银行卡被盗刷,这事挺恐怖。海南三亚警方就破获了这样一起新型银行卡盗刷案件,一位女士在家什么都没做,一觉醒来,却创造自己的银行卡已经被洗劫一空。像这样一类盗刷案件已经多次发生,引起了人们的关注。那么,不法分子是怎么无声无息就把钱转走了?这类案件为什么会多次发生,我们又该如何戒备呢?
2019年7月4日凌晨3点多,海南省三亚市宋女士的手机上溘然收到了几条短信验证码,不一会儿手机又接到短信,显示她的银行卡被刷走了5万元。
在银行卡上的钱被转走之前,宋女士有没有进行什么操作呢?有没有什么可疑的事情发生呢?
受害人宋女士说:“没有任何操作,问你的身份证,你的银行卡密码,根本就没有,根本不用我操作。”
什么都没有操作钱就被转走了,宋女士赶紧到附近的三亚市公安局三亚湾派出所进行报案。接到报案后,接案的民警也感到蹊跷。
由于全体过程受害人没有和盗刷银行卡的人有过任何的沟通、打仗,无法供应盗刷银行卡的人的任何信息,于是三亚警方决定从资金流向入手展开调查。
三亚市公安局天涯分局三亚湾派出所副所长赵成良说:“宋女士的钱从银行卡出来往后,我们查询到这笔钱进入到了通联支付公司,便是第三方支付公司。 这笔钱从通联支付底下一个第四方公司,叫广州冠胜,有一个代付业务,发起了一个收款要求。”
末了,这笔钱从广东惠州一家银行的自动取款机上被取走,三亚警方很快锁定了犯罪嫌疑人,在广东惠州将其抓获,宋女士的5万元钱被全部追回。钱被追回来了,这个案子或许到此已经可以结案了,但警方在侦破过程中有一个疑问却一贯无法破解。以前的一些案例,不法分子节制了受害人的个人信息后,会设法获取受害人的银行卡密码进行转款。而本案受害人宋女士的钱被转走是由于与动态验证码被截获有关,这个彷佛更安全的动态验证码不法分子是怎么获取的呢?
三亚警方成立专案组对此案进行深挖,经由连日奋战,这个作案职员涉及海南、四川、山东、广东等地,成员有着严密分工、单线联系的特大网络盗刷团伙终于现形。2019年7月,专案组民警开始收网,在湖南娄底抓获了这个团伙的上家陈某华,抓获现场几台电脑还正在运行。
赵成良说:“当时我们就问他,这个动态验证码是怎么得到的?他说是在三亚有一个朋友,在被害人居住的范围之内,嗅取了被害人宋女士的动态支付验证码,嗅取到往后他将动态验证码发给洗钱通道,就将这个钱给支付出来了。”
什么是嗅探?犯罪嫌疑人又是怎么嗅取了受害人的动态验证码的呢?
犯罪嫌疑人顾某某说:“用摩托罗拉118的手机,通过一番改造,把它变成一个吸收的天线,再合营上特定的优盘系统,在电脑打开之后,就可以模拟基站的旗子暗记,拦截相称于嗅取探测到周围手机短信。一个手机15块钱,相称于一个大略的拼接过程。”
为什么如此廉价大略的嗅探设备就能截获大量的手机短信呢?
中国政法大学网络法学研究院副院长王立梅说:“在2G的状态下,由于加密技能相对来讲比较大略,比较随意马虎破获,或者随意马虎破解,那么当到2G这种网络的时候,嗅探技能在中间截获这个数据包,然后解开就可以了。”
虽然现在我们早已进入4G时期,有的地方乃至已经用上了5G,但在一些4G旗子暗记不好的地方,手机会切换到2G网络。其余,一些犯罪嫌疑人利用旗子暗记滋扰设备,专门对一定范围的手机旗子暗记进行滋扰,这时这些用户的手机旗子暗记也会溘然变成2G旗子暗记。这些犯罪嫌疑人就会利用2G网络存在的漏洞,用嗅探设备吸附到周围一定范围之内的手机旗子暗记。吸附成功后,受害人的手机号码和短信会自动显示在犯罪嫌疑人的电脑上,受害人不会有任何察觉,悄无声息中就变成了犯罪嫌疑人的猎物。
要想将受害人银行卡上的钱转走,犯罪嫌疑人必须同时得到该用户的姓名、身份证号、银行卡号、手机号、动态验证码。这5个条件就像5把钥匙,一样平常情形下犯罪分子很难得到,但由于有了受害人的手机号码并能够实时截取动态验证码,犯罪嫌疑人就犹如拿到了一把“万能钥匙”,他们会通过网络来得到其他几把钥匙。
对付一些没有买过保险,或者在淘宝没有登记信息的用户,犯罪嫌疑人会同时登录这个用户其他的多个App。
最关键的是支付环节,不少App每每都会对用户的银行卡号刻意隐去几位,那么犯罪嫌疑人又是怎么得到完全的银行卡号呢?
顾某某说:“可以通过充值,我随便点一个充值的办法,立即充值和付款办法,可以瞥见你所有的卡。我知道你有培植银行的,我就可以去跑你的卡,就脚本跑你的卡,像招商银行的和工商银行,我直接通过别的App就直接获取了。你也不用惊异,这也不是我发明、创造的,便是这么一种操作的办法。”
犯罪嫌疑人得到了受害人的姓名、身份证号、手机号、动态验证码、银行卡号这些信息之后,还会挑选作案工具,查验用户是否有作案代价。
确定了有代价的用户之后,犯罪嫌疑人会再次利用受害人的手机号码加动态验证码,利用免密支付的办法将受害人的钱转移出去。
此时,受害人什么都没有操作,手机上会收到一堆验证码,之后银行卡上的钱就被转走了。这个案件当中,犯罪嫌疑人利用的嗅探设备十分廉价,嗅探技能也不是什么博识的技能,为什么却能屡屡得手呢?
顾某某说:“你在一些App上面去实名注册信息,很多时候是图方便,当你忘却密码的时候,就可以通过短信验证码去登录,这个时候你会觉得到很方便,同时也方便了我们这些犯罪分子去盗取你的个人信息,通过验证码登录,方便了你,也方便了我。”
随后在手机上,选择了多个常用的App进行测试,这些App一样平常都可以通过用户名加密码和手机号加动态验证码两种办法进行登录。当用户忘却密码的时候,可以通过手机号发送验证码的办法找回密码。这统统对用户来说彷佛很方便,也很安全。可是不法分子正好利用手机号加动态验证码也可以登录的便利,选择在夜深人静、人们戒备意识比较低的时候,在自己的手机或电脑上输入用户的手机号,再用截获的动态验证码登任命户的App,达到盗窃用户资金的目的。
王立梅说:“手机加验证码的办法可能是现在大多数的,尤其是在网络空间这种很多App所通畅采取的方法,不是说一两个通畅验证办法,但是这种验证办法本身它是有一定的安全隐患的,也便是提及首验证码是有可能被截获的,这是个中一个。第二个便是预留的手机号码,这个号码实际上它透露的可能性也是非常大的,以是它们两个加在一起,做一个唯一的验证办法是有一定漏洞的,尽可能该当是再有其他的验证方法予以补充。”
不仅如此,很多互联网公司对用户的个人信息保护也不到位。
王立梅说:“在我们登录很多很多App,利用很多移动做事的时候,每一个移动做事都哀求我们供应一遍我们个人的一些数据,那么当我们进入这么多的利用了这么多的用场往后,险些我们所有的信息,就在互联网各个节点有非常多的备份,那么任何一个备份丢失、透露等等,都会造玉成体数据的遗失落。”
由于犯罪嫌疑人能够故意滋扰手机旗子暗记,这样就会使4G和5G手机自动转到2G网络。而2G网络的先天不敷一时难以填补,这就哀求浩瀚互联网公司和银行不能以手机加动态验证码作为唯一的身份验证办法,该当尽可能再增加其他验证方法予以补充。同时,普通用户也要加强个人戒备。
犯罪嫌疑人陈某某说:“最好的办法,打个比方,你如果说要绑定第三方平台银行卡,只管即便不要放太多资金。”
当用户溘然收到不明的验证码,然后创造银行卡被盗刷了也不要错愕。
赵成良说:“第一韶光到公安机关报名,及时止付,把你的银行卡挂失落冻结,我们公安机关去追这笔钱。”
这个案件虽然不大,但反响出来的问题值得大家关注。我们的个人信息就像池塘里的水,每利用一项互联网做事就像给这个池塘安装了一个管道,增加了透露的风险,更令人担忧的是,很多管道用的都是同一种水龙头,手机号码加验证码。现在信息网络技能犯罪越来越多,这些不法分子之以是能够得逞,便是利用了网络技能上的各种漏洞。人们希望电信运营商、互联网企业、银行以及监管部门能多想办法,保障公民群众的财产安全。毕竟,没有安全的方便是没故意义的。
(来源:央视新闻)
