一条诈骗短信,险些骗走merci(化名)的所有的财产。 4月8日,因退订一短信资讯服务,90后merci的三张银行卡数万元存款三小时内陆续被转走。专家分析,这是一起典型的电信诈骗案件。问题的焦点在于——骗子可能提前利用漏洞获得了当事人身份证、银行卡号和手机号等的核心身份信息。
如果个人身份信息泄露而造成损失,谁来担责?电信运营商、银行和第三方支付平台等各方态度不一。
一条短信,三卡皆空
一条看似鸡肋的“资讯订阅短信”背后,实际暗藏蹊跷。
4月8日17点54分,在下班回家的地铁上,Merci的手机收到一条短信,来源为“1065800”的号码发来了一条短信杂志。Merci很快回复退订,收到提醒:“指令不正确”。
1分钟后,显示为“10086”的号码短信提醒merci开通某信息服务的半年包业务,并发来余额不足的通知。
8分钟后,显示“10658139013816280086”的号码给 merci发来短信,通知他已经订阅该资讯服务,如果退订,需发送‘取消+校验码’至本条短信。”
短信署名为中国移动。merci没有多想便按要求进行了退订。
同时,之前“10086”的号码再次发来短信:“尊敬的客户,您的USIM卡6位验证码为******”。merci并不知道USIM卡验证码是什么,于是回复“取消+*******”。
半小时后,merci发现自己手机的SIM卡已无服务。
他很快便发现,手机支付宝开始将他余额宝的钱转入绑定的招商银行卡。意识可能遭遇诈骗,为避免遭受更大的损失,他将余额宝中剩余的钱转到了另一张工商银行卡(也绑定了支付宝)中。
但是工行的钱不久也通过支付宝转入了招商银行。
他立即解绑支付宝所有关联的银行卡,此时支付宝已发生6笔转账。更令他心慌的是,自己中国银行、招商银行的网银已无法登陆,密码被篡改。仅能登陆的工商银行网银,也现实正在转账。
而Merci许久未用的百度钱包,竟然也被绑定了三张银行卡并损失部分资金。
若这是短信诈骗,为何Merci仅回复一条短信,没有透露身份证、银行卡号等核心信息,却眼睁睁看着钱被转走了?
专家:身份信息或遭泄露被骗子获取
360反诈骗专家刘洋称,这是一起典型的综合利用“个人信息+ USIM补换卡+伪基站短信(或改号软件短信)”的电信诈骗案件。
中国移动北京分公司于4月12日公布的调查显示,受骗者号码通过客户自设的密码,登陆了北京移动官方网站,办理了某资讯服务包,并登陆网站更换4G USIM卡业务。系统向客户本机下发换卡二次确认验证码(6位USIM验证码),该验证码当时被merci输入后,完成了换卡。
该号码的IP地址显示登陆地点为海南海口,但Merci此时正在北京的地铁上。
刘洋称,骗子给受害者订购手机报增值业务,干扰用户判断,以为被强制订购业务。实际上这是骗子在办理usim补换卡业务,使得受害者收到中国移动发送的短信验证码。
Merci得知,自己百度钱包里有两张银行卡是4月8日关联的。被问及需要哪些信息才能进行关联时,百度钱包客服回复:“银行卡信息,姓名,身份证号,手机号,验证码。”
“这意味着,罪犯掌握了以上这些信息。也意味着,我在罪犯面前是一个信息完全暴露的裸点。” Merci不明白,骗子是如何搞定这些信息的。
“(很可能)诈骗实施之前,骗子已经获取了受害人的银行卡号、身份证号、姓名、手机号等个人信息。”刘洋说。
刘洋解释,获得受害人的个人信息后,在窃取手机卡且骗子可以轻易获取任何转账支付需要的验证码,通过支付宝转账、盗取银行卡资金、开通百度钱包等这些行为很容易实现。
骗子为什么能获取到Merci的个人信息,哪个环节出现了漏洞?谁应该为为此担责?
中国移动:不会做任何赔偿
事发后,merci向警方报警,两天收到警方的立案回执,但无更多回复。
银行柜台工作人员告诉他,只能打印交易详情,客服则回应说会把信息汇总,积极配合警方调查。
各方求助无门后,merci在微博上记录自己的遭遇。随着事件关注度的提升,支付宝和百度钱包作出了回应。
4月12日中午,支付宝已经把通过支付宝平台流失的资金赔付给了merci,占总额近一半。“客服一直在跟进情况,前后打过不下40个电话。”
支付宝蚂蚁金服相关技术人员回复搜狐新闻记者称,根据用户的反映,我们判断的确是账户被盗刷,基于消费者保护的原则,所以对他进行了赔付。
支付宝做出赔付之后,百度钱包也表态要赔付。
但merci称,另一个关键环节——作为电信运营商方面的中国移动相关人员在电话里明确告知,不会做任何赔偿。
Merci提出质疑:1、他已很久不登陆移动官网,甚至忘记上次登陆的时间,骗子为何如此简单便破解密码?2、为何换卡的流程过于简单,只有一个验证码就能复制走号码?
对此,腾讯安全专家陆兆华分析认为,用户常用的密码很可能多个平台重复使用,某一个网络平台的资料和密码丢失之后,诈骗分子很可能会采取撞库的形式通杀其他平台的帐号密码,除此之外,一些黑产非法交易、第三方网络平台存在漏洞都有可能泄露,即个人信息的泄漏是有很多种可能性的,不一定就是移动官网自身泄露的。
对于merci提出的第二点质疑,陆兆华称,卡与卡之间通过验证码复制的安全性是依赖一定的条件,因为卡与卡之间是属于死物,在营业厅面对面的换卡下是相对安全的。如果是远程空中复制,鉴于发案的严重性,运营商的确需要思考如何加强这方面的验证门槛。
到底谁应为此事负责?一切还有待于警方的调查结果。 |