当前,新兴手机支付方式已经逐渐普及,如果使用者的风险防范意识不高,可能会落入犯罪分子设置的陷阱。从以往的案例来看,一些犯罪分子与被害人是朋友、同事关系,趁被害人不注意操作被害人的手机,获取和修改被害人的手机支付平台密码后将钱转走;一些犯罪分子在获得被害人身份信息后,用改号软件向被害人手机发送添加副号等业务,使被害人在回复信息时落入陷阱,将被害人手机支付平台及绑定的银行卡内的钱转走。
为防范此类新型诈骗案件的发生,专家建议使用者要保护好手机支付平台的支付密码,绑定的银行卡里不存大额资金;手机丢失时及时关闭相关支付功能,不给犯罪分子可乘之机;手机收到官方短信需要回复时,不随意回复,认真甄别短信内容,对自己不熟悉的业务及时咨询客服。
新闻事件
A
留守老伯向邻居“蹭网”,支付宝被盗
家住开封市祥符区朱仙镇的老邵,今年69岁,是位留守老人。老邵的儿子和儿媳一直在郑州做小生意,前两年给老邵添了个大胖孙子,老邵的老伴便去郑州帮忙带孙子,老邵一人在家守着老宅。
去年9月份,老邵花1000多元买了部智能手机。由于自己家没有WIFI,而邻居周杰(化名)家有,爱凑热闹的老邵经常拿着自己的手机去邻居家蹭网。老邵玩不转手机上的诸多功能,便常常请教左邻右舍的年轻人,当然,请教最多的便是周杰。
去年10月9日下午,周杰正在教老邵如何使用微信时,偶然看到信息收件箱里有一条来自中国邮政储蓄银行的短信,内容显示老邵银行卡里有两万多元存款。周杰知道老邵的银行卡号和身份证号也在手机里面,遂起了邪念,便偷偷记下了老邵的银行卡号。老邵走后,周杰试图把老邵的银行卡捆绑在自己的支付宝上,但由于机主姓名和银行卡开户名不一致,捆绑失败。第二天晚饭后,老邵又来了,贼心不死的周杰在老邵眼皮子底下,用老邵的手机下载了支付宝软件,注册了支付宝账户,同时绑定了老邵的银行卡。设置好支付密码后,周杰不动声色地把支付宝软件卸载了。这时,周杰一边用自己的手机登录该支付宝账号,向自己的支付宝账户内转了500元,一边将老邵手机上关于支付宝登录验证码和银行的短信提醒信息一并删除。事后,周杰一直很忐忑,唯恐老邵来找自己算账。一周时间过去了,老邵并没有发现自己银行卡里的钱减少。周杰心想,老邵银行卡上有多少钱,恐怕连他本人都不清楚,更何况这500元钱是通过支付宝转走的,对此一窍不通的老邵根本不会察觉。老邵又到周杰家蹭网时,尝到甜头的周杰又趁机转走了2500元。
老邵在镇上的中国邮政储蓄银行办理业务时,看到存款余额后感觉不对劲,遂向银行工作人员咨询。工作人员查询账单后告诉老邵,卡里少的3000元是分两次通过支付宝转走的。老邵一听这话头都大了,自己都不知道支付宝是干什么用的,也从来没有通过支付宝转过钱。老邵到派出所报了案。派出所民警接到报案后联合银行工作人员,通过支付宝客服,很快便侦破了此案,抓捕了周杰。经审讯,心存侥幸的周杰对通过支付宝转账盗窃老邵3000元的犯罪事实供认不讳。
近日,开封市祥符区法院经审理认为,周杰以非法占有为目的,通过秘密转账手段,窃取私人钱财,其行为已构成盗窃罪。根据《中华人民共和国刑法》相关规定,法院以盗窃罪依法判处周杰拘役四个月,并处罚金2000元。
B
深圳男子一觉醒来被盗刷5万多元
今年2月3日,深圳男子何先生一觉醒来,发现自己的手机被锁定,京东账户遭陌生人盗刷。随后何先生发现,自己的手机曾经被一个陌生号码接管。
来自运营商的短信显示,这是一项办理添加副号的业务,何先生不小心回复了信息,其手机号码被犯罪分子添加为副号。当副号手机关机,所有短信都会被主号接收,犯罪分子趁此期间接收何先生的短信验证码,在其京东账户用白条消费和申请贷款的方式,一夜间洗劫了何先生5万多元。
据介绍,由运营商提供的一卡多号业务,在不换手机、不换SIM卡的基础上,用户可以增加最多3个副号。主号只要编辑短信“KT 手机号码”发送给运营商,该手机号码会收到一条来自运营商的确认短信,回复“Y”就会成为主号的副号。当副号关机时,电话和短信都会被主号接管。
根据调查,犯罪分子使用的主号曾被多名用户举报,该手机号向不同号码发起绑定副号的短信,以“广撒网”的方式钓鱼。如果有人不慎回复“Y”,就会上钩成为副号。
C
一条短信让支付宝泄密
“因为一条短信,一夜之间,我的支付宝、所有的银行卡信息都被攻破,所有银行卡的资金全部被转移。那时我有一种一无所有的绝望。”被害人小许说,他是一名参加工作不久的大学毕业生,“漂”在北京,辛苦挣来的所有积蓄说没就没了,至今令他心有余悸。
事情的经过是这样的——在北京晚高峰的地铁里,小许连续收到了几条来自中国移动官方号码的短信,显示他订阅了手机报服务,并且实时扣费,造成话费余额不足。
小许根本没订阅这些服务,收到信息的小许一脸疑惑。随后,小许收到另一条短信,显示只要回复“取消 验证码”,可在3分钟之内免费退订。当小许正在琢磨验证码是什么的时候,他又收到一条来自“中国移动客服10086”的短信,内有验证码。小许回复短信后,他的手机就瘫痪了,手机屏幕显示无服务。随后,小许用无线网络给自己的手机充值150元,然而手机屏幕依然显示无服务。
很快,小许的手机在无线网络连接下,收到了支付宝的转账提示。这意味着,有人在另一个终端上操作他的支付宝账户。由于手机无法使用,小许只能通过操作客户端解除了支付宝与三张银行卡的绑定,并且让亲友打支付宝客服电话冻结账号。虽然小许的支付宝挂失成功,但支付宝账户内已经没钱了。
更令小许感到恐惧的是,第二天他发现,他绑定在另一个支付平台——百度钱包的银行卡内的钱也全部被转入了两个陌生账号。
专家分析犯罪过程分三步
专家分析说,在何先生被盗刷的案例中,犯罪分子主要采用以下几个步骤,对何先生的京东账户和银行卡进行了盗刷。
第一步:网上购买个人信息
一般情况下,犯罪分子会在网上购买一些机构和网站泄露的姓名、银行卡号、身份证号和被害人预留的手机号等个人信息。
第二步:获取信息后开始“钓鱼”
犯罪分子通过向已经掌握了其银行卡信息的用户发起绑定副号的业务申请,以“广撒网”的方式寻找作案对象。尽管何先生并不记得收到和回复过类似短信,但不排除事发前的2月2日晚间,何先生开了一天车因疲劳一时大意回复了短信。
由于主号只有在副号关机的情况下才能接管短信,犯罪分子这时一般会采用两种手段,一是利用短信轰炸强迫被害人将手机关机;二是利用手机云服务,对手机进行远程操作。犯罪分子一般会通过各网站泄露的数据库查找被害人的常用密码,再尝试登录手机云服务。智能手机云服务普遍有应对手机丢失的“销毁资料”功能,通过这个指令,可以迫使何先生的手机处于关机状态。
根据何先生事后查证,犯罪分子在2月3日凌晨时分,每过五六分钟就发出一次“销毁资料”指令,这期间何先生的手机短信便会由犯罪分子的主号接管。
第三步:利用短信验证码盗刷
犯罪分子利用主号收到的短信验证码,对何先生的京东账户进行了疯狂盗刷,除了白条消费约1000元,还在京东金融金条账户贷款5.2万元,将钱转到其他银行卡以后,又实施转账和无卡取款。
据了解,何先生目前正在采取有效途径尽力挽回损失。专家提醒广大市民,在接到各类短信通知后,一定要看清短信内容,不可随意回复,对自己不熟悉的业务应及时咨询客服。
专家支招要掌握这些防范招数
专家认为,在这些新型的诈骗案例中,犯罪分子事先已经掌握了被害人的信息,有些是利用熟人关系作案,有些是让被害人回复短信来作案。因此,网络支付平台的用户一定要清楚以下防范招数,防止个人财富瞬间被盗。
1.静态密码设置一定要复杂
密码设置得复杂一点,让攻击者不会那么容易攻破。
2.遭遇“干扰信息”要仔细甄别
每个人手机上可能都出现过各种各样的干扰信息,大家要对各种“运营商”“银行”的手机短信和来电进行认真甄别,冷静应对。
3.手机离奇“瘫痪”要紧急挂失
用户的手机离奇“瘫痪”时,如非手机本身或信号故障,要立刻挂失手机卡,并及时冻结第三方支付和银行账户,避免攻击者趁用户处于“信息孤岛”时,冒名顶替机主身份窃取账户存款。
4.短信验证码不能告诉任何人
运营商只会单向告诉机主验证码是多少,不会要求机主把验证码再发送给它,任何向机主要验证码的行为都是骗子所为。