一夜被盜5萬多，都是什么惹的禍？

付亮

不用身份證、不用銀行卡，甚至連真實姓名都不用知道，錢就這樣不翼而飛。一種電信詐騙的新套路出現，千萬小心！

今年2月的一天，深圳的何先生夜間發現自己的手機被鎖死，同時，他在某購物平臺的賬戶遭陌生人盜刷，犯罪分子使用白條消費和申請貸款，一夜間洗劫了5萬多元。

原來，何先生的手機曾被犯罪分子添加為副號，當副號不能正常使用，所有短信都會被主號接收。犯罪分子在此期間竊走了短信驗證碼，進而作案。

副號是什么東西？副號是由運營商提供的“一卡多號”業務，在不換手機、不換卡的情況下，用戶可以增加最多3個真實手機作為副號。副號與主號雙待雙通，能根據需要任意選擇主號或副號撥打、接聽電話、收發短信。

當事各方調查回應

不用身份證、不用銀行卡，甚至連真實姓名都不用知道，錢就這樣不翼而飛了。針對此次事件，當事各方進行了調查，迅速作出回應。

通信服務及副號提供方：中國移動發布《關于客戶何先生賬戶遭遇互聯網盜刷的情況說明》，稱經調查，犯罪嫌疑人具體作案手法如下：

1.破解用戶某品牌智能手機云服務平臺賬號信息。

犯罪嫌疑人利用已經掌握的何先生個人信息，頻繁嘗試破解其使用的某品牌智能手機云服務賬號，最終成功登陸，實現對手機的遠程操控。

2.利用已被攻破的某品牌智能手機云服務平臺“回復短信”接口，完成主副卡綁定。

犯罪嫌疑人用自己的手機號作為主號，向何先生的手機號發出綁定副號申請。因綁定副號需要機主二次確認，犯罪嫌疑人利用已攻破的某手機云服務平臺中的“回復短信”接口，在機主不知情的情況下，完成主副卡綁定。

3.在某品牌智能手機云服務平臺發起強制關機指令，接收相關驗證碼，完成“盜刷”操作。

犯罪嫌疑人通過某品牌智能手機云服務的“找手機—銷毀資料”功能，頻繁發起“銷毀資料”指令，強制讓何先生的手機處于關機狀態。期間利用接收到的短信驗證碼，入侵其網絡網購平臺賬號用白條消費，再發起互聯網貸款，將相關錢款通過何先生的銀行卡轉賬到犯罪嫌疑人賬戶中。

中國移動認為，此次案件中，何先生的銀行卡號、取款密碼、預留手機號、身份證號已通過其他途徑泄露并被犯罪嫌疑人掌握，借助這些信息，犯罪嫌疑人攻破其智能手機云服務平臺賬號，利用平臺提供的“短信回復”接口完成了主副卡綁定，完成錢款竊取。

手機和云服務廠商：360發布了《關于深圳用戶遭盜號攻擊的調查公告》，公告中披露了何先生賬戶被盜的過程，與中國移動調查發現的作案手法情況相符。

360認為，種種跡象表明，這是一種由團伙作案、分工嚴密的新型詐騙手段。360OS云服務“找手機—銷毀資料”是為了防止用戶手機丟失導致隱私泄漏，卻由于對用戶身份驗證機制不夠完善，導致何先生的短信驗證碼被他人獲取，360對此深表歉意，并已對何先生先行賠付53000元。

目前360OS云服務已在遠程管理功能中關閉“回復短信”接口，消除此類風險隱患。360在公告中稱：“進一步采取這幾個措施，更全面地保障手機云服務安全：第一，加強對弱密碼和異常登陸情況的檢測與風險控制；第二，對云服務遠程管理手機的重要功能開啟密保問題或短信驗證碼的二次驗證；第三，經過對異常登陸情況的排查，我們發現107名存在被盜號風險的360OS用戶，對這些高風險用戶已凍結賬號，并短信通知修改密碼。”

網絡購物平臺：京東金融安全專家認為，此案件屬跨平臺作案，涉及到運營商、手機云服務商、銀行、第三方支付平臺、消費金融服務方，行業需要聯防聯控，筑高防護壁壘。

針對此類新型電信詐騙案件，安全專家提醒用戶：

1.盡量不要去注冊小型不安全的網站，避免個人信息被盜用。

2.在不同的互聯網平臺盡量使用不同的登錄密碼和支付密碼，避免使用出生年月或者比較簡單的數字排列作為賬戶密碼；在公共場合不要輕易連接免費WiFi，不要點擊不明來路的短信鏈接，以免被木馬病毒入侵。

3.保護好自己的手機號，用戶手機號所屬的運營商也是“黑產”的活躍點，運營商服務密碼一定要牢記，不要透露給別人。

4.如果手機出現無故停機狀況，建議用戶第一時間聯系運營商；切莫忽視手機異常，謹防手機號被不法分子控制。

5.若用戶發現網購平臺賬戶異常，請及時報警，并第一時間撥打平臺客服熱線反饋問題。

6.購買賬戶安全險很有必要，在盜刷事件頻發的當下，用戶購買一份賬戶安全險不失為一個好的選擇。

亡羊補牢猶未為晚

從此次案件可以看出，犯罪手法有四步。第一步，買料。犯罪分子在網上購買“四大件”，也就是姓名、身份證號、銀行卡號和預留手機號。第二步，釣魚。犯罪分子廣撒網，向信息已泄露的用戶發起綁定副號的業務申請。一旦你誤回復了，就成了作案對象。第三步，強迫關機。犯罪分子利用短信轟炸強迫目標把手機關機，或是利用手機云服務對手機進行遠程操作。副號關機了，主號接管短信。第四步，洗劫。利用主號收到的短信驗證碼，犯罪分子對手機號碼綁定的網購賬戶進行洗劫。

再來看看當事三方的說明和做法：360承認問題，先行賠付，多項內部改進；中國移動分析問題，明確責任，并積極表態；京東提醒用戶注意，并給出建議多條，尤其是建議用戶“購買賬戶安全險”。

對此次事件，我認為，對于網絡購物平臺而言，通過姓名、身份證號、銀行卡號、預留手機號和手機驗證碼，就可取走巨額資產，這本不應該發生。無論是直接取現還是通過白條之類的工具消費，行為中已有多處明顯異常，但平臺沒有發現。

對于用戶而言，360云服務密碼設置較弱，才導致被騙子反復試驗盜走。

對于360而言，利用360提供的服務不僅可獲取用戶大量的信息，而且可遠程干擾手機正常使用，結果導致手機號被置為副號并盜走驗證碼。

對于中國移動而言，副號申請流程是否可以更嚴謹？和多號在打通親情號和一卡雙號業務時，是否在某些場景可以做得更嚴謹一些？

最后想說的是，何先生獲得了先行賠付，個人沒有損失。此案中大量付款行為是通過網購形成，有詳細的物流記錄，公安機關定會偵破。但事件不應該就此結束，應該繼續追問一下：

該案中，手機號的驗證碼成為盜取巨額資金的關鍵。驗證碼加上姓名、銀行卡號、身份證號和預留手機號，就可以盜走用戶的巨額資金，這合理嗎？像姓名、身份證號、手機號這基本上都是公開信息，獲得并不難；銀行卡號也只能算半公開信息。而通過這四個公開或半公開的信息，加上隨機發送且短時間內有效的手機號驗證碼，就可以修改網銀支付密碼，通過ATM機取現，通過網銀快捷支付付款。打個比如說，如果丟了5百塊的手機，也許銀行卡里五萬元就沒了，這不值得深思嗎？