手机短信验证码“打死也不能告诉别人”的铁律已渐渐被广泛熟知,可如果银行给你打电话说要给你钱,你还能hold住吗?本来是保证用户财产安全的短信验证码却成了不法分子用来实施诈骗的工具。近日,有不法分子恶意操纵网银账户贵金属交易,实施网络诈骗,让用户的财产安全受到威胁。
猎网平台及360互联网安全中心近日接到大量用户因网银账户贵金属交易被恶意操纵而引起的网络诈骗案件的举报。举报用户的手机截屏显示,整个诈骗过程看起来十分“有理有据”。手机用户首先收到银行短信通知,显示其账户有资金支出,一般为几千元,支出原因为用户不熟悉的某项网银金融业务,如“积金积存”、“如意积存”等。而这些业务其实就是银行开设的贵金属交易业务。接着,用户接到自称是电商、银行及其他各种公司客服人员的电话,称其使用银行卡进行了消费,因金额较大,需要电话确认是否为本人操作,若非本人操作,则可以将钱款退还给用户。用户表示消费并非本人操作后,账户真的会收到一定金额的退款。随后,“客服”会告知用户,其网银账户可能已被盗刷,为保证全部资金能够退还到用户手中,需要用户更好的提供验证码,并要求用户不要挂断电话。这时,用户手机会收到一个验证码短信,这个短信其实就是一个转账支付验证码通知短信或开通各种快捷支付的验证码短信。用户将验证码通过电话告诉“客服”后不久,就收到了银行卡被扣款的短信并发现了自己的网银被盗刷。
实际上,骗子是先通过其他渠道盗取了用户的网银账号、密码和手机号码,之后登录了用户的网银,开通相关贵金属交易业务,并实施线上买卖操作。由于线上买卖的贵金属仍然属于网银用户自己名下的金融实物资产,并不会转移给其他账户,所以银行方面一般不要求用户使用U盾或其他验证方式来进行验证,但会以短信方式通知用户账户的资金变动情况。这就是用户会收到银行卡支出短信的原因所在。
“竟然真的收到了银行发送的资金收入短信。”用户表示,这也是让他们深信不疑的原因。实际上,这是因为骗子同时在用户的网银账户上进行操作,卖出了刚刚买入的贵金属产品,从而导致有资金进入网银账户。但实际上,这些钱只是在用户个人账户内部转移,用户损失的是买入卖出之间的差价(手续费),钱并没有真正被骗子取走。
而诈骗真正能够得逞的关键还在于验证码。骗子首先在用户的网银上进行转账操作,或者是开通各种快捷支付方式。这样,用户手机就会收到验证码短信。之后骗子再以全部返还资金需要验证码为由向用户询问验证码。尽管银行短信中非常明确地写明了验证码的用途,但由于用户焦急的心理以及骗子的恐吓,如“2分钟内不输入就失效了”等,绝大多数用户往往不会认真看验证码短信的全部内容,而是直接将验证码告诉了骗子。最后,在骗子完全获取了用户的银行卡号、密码和验证码之后,就能够成功转走用户账户中的资金,或者是开通快捷支付并绑定骗子的手机,再用快捷支付转走用户账户中的资金。
对此,有用户质疑:银行在用户进行贵金属交易时为什么不进行二次验证?是不是银行的业务流程存在漏洞?银行工作人员表示,在银行的业务逻辑中贵金属交易是银行与用户之间的交易,银行与用户互为买卖对象,所以无论用户进行怎样的买卖操作,资金或贵金属货物都不会流转到第三方手中。也就是说,银行方面并没有对第三方的资金流出,所以不使用U盾或验证码做验证是合理的。如果用户不将验证码泄露给骗子的话,最多也就是损失一些买入、卖出过程中的手续费。
验证码的泄露是直接原因,然而究其根本,用户的网银账号和密码泄露才是罪魁祸首。如果骗子不能登录用户的网银账号,这种诈骗方法就不能成立。而造成用户网银账号和密码泄露的原因有多种,其中最主要的原因往往是用户设置的密码过于简单,或者是在不同的网站使用了相同的账号和密码,因此导致账号密码被窃取。
猎网平台表示,此类诈骗案表明,银行也有需要改进的地方,首先,对用户账号密码进行安全性检验,若用户设置的密码过于简单,应当强制要求用户设置足够复杂的密码;其次,当用户账户出现异地登录,或者是使用了新的上网设备做登录时,应进行必要的预警或安全验证,如向用户手机发送异地登录通知或验证码,并提示用户账号可能被盗,应及时修改网银密码。(苏晓)
用户遭遇类似情况,应立即采取以下措施保护自身的账户和资金安全:1.立即修改自己的网银密码,或者是冻结或挂失银行卡,以免自己的网银账户出现更多损失。2.拨打银行或者是电商网站的官方客服电话进行咨询,以确认事情的真伪,切不可相信陌生的手机号,尤其是陌生的手机号码。3.任何一个时间里都不要将账号、密码或验证码等敏感信息告诉陌生人。
另外,用户应当在日常生活中养成良好的上网习惯,特别是不可以使用过于简单的密码。网银、支付、社交、邮箱等常用账号一定要单独设置密码,并且保证密码足够复杂,建议为数字+字母+特殊符号组合的15位以上密码。定期修改自己的网银账号密码,建议每三个月或半年主动更换一次。更不要一套账号密码走天下,不要无论什么网站都使用相同的账号和密码。()