-
个人信息泄露“黑市”3毛一条10:34:48
在回复了一条短信后,一夜之间,许先生的积蓄几乎全部被人转走。
【事件】
将验证码回复过去 几小时内钱被盗
北京的许先生因根据提示回复了一条短信,几个小时内积蓄几乎被悉数盗走,涉及三张银行卡及支付宝、百度钱包。
一周来北京市的许先生过得很糟心,一直在为自己被盗的积蓄奔波。许先生告诉新京报记者,自己一直在创业,好不容易有了点积蓄,却在几个小时内几乎被悉数盗走。涉及三张银行卡,以及支付宝和百度钱包。事情的起因是自己根据提示回复了一条短信。
4月8日,许先生在下班回家的地铁上收到一条10086的短信,提示他手机开通了一项名为“中广财经半年包”的业务;接着又收到一条“10658+手机号”发来的短信,称回复“取消+校验码”可退订业务;与此同时,许先生收到10086发来的“USIM卡6位验证码”。正想退订业务的许先生就根据提示将验证码发送过去。之后“灾难”就开始了。
半个小时后,许先生的手机无法上网和通话,此时他还以为是中国移动开通业务后导致手机停机;不过一个小时后,许先生发现事情并非如同他的猜测,自己的支付宝开始向绑定的银行卡转账,而银行卡的网银密码也被修改了,他本人无法登录。除了用支付宝转账外,他的百度钱包也被人绑定关联了银行卡,参与了转账。最终许先生银行卡和支付宝里的钱都被转走了。
在此期间,许先生采取了不少措施,比如尝试将钱转到其他的银行卡上,解除银行卡与支付宝的绑定等,但都没能挽回损失。许先生说:“我是同一时间在和TA抢钱,而最后,我啥也没抢回来。”
【探因】
被盗刷前银行卡身份证等信息已泄露
网络安全专家表示,这是一起典型的综合利用“个人信息+USIM卡+改号软件发送诈骗短信”的案件。
许先生的钱究竟是如何被盗走的呢?新京报记者就此采访了360互联网安全中心网络安全专家刘洋,刘洋表示,按照许先生的描述,这是一起典型的综合利用“个人信息+USIM卡+改号软件发送诈骗短信”的案件。
“根据已有的信息判断,在实施诈骗之前,骗子掌握了大量受害者的个人信息,包括姓名、手机号、身份证号、网银账户和密码,银行预留的验证手机号。”刘洋说,在这种情况下,骗子只需要得到许先生的短信验证码,即可进行转账操作。于是,骗子选择利用移动的USIM补换卡业务,直接窃取用户手机卡,并由此可以掌握该用户的全部手机短信,包括转账必需的“验证码短信”内容。
根据刘洋的解释,骗子先获取了许先生移动网上营业厅账号密码,给许先生订购手机报增值业务,以便干扰他的判断,认为被强制订购业务;实际上,这时骗子通过网上营业厅办理USIM换补卡业务,使得许先生收到中国移动发送的短信验证码;骗子再利用改号软件定向给许先生发送短信,提示他退订增值业务需回复短信“取消+验证码”,诱骗许先生把“USIM卡补换卡验证码”当成“取消订购业务验证码”发送过去,交给骗子。
办理USIM卡补换卡业务后,原手机上的卡就不能用了,骗子利用了这个漏洞窃取了许先生的手机号,在具备许先生的个人信息后,骗子可以轻易获取任何转账支付需要的验证码,进行支付宝、网银等转账支付。
新京报记者4月18日登录移动官网查看发现,移动这项业务已进行了安全机制上的更新,用户如果没有申请备卡就不能办理该业务。而且移动会提醒:即将在中国移动北京公司办理补卡。
据上述涉事银行内部人士分析,该客户身份信息、银行卡号、网银登录密码、手机号均泄露,特别是手机号及手机接收到的信息被犯罪分子控制。客户在支付机构通过“姓名、银行卡号、证件类型和证件号、手机号、手机验证码”绑定银行卡,支付过程中,验证客户在支付机构设置的密码。
上述银行人士表示,在与支付机构合作快捷支付业务中,银行一般会建立相应的风控机制,例如客户签约的手机号码应在银行柜面或通过网银U盾验证,以防不法分子利用。同时,对支付机构的快捷业务设置了相应限额,分为单笔累计、日累计和月累计,如出现资金盗刷,可降低被盗资金额度风险。后续,该行将与客户一起尽快解决问题,减少客户损失。提示广大客户,妥善保护好个人信息,防止个人信息泄露。
【调查】
个人信息“黑市”交易3毛一条
目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。
个人信息被当成商品在“黑市”交易已不是秘密。
新京报记者通过调查发现,网上有不少出售个人信息的QQ群,在一个名为“出售个人信息数据”的QQ群里,不少人在群里咨询“求购车主信息”“有没有身份证银行卡加密码信息”……
新京报记者以需要个人信息的名义联系名为“客服3”的管理员,在提供从城市、具体要求之后,该管理员发来一份“样例”,并声称资料靠谱。
据其描述,不同要求的资料价格也不同。其中只有姓名、身份证号、手机号等信息的话,一手资料2元/条,二手资料0.3元/条。“银行的贵,带密不做,风险高。”该管理员称,一般加上银行卡号后,一手信息会升到一条5元,二手信息也升到0.5元一条。
此后,记者又试图添加其他QQ群,大部分都没有审核通过。其中有一位自称“网络大咖”的出售人员表示,“1万数据2800元,服务器提取一手数据”,并称统一先收费再操作。当记者询问能否提供“试用”,遭到对方的拒绝。
“目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。”刘洋说。
据刘洋介绍,无良商家倒卖主要是某些掌握大量用户个人信息的商业机构由于管理不善,内部员工盗卖用户个人信息的事件时有发生;木马病毒窃取个人信息主要是针对上网账号,统计显示,超过一半的流行木马病毒与网络盗号相关。而且盗号木马主要针对的用户的游戏账号、社交账号、网银账号和其他支付账号;二手手机泄密是指用户出售自己二手手机时,即便将通讯录、短信、通话记录等信息全部删除,但如果没有对手机中存储的信息进行彻底的销毁,则有可能被不法分子恶意恢复数据并用于不法目的。
2015年,关于网站被拖库、撞库的新闻时常见诸各类媒体。在网站数据窃取方面,刘洋表示,统计显示,仅补天平台在2015年收录了可造成个人信息泄露的漏洞就多达1410个,涉及网站1282个,可导致泄露的个人信息量高达55.3亿条,这一数字较2014年的23.6亿条翻了一倍多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民至少可能泄露了8条以上的个人信息。
除此之外,还有新型“黑客”技术窃取,刘洋介绍,目前一些新型的黑客攻击技术也在被越来越多地用于窃取消费者个人信息。比如伪基站可以伪装成任意号码向用户发送诈骗短信,并诱骗手机用户登录钓鱼网站;钓鱼WiFi则可以直接监听接入该WiFi网络用户的所有上网行为。
【事件】
将验证码回复过去 几小时内钱被盗
北京的许先生因根据提示回复了一条短信,几个小时内积蓄几乎被悉数盗走,涉及三张银行卡及支付宝、百度钱包。
一周来北京市的许先生过得很糟心,一直在为自己被盗的积蓄奔波。许先生告诉新京报记者,自己一直在创业,好不容易有了点积蓄,却在几个小时内几乎被悉数盗走。涉及三张银行卡,以及支付宝和百度钱包。事情的起因是自己根据提示回复了一条短信。
4月8日,许先生在下班回家的地铁上收到一条10086的短信,提示他手机开通了一项名为“中广财经半年包”的业务;接着又收到一条“10658+手机号”发来的短信,称回复“取消+校验码”可退订业务;与此同时,许先生收到10086发来的“USIM卡6位验证码”。正想退订业务的许先生就根据提示将验证码发送过去。之后“灾难”就开始了。
半个小时后,许先生的手机无法上网和通话,此时他还以为是中国移动开通业务后导致手机停机;不过一个小时后,许先生发现事情并非如同他的猜测,自己的支付宝开始向绑定的银行卡转账,而银行卡的网银密码也被修改了,他本人无法登录。除了用支付宝转账外,他的百度钱包也被人绑定关联了银行卡,参与了转账。最终许先生银行卡和支付宝里的钱都被转走了。
在此期间,许先生采取了不少措施,比如尝试将钱转到其他的银行卡上,解除银行卡与支付宝的绑定等,但都没能挽回损失。许先生说:“我是同一时间在和TA抢钱,而最后,我啥也没抢回来。”
【探因】
被盗刷前银行卡身份证等信息已泄露
网络安全专家表示,这是一起典型的综合利用“个人信息+USIM卡+改号软件发送诈骗短信”的案件。
许先生的钱究竟是如何被盗走的呢?新京报记者就此采访了360互联网安全中心网络安全专家刘洋,刘洋表示,按照许先生的描述,这是一起典型的综合利用“个人信息+USIM卡+改号软件发送诈骗短信”的案件。
“根据已有的信息判断,在实施诈骗之前,骗子掌握了大量受害者的个人信息,包括姓名、手机号、身份证号、网银账户和密码,银行预留的验证手机号。”刘洋说,在这种情况下,骗子只需要得到许先生的短信验证码,即可进行转账操作。于是,骗子选择利用移动的USIM补换卡业务,直接窃取用户手机卡,并由此可以掌握该用户的全部手机短信,包括转账必需的“验证码短信”内容。
根据刘洋的解释,骗子先获取了许先生移动网上营业厅账号密码,给许先生订购手机报增值业务,以便干扰他的判断,认为被强制订购业务;实际上,这时骗子通过网上营业厅办理USIM换补卡业务,使得许先生收到中国移动发送的短信验证码;骗子再利用改号软件定向给许先生发送短信,提示他退订增值业务需回复短信“取消+验证码”,诱骗许先生把“USIM卡补换卡验证码”当成“取消订购业务验证码”发送过去,交给骗子。
办理USIM卡补换卡业务后,原手机上的卡就不能用了,骗子利用了这个漏洞窃取了许先生的手机号,在具备许先生的个人信息后,骗子可以轻易获取任何转账支付需要的验证码,进行支付宝、网银等转账支付。
新京报记者4月18日登录移动官网查看发现,移动这项业务已进行了安全机制上的更新,用户如果没有申请备卡就不能办理该业务。而且移动会提醒:即将在中国移动北京公司办理补卡。
据上述涉事银行内部人士分析,该客户身份信息、银行卡号、网银登录密码、手机号均泄露,特别是手机号及手机接收到的信息被犯罪分子控制。客户在支付机构通过“姓名、银行卡号、证件类型和证件号、手机号、手机验证码”绑定银行卡,支付过程中,验证客户在支付机构设置的密码。
上述银行人士表示,在与支付机构合作快捷支付业务中,银行一般会建立相应的风控机制,例如客户签约的手机号码应在银行柜面或通过网银U盾验证,以防不法分子利用。同时,对支付机构的快捷业务设置了相应限额,分为单笔累计、日累计和月累计,如出现资金盗刷,可降低被盗资金额度风险。后续,该行将与客户一起尽快解决问题,减少客户损失。提示广大客户,妥善保护好个人信息,防止个人信息泄露。
【调查】
个人信息“黑市”交易3毛一条
目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。
个人信息被当成商品在“黑市”交易已不是秘密。
新京报记者通过调查发现,网上有不少出售个人信息的QQ群,在一个名为“出售个人信息数据”的QQ群里,不少人在群里咨询“求购车主信息”“有没有身份证银行卡加密码信息”……
新京报记者以需要个人信息的名义联系名为“客服3”的管理员,在提供从城市、具体要求之后,该管理员发来一份“样例”,并声称资料靠谱。
据其描述,不同要求的资料价格也不同。其中只有姓名、身份证号、手机号等信息的话,一手资料2元/条,二手资料0.3元/条。“银行的贵,带密不做,风险高。”该管理员称,一般加上银行卡号后,一手信息会升到一条5元,二手信息也升到0.5元一条。
此后,记者又试图添加其他QQ群,大部分都没有审核通过。其中有一位自称“网络大咖”的出售人员表示,“1万数据2800元,服务器提取一手数据”,并称统一先收费再操作。当记者询问能否提供“试用”,遭到对方的拒绝。
“目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。”刘洋说。
据刘洋介绍,无良商家倒卖主要是某些掌握大量用户个人信息的商业机构由于管理不善,内部员工盗卖用户个人信息的事件时有发生;木马病毒窃取个人信息主要是针对上网账号,统计显示,超过一半的流行木马病毒与网络盗号相关。而且盗号木马主要针对的用户的游戏账号、社交账号、网银账号和其他支付账号;二手手机泄密是指用户出售自己二手手机时,即便将通讯录、短信、通话记录等信息全部删除,但如果没有对手机中存储的信息进行彻底的销毁,则有可能被不法分子恶意恢复数据并用于不法目的。
2015年,关于网站被拖库、撞库的新闻时常见诸各类媒体。在网站数据窃取方面,刘洋表示,统计显示,仅补天平台在2015年收录了可造成个人信息泄露的漏洞就多达1410个,涉及网站1282个,可导致泄露的个人信息量高达55.3亿条,这一数字较2014年的23.6亿条翻了一倍多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民至少可能泄露了8条以上的个人信息。
除此之外,还有新型“黑客”技术窃取,刘洋介绍,目前一些新型的黑客攻击技术也在被越来越多地用于窃取消费者个人信息。比如伪基站可以伪装成任意号码向用户发送诈骗短信,并诱骗手机用户登录钓鱼网站;钓鱼WiFi则可以直接监听接入该WiFi网络用户的所有上网行为。
(服务期满)Timewe精品App/小程序20年
推荐阅读