恐怖!女白领遭网络打劫,银行卡一夜被清空,负债十多万

华盟学院山东省第二期线下学习计划

这两天,上海电视台“案件聚焦”栏目一个名叫《一夜蒸发的存款》的视频在朋友圈疯传,讲述了一群犯罪分子利用新型网络诈骗手段,采用不接触受害者就在网络上窃取钱财手段,连续犯罪数十起的案件。

看完视频,很多小伙伴都惊呼震惊,以前网络诈骗只听说过老年人容易上当被骗,现在居然年轻人、高知识分子也中招了。

 

小编看完也很恐慌,以前诈骗分子还需要给受害者发短信或者打电话,才能骗取登录账户或转账所需的口令或者验证码,现在这群犯罪分子完全不需要和受害人接触,就直接窃取了用户的资金,真是太可怕了。

10万元银行卡一夜被清空

年轻白领丁小姐,在新天地附近一家外企上班,她是一个很谨慎的人,网络安全意识也颇高,平时不会随意点击任何不明链接,所有涉及资金的网络转账她都使用U盾,上网也使用专业版的网上银行,防诈骗的意识更是很强。想不到这样一位白领精英,居然银行卡一夜被盗空。

1

9月16日早上七点起床,丁小姐看见手机上有两条来自银行和手机运营商的短信,发送时间分别是凌晨3:43和4:12。起初她以为是发错了并没有在意,但涉及到银行,保险起见丁小姐还是查了一下自己的账户,谁知道,招商银行卡上10万多元的活期存款在一夜间归零。

1

信用卡也中招,被盗刷近千元

丁小姐发现招商银行卡资金被盗后,马上挂失,并拨打了110报警。在警方询问她案情期间,她又收到一条短信,居然是自己浦发银行信用卡被刷卡的信息,消费了近千元。信用卡明明在自己身上,怎么会产生消费?她马上意识到,她的浦发银行信用卡也被犯罪分子盗用了。

1

突然欠债十几万

更令丁小姐恐惧的是,挂失了这两张银行卡之后,并没有摆脱她的资金被劫的命运,在之后的48小时之内,她发现自己名下另外的两张银行卡在自己不知情的情况下,被申请了两笔贷款,总计十几万元。

1

一夜之间,丁小姐变的身无分文,并且欠下了高额的欠债。丁小姐挂失了自己所有的银行卡,包括支付宝、微支付等,但还是无法摆脱恐惧,整夜失眠。究竟犯罪分子是怎样获取了她的所有金融身份信息的?她百思不得其解。

密码是如何泄露的?

众所周知,网银账户要实现转账,有两道步骤,第一道是要登录网银,第二道是利用Ukey或手机验证码实现支付验证。显然,犯罪分子是破解了丁小姐的网银账号,并窃取了她的手机验证码,来实现犯罪的,那么,他们是如何做到的呢?

原来,犯罪分子先是利用软件撞库,获得了丁小姐手机运营商系统的账号密码。

1

然后再利用相同的用户名和密码尝试登陆丁小姐的网银账号,不巧的是,丁小姐的运营商系统上设置的密码和网银登陆的密码是一样的。这样,犯罪分子就获得了丁小姐的网银登陆账号。

1

随后,犯罪分子利用丁小姐的运营商系统账号,在运营商服务中订购了短信过滤和短信保管服务,设置将所有关于验证码的短信不让丁小姐接收到,而存储在网络云端上,供犯罪分子查看。

1

这样,犯罪分子就成功截获了丁小姐的验证码。两把钥匙到手,犯罪分子不用接触丁小姐就可以盗取她的资金了。

1

是哪些原因导致了账户被盗?

片中记者采访的信息安全专家张威老师也是安在的特聘专家,在片子播出后,小编第一时间就联系了他,了解整个案情的内幕。

1

他告诉小编,节目中丁小姐遭遇的已经不能算作网络诈骗了,而应该属于网络打劫,因为犯罪分子完全没有和丁小姐有过直接接触,而是利用了一连串的漏洞,直接窃取了她的资金。这些漏洞不仅包括技术上的漏洞,还包括了企业网络业务流程设计上的漏洞,以及丁小姐个人生活习惯上的漏洞等等,才最终成功得手。只要其中任何一个条件不具备,这起案件都不可能成立。

  1. 首先,犯罪分子之所以可以对系统进行撞库,是利用了这些系统安全监测机制不足的技术漏洞,一些安全等级高的系统对撞库是可以进行检测和报警的。
  2. 其次,犯罪分子对丁小姐所有账号和银行卡号的通杀,利用的是丁小姐在生活习惯上喜欢在所有网站上只设置了一样的账号和密码这一漏洞,一旦某一账户被攻破,就意味着所有账户被攻破。
  3. 最后,利用银行和运营商增值服务提供中的业务流程漏洞,犯罪分子实现了屏蔽丁小姐手机,截获验证码的终极一击。

 

此类案件之所以可怕是因为,对老百姓来说,面对这种类型的网络犯罪,完全摸不着头脑如何抵御。而犯罪分子则只需要动动鼠标,跑跑程序,就可以完成批量的远程盗窃,犯罪危害极广。

大咖有话说

这一案件,也引起了安在大咖们的热烈讨论。

 

段和段律师事务所高级合伙人刘春泉律师表示,目前银行在系统设计上过度依赖手机短信作为用户身份认证因子,虽然提高了用户的使用体验,但从安全性上转嫁了自身的风险,增加了用户的风险。

赛克蓝德创始人兼CEO朱林说,网络犯罪的套路虽多,但万变不离其宗,用户需要认识到自己身上的核心风险,建议普通用户日常密码最好有三套,和钱有关的账户最好设置12位以上的强密码,购物相关的网站、邮箱等账户单独设置一套,其他普通的论坛、网站设一套。另外,尽量不要用手机号作为账号使用。

微通新成总经理赵建表示,现在的问题是,运营商对用户来说,本来只是提供电话及网络的基础服务的,现在突然所有的金融机构都拿它做支付场景中的身份认证了。网络基础服务和身份认证服务在安全等级上的需求是完全不一样的,运营商安全体系发展的滞后导致了现在的种种问题。人民银行2016年9月30日印发了261号文,对非柜面转账加强管理,单日累计金额超过5万元,应当采用数字证书或电子签名等安全可靠的支付指令验证方式,如果银行、支付公司都按照以上监管要求认真整改执行,相信以上的悲剧就会减少发生。

给小白送福音

年关将至,犯罪分子们也要忙着“置办年货”,在这多事之秋,如何保护好自己的网络钱袋子?小编赶紧让安在大咖们给支支招,给大家一技防身,假如你是网络小白的话,以下的话可要认真听讲了,下面简单的几点可能对你很重要:

  1. 学会安全自查。年底了,要学会检查自己重要账户的安全性,比如找运营商查询清楚自己的手机是否订购了奇怪的增值服务;找银行查询一下自己名下有没有来历不明的银行卡;网银里有没有订购过犄角旮旯模块里的理财产品等等。
  2. 密码设置要绝对安全。密码是人们上网的第一道防线,所以必须重视密码的设置,数字、字母加特殊符号组合,8位以上的设置是必须的,同时对于重点账户要设置相互不同的密码,防止泄露后被一网打尽。
  3. 操作一遍忘记密码流程。不少犯罪分子会利用用户设置的“忘记密码”流程来攻破用户账户,用户可以自行测试一遍,看整个流程是否有薄弱环节,使不法分子有机可乘。
  4. 网银取款设限额。不论是网银、还是第三方支付平台,开通之后,务必开设转账或取款限额,超出限额使用Ukey支付。

安在的安全大咖们还教了小编一个设置密码的小技巧,利用这个技巧可以在不同网站设置不同密码,还好记,这里分享给大家。

1

首先,找一串符合密码强度要求的字符串作为密码的主体元素,强制记忆住,然后,在不同的网站注册账户时,可以自行定义在这个字符串的前面、中间或后面的位置,加上这个网站特有的特征,如网站的域名。

这样,当我们注册淘宝时,就会得出“字符串+taobao.com”的密码。

而当我们注册QQ时,就会得出“字符串+qq.com”的密码。

由此可以保证我们在不同网站上使用了不同的密码,同时我们还记得住。可以防止我们某一账户密码泄露后不会殃及其他的网络账户。

www.idc126.com

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论