼,，然后發(fā)現(xiàn)銀行卡被盜刷了也不要驚慌。

趙成良說(shuō)：“第一時(shí)間到公安機(jī)關(guān)報(bào)名,，及時(shí)止付,，把你的銀行卡掛失凍結(jié)，我們公安機(jī)關(guān)去追這筆錢,?！?/p>

這個(gè)案件雖然不大，但反映出來(lái)的問(wèn)題值得大家關(guān)注,。我們的個(gè)人信息就像水池里的水,，每使用一項(xiàng)互聯(lián)網(wǎng)服務(wù)就像給這個(gè)水池安裝了一個(gè)管道，增加了泄露的風(fēng)險(xiǎn),，更令人擔(dān)憂的是,，很多管道用的都是同一種水龍頭，手機(jī)號(hào)碼加驗(yàn)證碼?，F(xiàn)在信息網(wǎng)絡(luò)技術(shù)犯罪越來(lái)越多,，這些不法分子之所以能夠得逞，就是利用了網(wǎng)絡(luò)技術(shù)上的各種漏洞,。人們希望電信運(yùn)營(yíng)商,、互聯(lián)網(wǎng)企業(yè)、銀行以及監(jiān)管部門能多想辦法,，保障人民群眾的財(cái)產(chǎn)安全,。畢竟,，沒(méi)有安全的方便是沒(méi)有意義的,。