黑灰产调查：什么都没做银行卡被“掏空”！这种盗刷手法太可怕 普通人无法防范

银行卡被盗刷

通常都会认为进行过一些操作

比如点了链接、提供了密码或验证码

但今天要说的这个盗刷案件

受害人什么都没做过

也没和犯罪分子有过接触

银行卡里的钱就被洗劫一空

2019年7月4日凌晨3点多

三亚宋女士的手机上

突然收到了几条短信验证码

她一开始以为是诈骗消息 没在意

不一会儿

手机又接到短信

显示她的银行卡被刷走了5万元

宋女士懵了

自己没有在手机上进行过任何操作

银行卡的钱就被盗刷了

宋女士立即去报案

民警也觉得诧异

怎么会有这种事情发生？

民警调查后发现

宋女士的钱

从广东惠州一家银行的ATM机上被取走

警方很快将嫌疑人抓获

5万元被全部追回

手机上没进行任何操作

那么，不法分子是如何

盗刷她的银行卡呢？

经过一系列的盘问后

令人毛骨悚然的操作方式浮出水面……

据犯罪嫌疑人供述

他们是分工合作

三亚有一个同伙

在宋女士的附近搭建设备

利用嗅探技术

拦截宋女士的手机短信

这个技术怎么办到的呢？

犯罪嫌疑人说

只需要一个廉价的机器

犯罪嫌疑人 顾某某：改造摩托罗拉118的手机，把它变成一个接收天线，再配合特定的U盘系统，打开电脑就可以模仿基站信号，拦截、嗅取探测周围手机短信。一个手机15元，相当于一个简单的拼接过程。

为什么如此简单的设备

却能截获大量的手机短信呢？

因为手机在2G状态下

加密方式太过简单……

而不法分子就是利用这个漏洞

成功钻了空子！

虽然现在基本都是4G网络

但在一些信号不好的地方

手机有可能切换到2G、3G网络

此外，不法分子还会用干扰设备

专门对一定范围的信号进行干扰

用户在2G状态下

犯罪分子就会用“嗅探”进行吸附

受害人的手机和短信会自动显示在电脑上

而且没有任何察觉

要想将受害人银行卡上的钱转走

犯罪嫌疑人必须同时获得该用户

姓名、身份证、银行卡号、手机号和动态验证码

这五样东西很难同时拿到

但犯罪分子因为有了手机号

还能截获验证码

于是就拿到了一把万能钥匙

通过登录各种app

获取另外几样信息

只要和实名相关的app

就能查出个人信息

犯罪分子举例

比如想要知道身份证号

登录飞猪

在旅游保险里就可以看到姓名、身份证号

最关键的支付环节

不少app都会对卡号刻意隐去几位

犯罪分子说

可以通过充值

看见你所有的卡

然后再根据脚本跑卡

确定作案对象后

利用受害人的手机号码加动态验证码

使用免密支付的方式将钱转移出去

就算银行卡没钱

花呗、借呗、京东白条

都可以套出来

受害人会收到一堆验证码

之后钱就被转走了

犯罪嫌疑人还帮忙“总结经验”

手机号码加动态验证码登录

方便了你，也方便了我

现在很多APP登录方式，除了账号+密码，还有手机号+验证码。但其实“手机短信验证码”是一把双刃剑，虽然可以解决用户因为忘记密码而无法登陆的烦恼，但是无意中也增加了信息泄露的风险。

记者随后在手机上，选择了多个常用的App进行测试，这些App一般都可以通过两种方式进行登录：用户名+密码，手机号+动态验证码。

当用户忘记密码的时候，可以通过手机号发送验证码的方式找回密码。这一切对用户来说似乎很方便，也很安全。

可是不法分子恰恰利用这种登录方式，选择在夜深人静、人们防范意识比较低的时候，在自己的手机或电脑上输入用户的手机号，再用截获的动态验证码登录用户的App，达到盗窃用户资金的目的。

中国政法大学网络法学研究院副院长 王立梅：手机加验证码的方式本身是有一定的安全隐患，验证码是有可能被截获的。第二个就是预留的手机号码，这个号码实际上它泄露的可能性也是非常大的，所以两个加在一起，作为唯一的验证方式是有一定漏洞的，尽可能应该是再有其他的验证方法予以补充。

看起来“嗅探设备”可以“隔空取钱”

但并不代表不法分子可以为所欲为

“嗅探”利用的是数据劫持的技术

只要数据无法送达

如果发现以下情况

要警惕

2、如果早上起来，看到半夜收到奇怪的验证码短信，一定要想到可能是遇到短信嗅探攻击，迅速查询账户资金，有异常情况火速冻结银行卡，保留短信内容并报警。