短信驗證≠安全保證 密碼泄露是罪魁禍首

獵網(wǎng)平臺及360互聯(lián)網(wǎng)安全中心近日接到大量用戶(hù)因網(wǎng)銀賬戶(hù)貴金屬交易被惡意操縱而引起的網(wǎng)絡(luò )詐騙案件的舉報。舉報用戶(hù)的手機截屏顯示，整個(gè)詐騙過(guò)程看起來(lái)十分“有理有據”。手機用戶(hù)首先收到銀行短信通知，顯示其賬戶(hù)有資金支出，一般為幾千元，支出原因為用戶(hù)不熟悉的某項網(wǎng)銀金融業(yè)務(wù)，如“積金積存”、“如意積存”等。而這些業(yè)務(wù)實(shí)際上是銀行開(kāi)設的貴金屬交易業(yè)務(wù)。接著(zhù)，用戶(hù)接到自稱(chēng)是電商、銀行及其他各種公司客服人員的電話(huà)，稱(chēng)其使用銀行卡進(jìn)行了消費，因金額較大，需要電話(huà)確認是否為本人操作，若非本人操作，則可以將錢(qián)款退還給用戶(hù)。用戶(hù)表示消費并非本人操作后，賬戶(hù)真的會(huì )收到一定金額的退款。隨后，“客服”會(huì )告知用戶(hù)，其網(wǎng)銀賬戶(hù)可能已經(jīng)被盜刷，為保證全部資金能夠退還到用戶(hù)手中，需要用戶(hù)提供驗證碼，并要求用戶(hù)不要掛斷電話(huà)。這時(shí)，用戶(hù)手機會(huì )收到一個(gè)驗證碼短信，這個(gè)短信實(shí)際上是一個(gè)轉賬支付驗證碼通知短信或開(kāi)通各種快捷支付的驗證碼短信。用戶(hù)將驗證碼通過(guò)電話(huà)告訴“客服”后不久，就收到了銀行卡被扣款的短信并發(fā)現自己的網(wǎng)銀被盜刷。

驗證短信用途應看清

實(shí)際上，騙子是先通過(guò)其他渠道盜取了用戶(hù)的網(wǎng)銀賬號、密碼和手機號碼，之后登錄了用戶(hù)的網(wǎng)銀，開(kāi)通相關(guān)貴金屬交易業(yè)務(wù)，并實(shí)施線(xiàn)上買(mǎi)賣(mài)操作。由于線(xiàn)上買(mǎi)賣(mài)的貴金屬仍然屬于網(wǎng)銀用戶(hù)自己名下的金融資產(chǎn)，并不會(huì )轉移給其他賬戶(hù)，所以銀行方面一般不要求用戶(hù)使用U盾或其他驗證方式進(jìn)行驗證，但會(huì )以短信方式通知用戶(hù)賬戶(hù)的資金變動(dòng)情況。這就是用戶(hù)會(huì )收到銀行卡支出短信的原因所在。

“竟然真的收到了銀行發(fā)送的資金收入短信。”用戶(hù)表示，這也是讓他們深信不疑的原因。實(shí)際上，這是因為騙子同時(shí)在用戶(hù)的網(wǎng)銀賬戶(hù)上進(jìn)行操作，賣(mài)出了剛剛買(mǎi)入的貴金屬產(chǎn)品，從而導致有資金進(jìn)入網(wǎng)銀賬戶(hù)。但實(shí)際上，這些錢(qián)只是在用戶(hù)個(gè)人賬戶(hù)內部轉移，用戶(hù)損失的是買(mǎi)入賣(mài)出之間的差價(jià)（手續費），錢(qián)并沒(méi)有真正被騙子取走。

而詐騙真正能夠得逞的關(guān)鍵還在于驗證碼。騙子首先在用戶(hù)的網(wǎng)銀上進(jìn)行轉賬操作，或者是開(kāi)通各種快捷支付方式。這樣，用戶(hù)手機就會(huì )收到驗證碼短信。之后騙子再以全部返還資金需要驗證碼為由向用戶(hù)詢(xún)問(wèn)驗證碼。盡管銀行短信中非常明確地寫(xiě)明了驗證碼的用途，但由于用戶(hù)焦急的心理以及騙子的恐嚇，如“2分鐘內不輸入就失效了”等，絕大多數用戶(hù)往往不會(huì )認真看驗證碼短信的全部?jì)热�，而是直接將驗證碼告訴了騙子。最后，在騙子完全獲取了用戶(hù)的銀行卡號、密碼和驗證碼之后，就能夠成功轉走用戶(hù)賬戶(hù)中的資金，或者是開(kāi)通快捷支付并綁定騙子的手機，再用快捷支付轉走用戶(hù)賬戶(hù)中的資金。

密碼泄露是罪魁禍首

對此，有用戶(hù)質(zhì)疑：銀行在用戶(hù)進(jìn)行貴金屬交易時(shí)為什么不進(jìn)行二次驗證？是不是銀行的業(yè)務(wù)流程存在漏洞？銀行工作人員表示，在銀行的業(yè)務(wù)邏輯中貴金屬交易是銀行與用戶(hù)之間的交易，銀行與用戶(hù)互為買(mǎi)賣(mài)對象，所以無(wú)論用戶(hù)進(jìn)行怎樣的買(mǎi)賣(mài)操作，資金或貴金屬貨物都不會(huì )流轉到第三方手中。也就是說(shuō)，銀行方面并沒(méi)有對第三方的資金流出，所以不使用U盾或驗證碼進(jìn)行驗證是合理的。如果用戶(hù)不將驗證碼泄露給騙子的話(huà)，最多也就是損失一些買(mǎi)入、賣(mài)出過(guò)程中的手續費。

驗證碼的泄露是直接原因，然而究其根本，用戶(hù)的網(wǎng)銀賬號和密碼泄露才是罪魁禍首。如果騙子不能登錄用戶(hù)的網(wǎng)銀賬號，這種詐騙方法就不能成立。而造成用戶(hù)網(wǎng)銀賬號和密碼泄露的原因有多種，其中最主要的原因往往是用戶(hù)設置的密碼過(guò)于簡(jiǎn)單，或者是在不同的網(wǎng)站使用了相同的賬號和密碼，從而導致賬號密碼被竊取。

獵網(wǎng)平臺表示，此類(lèi)詐騙案表明，銀行也有需要改進(jìn)的地方，首先，對用戶(hù)賬號密碼進(jìn)行安全性檢驗，如果用戶(hù)設置的密碼過(guò)于簡(jiǎn)單，應當強制要求用戶(hù)設置足夠復雜的密碼；其次，當用戶(hù)賬戶(hù)出現異地登錄，或者是使用了新的上網(wǎng)設備進(jìn)行登錄時(shí)，應當進(jìn)行必要的預警或安全驗證，如向用戶(hù)手機發(fā)送異地登錄通知或驗證碼，并提示用戶(hù)賬號可能被盜，應及時(shí)修改網(wǎng)銀密碼。

新聞鏈接

用戶(hù)遭遇類(lèi)似情況，應立即采取以下措施保護自己的賬戶(hù)和資金安全：1.立即修改自己的網(wǎng)銀密碼，或者是凍結或掛失銀行卡，以免自己的網(wǎng)銀賬戶(hù)出現更多損失。2.撥打銀行或者是電商網(wǎng)站的官方客服電話(huà)進(jìn)行咨詢(xún)，以確認事情的真偽，切不可相信陌生的電話(huà)號碼，尤其是陌生的手機號碼。3.任何時(shí)候都不要將賬號、密碼或驗證碼等敏感信息告訴陌生人。

另外，用戶(hù)應當在日常生活中養成良好的上網(wǎng)習慣，特別是不要使用過(guò)于簡(jiǎn)單的密碼。網(wǎng)銀、支付、社交、郵箱等常用賬號一定要單獨設置密碼，并且保證密碼足夠復雜，建議為數字+字母+特殊符號組合的15位以上密碼。定期修改自己的網(wǎng)銀賬號密碼，建議每三個(gè)月或半年主動(dòng)更換一次。更不要一套賬號密碼走天下，不要無(wú)論什么網(wǎng)站都使用相同的賬號和密碼。