最新诈骗手法曝光:发几个验证码就能掏空你的钱!

发表时间: 2024-06-24 来源:焦点关注

  8月1日,网友@独钓寒江雪 在豆瓣发帖,称自己凌晨醒来,发现手机一直在接收验证码,总共100多条,分别来自支付宝、京东、银行等。随后发现支付宝、关联银行卡的钱都被抓走了;京东开了金条、白条功能,借走一万多……

  该网友在长文中不仅诉说了不幸遭遇,还控诉了支付宝、京东等平台方面的不作为。而支付宝表示之所以当初判定为无法理赔是因为这个案件非常像本人操作。

  直到8月3日晚间,支付宝对此进行了回应,称将会先把损失的资金补偿给用户,然后配合警方调查事实。

  随后京东也表明态度,将会对被确认盗刷的用户账户进行先行垫付,免除用户的还款责任。

  据广州警方通报,近期,多地警方陆续接报一类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行APP登录账号和密码也已被篡改,损失惨重。

  民警介绍,骗子通过这一种新型技术,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。

  惊了!这种新兴技术到底是个什么鬼?公安界大V @江宁公安在线 为此专门发帖科普过。

  就是说,这些人都是被犯罪分子用“GSM劫持+短信嗅探”的方式,把银行卡里的钱盗刷或转移了!

  1犯罪团伙基于2G移动网络下的GSM通信协议,在开源项目OsmocomBB的基础上做修改优化,搭配专用手机,组装成便于携带易使用的短信嗅探设备。

  2通过号码收集设备(伪基站)获取一些范围下的潜在的手机号码,然后在一些支付网站或移动应用的登录界面,通过“短信验证码登录”途径登录,再利用短信嗅探设备来嗅探短信。

  3通过第三方支付查询目标手机号码,匹配相应的用户名和实名信息,以此信息到相关政务及医疗网站社工获取目标的身份证号码,到相关网上银行社工,或通过黑产社工库等违法手段获取目标的银行卡号。

  4通过获取的四大件,实施各类与支付或借贷等资金流转相关的注册/绑定/解绑、消费、、信用抵扣等恶意操作,实现对目标的盗刷或信用卡诈骗犯罪。

  但是以上四步也只是基础原理,攻击者甚至会干扰附近的手机信号,使4G变为2G信号后窃取短信信息。

  因为,一般短信嗅探技术只是同时获取短信,并不能拦截短信,所以不法分子通常会选择在深夜作案,因为这时,受害者熟睡,不会注意到异常短信。

  @江宁公安在线 表示,目前绝大多数支付类,银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制。

  此外,如果单单泄露验证码,问题是不大的,绝大多数中招的用户是因为泄露了身份证号等其他重要身份信息,所以总体犯罪成功率并不高。

  1、平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护;

  2、最简单的一招就是睡觉前关机或设置飞行模式。没有了信号,短信嗅探设备就无法获取到你的手机号;

  3、如果早上起来看到奇怪的验证码短信,一定要想到可能是遇到短信嗅探攻击了,赶紧查看自己的银行卡和支付应用。这时假如发现钱被盗刷了,火速冻结银行卡,报警。

  4、如果猛地发现手机信号变成2G,要立刻想到自己可能正遭遇此类攻击,并采取以上方式防御。

  5、据网友补充,有些银行APP安全功能能对此进行防备,比如开启常用设备管理,并设置夜间不可交易。

  此外,@江宁公安在线 呼吁,各大运营商与企业也要尽快采取比较有效技术方法,尽快解决此类问题。这种手法能够得逞,“根源还是在于信息泄露!”