“在整個(gè)騙局中���,騙子利用了正當(dāng)?shù)臉I(yè)務(wù)規(guī)則���,外加受害人對(duì)相關(guān)業(yè)務(wù)不熟悉騙取驗(yàn)證碼���,行騙手段具有可復(fù)制性,但如果運(yùn)營(yíng)商對(duì)業(yè)務(wù)規(guī)則進(jìn)行修改���,加強(qiáng)認(rèn)證���,騙子無(wú)法獲取驗(yàn)證碼,則攻擊就會(huì)失敗������!360天眼實(shí)驗(yàn)室的工作人員告訴記者。
如何才能異地自助換卡���?中國(guó)移動(dòng)北京公司的客服人員告訴記者���,辦理人需在網(wǎng)站上申請(qǐng)一張備卡,登記郵寄地址后送卡到家���,但地址僅限于北京���,外省市不可享受此項(xiàng)服務(wù)。但據(jù)記者了解���,此次事件中���,騙子的IP地址在海南海口���,而且網(wǎng)上申請(qǐng)備卡除需填寫(xiě)申請(qǐng)姓名���、手機(jī)號(hào)、收貨地址外���,依然需要短信驗(yàn)證碼���,既然此前許先生并未收到過(guò)申請(qǐng)備卡的短信驗(yàn)證碼���,那騙子的備卡是從哪來(lái)的呢?
“騙子可能通過(guò)內(nèi)部渠道拿到了備卡���,也可能是網(wǎng)購(gòu)渠道的備卡���。”一位不愿具名的業(yè)內(nèi)人士告訴《IT時(shí)報(bào)》記者���。據(jù)該人士透露���,在手機(jī)卡未嚴(yán)格執(zhí)行實(shí)名制前,不用本人的身份證也可以領(lǐng)卡���。
記者在淘寶頁(yè)面中輸入“USIM卡”���,出現(xiàn)了浙江移動(dòng)、上海移動(dòng)等地的4G USIM卡���,這些備卡均可用于短信自助換卡���,店主告訴記者:“雖是短信換卡的備卡,異地網(wǎng)上自助換卡也可以試試���,但不保證成功���。”
復(fù)盤(pán)二:手機(jī)驗(yàn)證碼可修改網(wǎng)銀密碼
“這是社會(huì)工程學(xué)詐騙的一種���,也是欺騙性攻擊���,利用補(bǔ)卡換卡,騙子在與許先生做心理上的較量���,此外���,騙子對(duì)許先生做過(guò)調(diào)查,已經(jīng)掌握了他的銀行卡���、身份證號(hào)���、手機(jī)號(hào)���、中國(guó)移動(dòng)網(wǎng)上營(yíng)業(yè)廳的登錄密碼等大量信息,只缺最關(guān)鍵的一步���,就是短信驗(yàn)證碼���。”國(guó)內(nèi)安全團(tuán)隊(duì)Keen Team成員呂禮勝告訴《IT時(shí)報(bào)》記者���。
短信驗(yàn)證碼有多重要���?以登錄支付寶為例,正常情況下���,若有人在用戶不常用設(shè)備上登錄支付寶���,用戶會(huì)收到短信提醒。即使不知道登錄密碼���,但已經(jīng)給用戶換卡成功的騙子���,可以通過(guò)短信驗(yàn)證碼���、證件號(hào)碼來(lái)重置密碼。
在此次事件中���,因?yàn)橐呀?jīng)擁有許先生的SIM卡,收到異常登錄短信提醒的是騙子自己���,另從許先生的手機(jī)支付寶依然與騙子保持同步登錄狀態(tài)來(lái)看���,騙子并未利用手機(jī)短信驗(yàn)證及其他身份信息重置登錄密碼和支付密碼,這也就說(shuō)明���,許先生的支付寶號(hào)及密碼可能早已泄露���,被騙子掌握。
小編推薦閱讀
