谁来保卫我们的银行卡?
引导语:先保护好手机安全。不要把所有银行都开网银。。。。。。
4月8日,周五的这个傍晚,有一个骗子想“变成”许妙成。
许妙成正在北京地铁六号线的车厢里,毫无警觉。周五又是下班高峰期,地铁里的人越来越多,很多人端着手机打发时间。
22岁的许妙成身材偏瘦,大眼睛,人长得很白净,乍一看,还是一副学生模样。他确实刚毕业不久,2014年毕业后进入科技媒体圈工作,还自己创过业,现在就职于一家投资公司。
创业没成功,反而欠下很多钱。他花了半年时间来还债,刚把债务还完,也有了三万多存款。这些钱,分别存在他的三张银行卡和支付宝里。无论是支付宝还是银行卡,都设有重重安全措施——密码验证、身份证号验证、邮箱验证等等。即便这些验证统统失效,还有最后也是最关键的一道安全阀门——手机。几乎所有的支付、更改账户现在都需要手机动态密码验证身份。
而手机,正在许妙成的手里。正如其他银行卡盗刷案一样,那个登录IP显示在海口市的骗子,找到许妙成一个突破口,逐步瓦解了他的安全措施。现在,4月8日17点多,骗子正打算攻破最后一关,拿到许妙成的手机,“变成”这个毫不知情的年轻人。
盗刷银行卡
骗子是人类最古老的行业之一。只不过,不同阶段有不同的特性。以前的骗子更多是骗人,现在,越来越多的骗子试图骗过机器,比如骗过银行的系统。
听起来,这并不容易。毕竟自现代银行建立之日起,安全就是最重要的问题之一,这也是人们愿意把自己的财富交给银行保管的最基本原因。但现实中,骗过银行,似乎并不是那么困难。
3月20日晚上9点多,颜值直播创始人马月从三亚旅游回到北京,从机场回家的路上,他收到两条短信。浦发银行的系统发来的,提醒他银行账户刚刚有两笔消费,一笔46万,一笔1万,消费地点是江西省上饶市宝泽楼市场。他的第一反应就是打电话挂失,电话里,对方要求他报上账户,并且输入密码。
“这个时候我脑子里还留了一个信号,我想万一这是个伪装的号。”马月本身做互联网工作,知道很多诈骗方式,向来谨慎,“各种奇怪的链接诈骗,我绝对不会点。刚出现这个事的时候,我还怕电话已经中毒(用朋友电话打给浦发进行挂失),我考虑得很周全。”
最终证实,短信是真的,电话是真的,那两笔消费也是真的。确实有人骗过了银行,只用了两分钟,就划走了本属于他的47万。
马月后来才从银行处得知,2月份,曾有人在河北查询自己卡内余额。这张卡只是一张借记卡,并未开通网银功能,“肯定是有人复制了我的卡”。
不但复制了他的卡,还需要掌握卡的密码。骗子想做到这些,有好多种途径。他们可以在ATM机上设置陷阱,等马月刷卡时复制;也可以在消费场所伪装服务员使用改装过的POS机盗刷。银行内部人员泄露客户信息的事情也曾发生过,还有一种是在电脑或手机里植入木马。
河南电视台《都市报道》的记者曾在一个盗刷银行卡的QQ群卧底几个月,终于见识了银行卡复制器的威力——只要拿银行卡在上面刷一下,不出十秒钟就能读出包括密码在内的银行卡信息并复制一张新卡。
掌握了马月的卡又有了取款密码,浦发银行系统自然会将任何人当成马月,允许其取走存在银行里的财产。
贩卖机器、盗取信息、贩卖信息、刷卡套现已经形成了一条隐秘又完整的产业链。在这个QQ群里,河南电视台的记者也找到了贩卖银行卡信息的骗子,对方提供了一份银行卡信息目录,几乎涵盖中国所有省份:上海市储户信息38000条,山西储户信息17500条,山东150000条……在购买了一万条郑州储户信息后,记者核实了其中多条信息,每一个信息都是真的。
这和马月了解到的信息差不多。“有很多(复制)卡都在黑市上,我不敢刷,但是我敢卖你,比如五万块钱我能卖你价值一百万的信息。”
每个环节都有风险,各做一环显然相对安全。买到复制卡后,取钱的骗子也有一套严密流程。“比如购买偏远山村村民身份证,办银行卡,跨省取钱”,一位熟悉情况的APP后端工程师向本刊介绍道,“诈骗人在A省、身份证信息人在B省、线下取款机在C省……三省警方基本不可能抓到人,锁定也几乎不可能。”技术高超的骗子还可能通过难以被侦查到的“潜网”(或称“深网”deep web),通过购买比特币等行为将钱洗白。
据中国互联网协会发布的《中国网民权益保护调查报告》估算,2015年,网民因个人信息泄露、垃圾信息、诈骗信息等现象,导致总体损失约805亿元。
窃取手机
毫无疑问,许妙成的个人信息也泄露了。但并非是银行卡信息,而是网络账户。这种信息在网络上流传更广,与银行相比,一些商业网站的安全防护要薄弱很多。携程网、网易邮箱的用户都曾遭遇过个人信息疑似泄露的情况。由360互联网安全中心出品的《2015年度中国网站安全报告》显示,在被调查的网站中43.9%存在安全漏洞,一年或有55亿条信息因这些网站漏洞而泄露。
“我们现在很多诈骗都是由于个人信息被泄露,”360手机卫士安全专家葛健接受本刊采访时说,除了黑客通过技术获取外,“平时比如看个病,买个车,买个房,买个保险,填写的个人信息都有可能通过黑市被贩卖出去。”
个人信息泄露渠道如此之多,以至于许妙成根本就不清楚,骗子是通过何种渠道,拿到自己在中国移动官网的账户和密码的,“那个官网我其实已经很多年不登了”。
17点53分,骗子已经登录了他在中国移动官网的账户,点击了几个链接后,很快就为许妙成订购了“中广财经”手机报的服务。中国移动的系统发现了这笔订单,通过10658000这个号码发短信反馈给许妙成。
“我心想,10086怎么莫名其妙给我开了一个什么鬼业务”,许妙成说,他经常收到这类信息,几乎条件反射般回复了“TD”(常用的退订业务代码),但移动系统认为他的代码不正确,还给了他一个清单“请回复括号中的指令订阅以下手机报”。许妙成想到了打移动客服询问,但在人山人海的地铁里,他还是决定到家再说。
骗子是不会等的。TA已经有了一个详细的计划,计划的核心是中国移动官网上“自助激活”4G备用卡的业务。这是中国移动为了开拓4G市场,让用户便捷换卡提供的一项服务,只要有一个空白的4G卡,点击在线申请后,系统会下发一个USIM激活码到旧卡,在网站填写激活码后,便可成功将旧卡作废,启用新卡。
如果骗子能够拿到这个激活码,成功更换新卡,也就意味着许妙成手里的手机卡将作废,所有的来电、短信都会转移到骗子的手机上去。
从技术上,人们的手机短信渠道早已经危险重重,骗子有多种方式可以拿到这个验证码——可以通过伪基站发送带有病毒链接的地址,如果许妙成点击了,就会下载木马病毒或者含有木马病毒的APP,之后他原本能收到的激活码短信都会被拦截发到骗子手机上。如果骗子和许妙成在同一辆地铁上,还可以通过特殊设备,对手机信号进行干扰,拦截激活码。如果许妙成手机里的一些APP具有短信同步功能,而骗子能够破解这些账户,也可以神不知鬼不觉地获得这个激活码。
在所有窃取个人信息的方式里,伪基站是目前最常见的一种,也是技术最强大的一种。以前还要开车架设伪基站,现在“伪基站越来越轻便,背一个包就可以带走”,葛健说,骗子背一个包,专门在人多的地方来回走,或者骑着电动车、坐车,沿路就会接管辐射范围内的手机信号,并发送短信。这些短信都可以伪装成“10086”、“95558”等电信运营商或银行的官方客服号码,一般都会带有链接。
“而且短信中的网址也特别有迷惑性”,葛健说,比如中国移动官网是10086.cn,伪基站发过来的链接可能用小写的“l”替换掉“1”,变成l0086.cn。他们之所以在高峰期背着伪基站到处逛,就是为了“广撒网”,只要有人点开,就可能会落入圈套之中——或者是一个伪装的网站,需要你填写个人银行卡号、密码等选项,盗取个人信息;或者是安装木马,入侵你的手机,恶意吸费,甚至劫持手机短信。
据前述APP后端工程师介绍,安卓系统木马可以获得手机最高权限,读取手机接收短信、转发短信至特定号码(或者上传黑客后台)、删除本机短信,在几毫秒的瞬间完成,“肉眼都看不到”。
2014年初,公安部、工信部等九部委启动了一场打击伪基站的专项行动,至今已经抓获犯罪嫌疑人接近7000名,破获伪基站设备5000余套。虽然情况有所缓解,却并没有消失。在百度搜索“短信设备”关键词,会跳出数条推广广告,标题里不乏“新款短信设备,每小时十万条”等字眼。
这也是从事互联网行业的马月,接到浦发银行客服输入密码要求后,心存疑虑的原因。但许妙成则没有这么强的安全焦虑,“人的安全警觉还没那么强”。
更可怕的漏洞
骗子并没有使用伪基站的方式,而是通过139电子邮箱的短信功能给许妙成发了一条短信:(日志文章 www.wenzhangba.com)
许妙成几乎不假思索就回复了“取消+验证码”几个字。“我甚至都没有注意到这条短信号码的可疑,谁会时时有迫害妄想症,如此细心?”
根据移动139电子邮箱的规则,移动手机回复的短信也会在邮箱里显示。骗子应该能够看到许妙成的第一次回复,并能体会到他取消订阅的急迫心理。这时,TA提交了自助换卡的申请,移动系统收到申请后,向许妙成的旧卡发送了验证码:
看到这条信息,许妙成再次编辑“取消+******”,把验证码发回给骗子。骗子在139的邮箱里看到短信后,迅速在网站填好验证码,激活了手机里的新卡。半小时后,许妙成的手机忽然断网,失去信号,甚至无法打通移动的客服电话。在重启无数次,甚至到家利用WiFi上网查询解决办法无果后,他打算第二天再到营业厅处理。
这时候,骗子则开始利用手机号攻破他支付宝的安全防护。支付宝的自助重置密码功能里,可以选择“通过银行卡验证”或者通过“验证短信+验证身份证件”两种方式,也就是说,一旦骗子掌握了用户的个人信息以及手机号码,就可以随意更改密码了。随后,骗子利用支付宝、百度钱包等支付平台,开始转走许妙成的三张银行卡里的钱。虽然支付宝的通知很快让许妙成意识到账户被盗,他也采取了解除绑定银行卡等行动,但掌握着他手机号、身份证号等诸多信息的骗子,很容易击破许妙成的补救措施,卡里的三万多元,陆续被骗子从支付宝、百度钱包于平台转走两万五。
在个人身份信息泄露无处不在的当下,最重要的安全阀门就是手机号码了——但通过一条短信验证码,骗子很容易就拿到了许妙成的手机。正如前面所说,人们的短信通道,其实已经不再安全了。
“我们把所有的安全都寄托在一个东西(手机验证码)身上,”许妙成说,这是一个机制上的漏洞,非常可怕,“因为没有科技含量它才可怕,有科技含量证明他的犯罪成本非常高,而且只有极少数人才能完成,他要破解各种东西。如果它不是一个有科技含量的东西,是一个机制漏洞,那就相当于骗子会随时钻空子。”
“苍蝇不叮无缝的蛋”,每一场得手的行骗、盗刷背后,都有类似的漏洞存在。马月的银行卡被盗刷47万后,他当即打电话给客服挂失,同时希望银行能够暂停划拨盗刷的资金,“实际上这个钱还在浦发银行,没有被划走,它是在每天晚上11半的时候有一次自动结算,这个钱被划到江西农信社,农信社再给到那个商户,商户把钱提走,有一个过程。如果这个时候浦发银行发现有问题了,只要把这个钱冻结,就不会有后面的任何事情,被盗走的钱跟没被盗走一样”,马月说,可是客服告诉他,负责此事的工作人员“下班了,你卡被盗就报警”。事后马月找到浦发银行的高层,“他们也承认自己的问题,他说我们现在这块儿没人管,这个时间没人上班。”
我们还能感到安全吗?
跟各家金融机构沟通,让马月和许妙成疲惫不堪。“这个事特别闹心,我自己没有任何过失,我正常刷卡,吃个饭,看个电影,商场买东西……”马月说,当时他挂失后去派出报案,“人家都不给我立案。我去了三里屯派出所,派出所说你必须让银行出示证据,打印凭条证明你的钱丢了,你不能口说。对于派出所来说,立案是一个比较重要的事情。比如打架,打架这种事如果能到派出所调解就不立案了。”最后,他请认识的一名警官帮忙才立案。
浦发银行也是如此,“浦发银行的意思就是转哪儿跟我没关系,你自己去查,我也查不了。感觉就是冷漠。”后来,马月又找了媒体,找央视、找微博大V帮忙,他的投资人也在微信上联系认识的浦发银行高层,“所以他才找我。他(浦发银行)的意思就是他们已经跟(江西)农信社那边说了,要求他们在两周之内把这个钱退回去。我说退不回来呢?他说退不回来…(我们再找)”。
许妙成也遭遇了类似经历。一开始只有支付宝态度较好在跟进,百度钱包甚至都不相信这件事情,“态度不好,我让他去查,就没理我”,许妙成说,后来把事情发了微博,找一些朋友转发并迅速引起巨大舆论关注,央视也来采访后,百度钱包这才找到许妙成,先是通过客服,后来通过百度内部一位认识许妙成的朋友和他沟通,“过了大概有几个小时,百度钱包说他们赔”。
最终,依靠支付宝和百度钱包,许妙成追回了一万五千元,还有骗子购买的七千多元基金积存可以赎回外,其他损失希望渺茫。银行和移动则态度比较坚决,许妙成打电话给银行,“他们的态度就是您这个确实是网上诈骗,太普遍了,他们也管不了,如果警察要调查他们会积极配合警方”。
中国移动也回复本刊称,“该案实际上是因客户被人窃取了网厅登录账户密码在先(若客户被人窃取了支付宝账户密码也会产生同样经济损失),然后他自己又将换卡验证码发给骗子。从业务办理流程来看是正常的。中国移动将积极配合有关部门,提供相关证据,进行后续查证。”
但中国移动显然也意识到了网上自主激活空白卡存在的漏洞——其实,早在几个月前,他们就意识到了这个问题。《广州日报》1月5日的报道中,中国移动工作人员就曾介绍了一种以退订业务为由,诱导手机用户换卡的新骗术,而用户的手机号一旦被盗走,任何绑定该手机号码的网络账号和银行卡均将面临极大风险。但这个自助服务通道一直没有关闭,直到许妙成的案件发生后。
4月18日后,北京移动的网上营业厅USIM卡换卡业务已进行了安全机制上的更新,用户在网上办理换卡时,必须先申请备用卡并选择邮寄到家,同时输入短信验证码。如果没有申请备卡就不能办理该业务。4月21日,本刊记者登录移动官网查询,发现通过网站自助激活空白卡的业务已经停办,而通过139邮箱发送的短信,也在末尾注明了发信人的手机号码。
电信运营商和银行其实也在试图解决各自业务中存在的漏洞。比如推广4G卡,据360安全专家葛健透露,4G卡的安全性要更高一些,“4G基本上收不着伪基站的短信”。而银行也一直在力推芯片卡,据VISA介绍,带有芯片的信用卡和借记卡可以将盗刷风险降低近20%。
同时,公安部门对伪基站的打击,也一再升级。据知情人士向《21世纪经济报道》披露,“北京市有关部门已经启动一项监测工程,计划投入数亿元,在全北京市主干道以及重点区域部署侦码器,这种设备的一部分功能就是侦查、识别伪基站。”目前,该项目即将进入招标阶段,招标完成后,将会有10万-20万个侦码器部署在北京主干道的路灯上。
中国移动信息安全管理与运行中心相关负责人叶向本刊透露,移动内部早已成立了专项工作组,全国31个省公司均建设配备了伪基站后台监测系统和现场定位设备,不断监控打击使用伪基站等行为。
坏消息是,骗子的技术,也在更新换代。河南电视台记者在盗刷团伙卧底时就发现,银行在更新技术,推行芯片卡,但是盗刷团伙也在破解这种技术,据称盗刷芯片卡的复制器也已经生产了出来。
4G也存在同样问题,据葛健介绍,伪基站已经可以通过技术手段,“专门把你的4G降频,有时候你信号不好的时候,就降了,4G降3G,3G就变成2G了。这个时候你也会容易收到伪基站的短信”。
这一场骗子与各大机构的安全攻防战,结果为何,实难预料。更令人忧虑的是,曾经泄露的那些个人信息,依然在黑市流传,谁也不清楚自己的信息是否包含其中。
马月只得颇为无奈的建议,“如果你要是平常刷卡,赶紧再到银行办一张新卡“,开通网银,把钱转都到新卡里。日常消费用金额较少的卡,随用随转。
许妙成也吸取了自己的教训:“先保护好手机安全。不要把所有银行都开网银,最常用的手机号尽量不要跟银行绑定,我明天换个号。”
这种必须自我修炼,提升安全意识的做法,让许妙成感到非常不舒服,“安全机制不就应该是这么设定的,每个人都这么聪明要你干吗?每个人自己能保护自己,还要你干吗?所以我当时就在跟他们说这个事情,你不能老说用户太笨了,用户自己把这东西泄露了,才导致钱丢失。其实这个世界上大部分人是没那么聪明的,你不能指望每个人都那么有安全意识,这才是你这个机制存在的原因,为什么我把钱存你银行?那不就是觉得你安全嘛。”
骗子的手段:
盗取个人隐私信息
黑客攻击网站漏洞盗取
企业、中介等机构泄漏
利用伪基站发送钓鱼短信
盗取银行卡信息
银行内部人士泄露
改装ATM机、POS机,复制卡片信息
在电脑或手机里植入木马
使用银行卡复制器,复制银行卡
获得手机验证码,攻破网络金融平台
利用伪基站发送木马短信
使用特殊设备近距离拦截短信
盗取可以自动同步短信软件的账户
其他诈骗手段