移動支付時代的新騙局

甄知

提防“假冒銀行官方電話號碼+釣魚網址”

一般情況下，消費者對于以“95XXX”開頭的銀行官方客服熱線是比較信任的，接到這樣的號碼，大多數人都會降低甚至完全喪失警惕性。一般來說，詐騙分子會使用改號器將電話號碼改為銀行官方客服熱線，打著“系統維護，更換密碼令”、“某某商場大額消費”或者“積分兌換禮品”的幌子，利用偽基站技術向用戶推送附有假冒銀行官方網站鏈接的短信，而用戶一旦點擊短信中的“釣魚”網址鏈接，極有可能泄露用戶名、卡號、密碼等關鍵信息，導致信用卡被盜刷。

信用卡專家表示，廣大持卡者要特別留意短信或電話中提供的網站是否與銀行對外公布的網站域名一致；不少網站域名會多出一些字母，如“gd”等后綴或前綴。若無法判斷，建議撥打發卡行官方客服熱線進行確認，切勿被假象所蒙蔽。

免費送禮不可信，警惕“天上掉餡餅”

近期，不少消費者投訴，他們大多都接到了看似各大銀行官方的號碼來電。電話中說，被抽中成為幸運用戶之一，可以獲得銀行信用卡中心送出的“3D眼鏡”、“高額禮包隨身WIFI”等禮品，設備是免費的，但是物流費和檢測費用需要190多元，郵包內會附贈200元電話充值卡，如果要的話需要提供收貨地址等信息。

由于目前電話號碼套號騙術層出不窮，在接到此類電話時，持卡人應保持頭腦清醒，不妨掛斷電話后及時撥打官方電話核實。同時，各家銀行的優惠活動、增值服務等信息，用戶都可以通過銀行官網查詢、辨別，要警惕“天上掉餡餅”，切勿貪圖小便宜，防止上當受騙。

幫你提額非“好心”

據統計，以信用卡提額為由頭的詐騙也占相當高的比例。信用卡專家表示，如果有“銀行客服”來電主動要幫持卡人提高信用卡額度，先不要高興得太早，電話那頭很可能就是騙子。一般這類所謂的“銀行客服”都會詢問卡號、驗證碼及背面的校驗碼等資料，或讓客戶登錄其所提供的假冒網站輸入相關信息，從而成功實施盜刷。

“在任何情況下，銀行或信用卡機構的服務人員都不會通過電話或短信等方式向客戶索要密碼或卡號。一旦對方提出這樣的要求，即可判定是詐騙信息。”銀行信用卡專家表示。

遠離不明來源的“二維碼”

黑白相間的小格子“入侵”到人們生活的各個角落，相信大家對現在隨處可見的二維碼并不陌生。但“有毒”的二維碼有時也成為了騙子們的“新花招”，信用卡手機銀行可能因此無故“被消費”。

據悉，不法分子在網上下載一款“二維碼生成器”，再將病毒程序的網址粘貼到二維碼生成器上，就可以生成一個“有毒”的二維碼。一些消費者可能在網購時接觸到類似二維碼的圖樣，店主會告訴消費者掃描某某二維碼可享受一些回饋。而詐騙分子正是利用這些二維碼將手機木馬植入被害人手機并自動提取相關信息。短短幾秒鐘的時間，手機號、卡號、密碼等私人信息可能已經傳到他人手中。

專家指出，市場對二維碼的監管還是“一片空白”，制作二維碼沒有任何規定，發布二維碼也沒有任何限制，整個行業處在一種自由化的狀態中。而二維碼是否藏有病毒，從外觀上是無法辨別的，用戶一旦誤掃“藏毒”二維碼，很可能導致隱私泄露、賬戶被盜等情況的發生。廣大用戶應加強防范意識，在掃二維碼前，應核實其來源，選擇正規的途徑及商家發布的二維碼，不要掃來源不明的二維碼。

網絡溝通還需多個“心眼”

網購已然成為人們日常生活中不可或缺的一部分，騙子們在這一領域也推出了新型詐騙手段。詐騙分子通過利用消費者的真實購物信息，充當客服人員“退款”，隨后引誘消費者進入釣魚網站，這也是近期熱門的一大騙局。

消費者楊女士就遭遇過這樣的騙局。楊女士喜歡網購，有一天她在網站拍下一件大衣。就在此時，她接到“店主”打來的電話，聲稱該商品斷貨，需要她提供信用卡卡號、有效期、卡片背面的校驗碼等信息進行退款。楊女士信以為真，便提供了信用卡相關信息，直到收到銀行發來的交易短信才知道落入了騙子的圈套，但此時已經來不及了，她的信用卡已經被盜刷。

在享受網購的方便與快捷的同時，請持卡人對陌生客服來電、克隆網站、陌生網址鏈接等保持警惕，千萬不要泄露自己的銀行卡卡號、密碼、身份證、校驗碼等核心數據。

免費WiFi暗藏陷阱

隨著我國公共場所免費WiFi的不斷增多，蹭網、轉賬、淘寶等成為不少網民的習慣。然而，由于免費WiFi存在路由器和網絡漏洞，往往成為黑客攻擊的對象。根據2014年某機構對全國8萬個公共WiFi熱點進行的抽樣調查，有21%的公共熱點存在風險，其中絕大多數WiFi熱點加密方式不安全。

據某移動安全實驗室工程師陳湘玲介紹，在公共場所接入免費WiFi的安全風險包括：用戶的社交軟件賬號、密碼被劫持和惡意利用；手機或電腦中的文件及照片等個人信息泄露；用戶網銀和支付寶等移動支付的資金被盜刷等。艾媒咨詢CEO張毅說，餐飲店、酒店、咖啡廳等商家是WiFi的高風險區，“一根網線加一臺無線路由器組成的免費WiFi，往往‘后門大開，沒有安全防范設置，為黑客打開了方便之門。”

不久前，市民陳小姐在某五星級酒店參加一個工作會議。閑暇之余她拿出手機，隨手便搜出了一個以酒店名稱拼音為縮寫的WiFi，沒想到很順利地登了上去。隨后，她打開QQ和淘寶開始了購物。大約過了5分鐘，陳小姐的QQ就開始自動下線，提示有人在異地登錄。幾分鐘內，那名看不見的黑客和她展開了登錄拉鋸戰。她的QQ圖標也變得忽明忽暗。

登錄間隙，陳小姐清楚地看到，那名黑客在以她的名義，不停向QQ好友發送一個鏈接，大意是“請查看一下我的QQ空間相片變化”。一名警惕性較高的同事打來電話，稱該鏈接是一個偽裝的釣魚網站，必須輸入訪問者的QQ賬號和密碼才能繼續。陳小姐隨后向騰訊公司說明了情況，才順利收復了QQ的掌控權。為了以防萬一，當天她將自己的淘寶、京東等密碼全部進行了修改。

黑客的三大“花招”

在某通信公司的WiFi風險實驗室，陳湘玲向記者演示了黑客的“花招”。

1.域名劫持。在實驗室，記者用手機連上了一個不設密碼的WiFi后，輸入正確的工商銀行網站，跳出的網頁卻是個與之相似度很高的山寨釣魚網站。

陳湘玲說，在當前的WiFi環境下，她可以進入無線路由器的管理后臺，并對域名系統進行修改。當記者輸入工行網址時，服務器直接把IP地址跳到她設置的工行釣魚網站。

2.釣魚WiFi。陳湘玲說，黑客往往選擇在繁華商業區構建一個不加密的WiFi，并把WiFi的名字起為“CMCC”、“KFC”等眾所周知的熱點名稱，引誘網民“上鉤”。

值得關注的是，架設一個釣魚虛假WiFi毫不費力，黑客只要把一個3G網卡插入到便攜迷你無線路由器，就能釋放WiFi信號。設置好無線路由和網絡共享后，黑客“就能喝著咖啡守株待兔了”。

3.ARP（地址解析協議）欺騙。陳湘玲和記者各自用手機連接了同一個WiFi，記者登陸了自己的新浪微博開始瀏覽，陳湘玲則在其手機上打開了一款黑客軟件。記者看到，該黑客軟件很快就進入路由器的WEB管理界面，并將記者的手機信息讀取出來。

陳湘玲在其手機上發出一條微博進行測試，不到5秒鐘，記者手機上就顯示了這條“新微博”。“這意味著，你在手機上的所有操作我都能一覽無余。這樣的會話劫持軟件在網上可以輕易下載。”陳湘玲說。

北京市朝陽區檢察院檢察官張劍提醒，可以直接連接且不需要驗證或密碼的公共WiFi風險較高，背后有可能是釣魚陷阱，盡量不要使用。此外，在使用公共場所的WiFi熱點時，盡量不要進行網絡購物和網銀的操作，避免個人敏感信息遭到泄露，甚至被黑客銀行轉賬。

張劍還提醒，由于手機會把使用過的WiFi熱點都記錄下來，如果WiFi開關處于打開狀態，手機就會不斷向周邊進行搜尋，一旦遇到同名的熱點就會自動進行連接，存在被釣魚風險。“當進入公共區域后，盡量不要打開WiFi開關，或者把WiFi調成鎖屏后不再自動連接，避免在自己不知道的情況下連接到惡意WiFi。”此外，對于家里路由器的后臺管理所涉及的登錄賬戶、密碼，也盡量不要使用默認的admin，可改為字母加數字的高強度密碼，大大提高黑客破解的難度。