什麼都沒做,一覺醒來就發現自己的銀行卡被洗劫一空。日前,海南三亞警方破獲了一起新型銀行卡盜刷案件。不法分子是如何無聲無息地把錢轉走的?又該如何防範?
沒進行任何操作 收到簡訊後銀行卡被轉走5萬元
2019年7月4日凌晨3點多,海南省三亞市宋女士的手機上突然收到了幾條簡訊驗證碼。不一會兒,手機又接到簡訊,顯示她的銀行卡被刷走了5萬元。
錢被轉走前,宋女士根本沒有進行任何操作。於是,她趕緊到附近的三亞市公安局三亞灣派出所報案。
接到報案後,民警展開調查,發現宋女士的錢從廣東惠州一家銀行的自動取款機上被取走。於是,警方很快鎖定了犯罪嫌疑人並將其抓獲,宋女士的5萬元被全部追回。
15元舊手機改造成「嗅探」設備 輕鬆攔截手機簡訊
雖然錢被追回來了,但警方有個疑問一直無法破解,宋女士沒有進行任何操作,那麼不法分子是如何盜刷宋女士的銀行卡呢?
警方成立專案組對此案進行深挖,經過連日奮戰,這個作案人員涉及海南、四川、山東、廣東等地,成員有著嚴密分工、單線聯繫的特大網絡盜刷團夥終於現形。2019年7月,專案組民警在湖南婁底抓獲了這個團夥的上家陳某華。
據犯罪嫌疑人供述,他們在三亞有一個同夥,在宋女士居住地附近,嗅取了宋女士的動態支付驗證碼。然後他將動態驗證碼發給洗錢通道,於是便將宋女士的錢給取出來了。
犯罪嫌疑人交代嗅取受害人動態驗證碼的機器廉價易得。
犯罪嫌疑人顧某某:改造摩託羅拉118的手機,把它變成一個接收天線,再配合特定的U盤系統,打開電腦就可以模仿基站信號,攔截、嗅取探測周圍手機簡訊。一個手機15元,相當於一個簡單的拼接過程。
為什麼如此簡單的設備,卻能截獲大量的手機簡訊呢?據中國政法大學網絡法學研究院副院長王立梅介紹,這與受害人手機的網絡信號有關。雖然我們早已進入4G時代,但信號不好時,手機還是會切換到2G網絡。另外,一些犯罪嫌疑人會利用信號幹擾設備,將一定範圍的手機信號降為2G。
中國政法大學網絡法學研究院副院長王立梅:在2G的狀態下,加密技術相對來講比較簡單,比較容易破獲,嗅探技術在中間截獲數據包,然後解開就可以了。
手機號碼加動態驗證碼登錄存在安全隱患
要想將受害人銀行卡上的錢轉走,犯罪嫌疑人必須同時獲得該用戶的姓名、身份證號、銀行卡號、手機號和動態驗證碼。那麼犯罪嫌疑人又是怎麼獲得用戶完整的銀行卡號呢?
犯罪嫌疑人顧某某:可以通過充值,我隨便點一個充值方式,看付款方式,可以看見你所有的卡。
確定作案對象後,犯罪嫌疑人會利用受害人的手機號碼加動態驗證碼,使用免密支付的方式將受害人的錢轉移出去。
犯罪嫌疑人顧某某:你在一些App上實名註冊信息,很多時候是圖方便,忘記密碼的時候可以通過簡訊驗證碼登錄。這同時也方便了犯罪分子盜取你的個人信息,通過驗證碼登錄,方便了你,也方便了我。
記者隨後在手機上,選擇了多個常用的App進行測試,這些App一般都可以通過兩種方式進行登錄:用戶名+密碼,手機號+動態驗證碼。
當用戶忘記密碼的時候,可以通過手機號發送驗證碼的方式找回密碼。這一切對用戶來說似乎很方便,也很安全。可是不法分子恰恰利用這種登錄方式,選擇在夜深人靜、人們防範意識比較低的時候,在自己的手機或電腦上輸入用戶的手機號,再用截獲的動態驗證碼登錄用戶的App,達到盜竊用戶資金的目的。
中國政法大學網絡法學研究院副院長王立梅:手機加驗證碼的方式本身是有一定的安全隱患,驗證碼是有可能被截獲的。第二個就是預留的手機號碼,這個號碼實際上它洩露的可能性也是非常大的,所以兩個加在一起,作為唯一的驗證方式是有一定漏洞的,儘可能應該是再有其他的驗證方法予以補充。
公安機關提醒,普通用戶應加強個人防範。當突然收到不明驗證碼,發現銀行卡被盜刷不要驚慌,及時報警,凍結銀行卡可以避免損失。