节前慎防电信诈骗，“最后的安全锁”要盯紧

字号：大中小

　　如今，短信验证码普遍应用于网上支付、网上购物、买票支付等操作。一般而言，短信验证码可以有效识别用户支付交易的真实性，因此通常也是消费者进行网上交易时的最后一道“安全锁”。而这道“锁”一旦被“盗”，后果往往很严重。

　　近期以来，包括银行等金融服务机构以及一些相关执法部门都发出了提示称，临近春节，消费者要慎防电信诈骗，尤其要注意保护好短信验证码的安全，不要轻易转发给他人，以免造成资产损失。

　　案例：卡中资金转眼被盗

　　就是因为轻信别人，把自己手机银行的短信验证码转发给了别人，王女士卡中的10万元转眼就被盗走了。

　　前几日的一个上午，安徽省宿松县的王女士接到一个陌生男子的电话。男子自称是物流公司的，说王女士之前在网上购买的一批物料出现问题，物流公司要给她理赔。王女士因正忙，于是要求对方加微信详谈。

　　其间，王女士见对方对自己的生意往来很清楚，于是渐渐信任了对方。之后，男子给王女士发来一个链接，让王女士点击链接申请理赔。王女士没多想就直接点击了。

　　不久，王女士手机上收到一条验证码信息。对方要求王女士将验证码发给他，王女士就发了过去。男子称之后会将赔偿款打到银行卡上。就在当天下午，王女士打电话查询银行卡的数额时，才发现银行卡中原有的10万元已不见踪影。王女士赶紧报警，而办案民警初步认定，这是一起典型的电信诈骗案。作案人员套取了王女士手机银行的验证码信息，最终将钱款悉数转走。

　　无独有偶，也是在几日前，南京雨花台派出所接到市民报警，称自己遭遇了短信诈骗，被骗2000元。

　　经了解，被骗的小王是因为收到了一条提示信用卡提额的短信。此后，在该“客服人员”的提示下，小王不仅登录了短信提供的网址，并按提示要求填写了银行卡号、身份证号、手机号。

　　更糟糕的是，小王最后还把短信验证码也输入了网址。而当这一系列操作完成后，小王的手机很快就收到了一条消费提醒短信，XX银行信用卡付款2000元，收款方为深圳某科技公司。这时小王才意识到自己被骗了。而小王输入的短信验证码更是成了最后一个，也是至关重要的一个“帮凶”。

　　当短信验证码转发出去的那一刻，用户银行卡中的钱就被转走或消费了。新华社客户端财富频道梳理相关资料后发现，近期发生的不少盗刷案例，虽然过程有所不同，但最后一环“验证码被骗走”却惊人地相似。这是怎么回事呢？

　　专家：验证码是最后一根稻草

　　对此，中国金融认证中心（CFCA）助理总经理赵宇表示，就当前的盗刷案例来看，仅凭一条验证码其实很难实现直接的盗刷操作，特别是银行业务。但另一方面，近年来，通过盗窃验证码导致的盗刷并不少。

　　“其实，目前很多正在发生的各种盗刷事件，受害人并不是犯罪分子随机选取的，而是通过黑色产业链下的黑色数据实施的精准诈骗。而验证码是最容易从受害人手中获取的信息，完全通过远程传输即可搞定，是最‘方便’的手段。”赵宇分析指出，因此，很多盗刷案例中短信验证码频频“现身”。

　　赵宇介绍说，目前信息黑色产业链的不法人员通过各种渠道买卖用户数据，这些数据可能包括姓名、电话、身份证、银行卡号、银行开户情况、住址等等，甚至包括了密码，但仅凭这些数据不一定能直接完成盗刷。可是，这时候如果再加上验证码这一根稻草，整个流程就能彻底“顺畅”起来。

　　那么现在通过验证码进行的诈骗方式都有什么套路呢？

　　一是通过混淆诱骗验证码，完成盗刷。赵宇表示，这种诈骗方式比较老套，但依旧有这种案例存在，比如冒充公检法要求提供验证码；或通过其他花言巧语，比如通过“回复验证码领优惠券”，或通过“你已经订阅某某服务，回复验证码退订”等方式进行骗取验证码。虽然验证码很多是一次性的，但是如果本身其作用是开通一个其他支付渠道如快捷支付，则可能发生多笔盗刷。

　　二是在以上方式的基础上，犯罪分子有时并不满足于只盗刷一次，而是试图通过一个验证码夺得一个手机号的控制权。赵宇介绍说：“所以一些直接实施‘换卡’、‘申请手机副卡’、‘更换绑定手机号’等攻击方式也时有发生。犯罪分子在实施这类诈骗时还经常使用其他诸如伪基站等模式，将自己包装成一个合法的号码。比如移动、联通等官方号码。”

　　第三，既然不法分子是骗取验证码，那么绝对不把验证码发给任何人，是不是就一定不会被盗刷了？并非绝对。赵宇指出，比如，不乏有这样的案例：业务方说，明明发给你验证码了，也验证正确了才转账的。用户说，我没有收到验证码，钱就被刷走了。这很有可能是用户手机遭受木马等不法软件攻击导致的，在手机“中马”的情况下，完全可能发生验证码被拦截，信息被转发，而机主却毫不知情。更有甚者，有犯罪分子知道受害者具体位置时，有可能直接在附近对其验证码进行拦截或者直接使用伪基站进行诈骗。

　　最后，赵宇提醒，验证码的验证都应该在其发起处验证，不应通过其他手段如短信或者微信等手段传输。如果有要求短信回复验证码，不可轻信。

　　提醒：这些诈骗手段要清楚

　　临近春节，诈骗高发。除了上述一些诈骗花样外，其他一些诈骗手段消费者同样要做到心中有数。

　　比如，值得注意的是，对于银行用户来说，目前对于银行卡本身的攻击也时有存在，包括对磁条卡的复制攻击。目前IC卡普及率已经较高，但依旧有相当多磁条银行卡正在使用中。在使用磁条卡进行支付时应警惕可疑操作，比如卡片被拿到多个机器附近刷卡的情况。

　　而二维码诈骗/盗窃同样值得警惕。在移动支付已日渐普及的今天，扫码支付已经非常频繁，通过二维码发生诈骗的案例中，不法分子会尝试诱骗受害者将付款码发送给对方，或者混淆“付款”和“收款”的概念，让受害者以为是在“收款”，实际上却付了钱。

　　赵宇指出，直接“撞库”盗刷也是经常见的一种。在信息黑色产业链中，用户被盗的用户名密码经常会被用于尝试访问其他网站，甚至尝试用于交易。那么如果多个网站公用一个密码，则可能发生一旦一个密码遭到泄露，多个账号被攻破被盗刷的情况。

　　伪造钓鱼网站也是手段之一。这种案例不法分子通常会通过伪造钓鱼网站骗取用户信息，或者直接诱导受害者向错误的账号或者二维码付款，导致用户受骗。

　　在赵宇看来，想要保护好自己的钱包，消费者首先要学会保护自己的信息隐私安全。

　　“作为普通用户，我们要尽量避免让自己的信息进入不法分子的信息黑色产业链中。”赵宇说，总结来说有以下几点：一是避免使用不熟悉的WIFI，部分WIFI看似免费，但会尝试获取用户的信息，甚至尝试植入木马。二是在提供自己个人隐私信息时应提高警惕性，避免被小利诱骗导致泄露，比如不法分子可能会声称产品地址写错了，让重新提供正确的，或者号称产品有问题要赔偿客户，请提供银行卡信息等。三是避免在多个重要程度不同的场景使用同样的用户名密码。

　　作者：高小

责任编辑：韩希宇