近年来,银行卡被盗刷的相关报道,时见报端。据报道,海南三亚警方破获了这样一起新型银行卡盗刷案件,一位女士在家什么都没做,一觉醒来,却发现自己的银行卡已经被洗劫一空。
2019年7月4日凌晨3点多,海南省三亚市宋女士的手机上突然收到了几条短信验证码,不一会儿手机又接到短信,显示她的银行卡被刷走了5万元。
奇怪的是,整个过程,宋女士没有和盗刷银行卡的人有过任何的沟通、接触,也无法提供盗刷银行卡的人的任何信息。
经三亚警方调查,这笔钱从通联支付底下一个第四方公司,叫广州冠胜,有一个代付业务,发起了一个收款请求。最后,这笔钱从广东惠州一家银行的自动取款机上被取走,警方很快锁定了犯罪嫌疑人,在广东惠州将其抓获,宋女士的5万元钱被全部追回。
但有一个疑问却一直无法破解。以前的一些案例,不法分子掌握了受害人的个人信息后,会设法获取受害人的银行卡密码进行转款。而本案受害人宋女士的钱被转走是因为与动态验证码被截获有关,这个似乎更安全的动态验证码不法分子是怎么获取的呢?
据了解,犯罪分子在被害人居住的范围之内,嗅取了被害人宋女士的动态支付验证码,嗅取到以后他将动态验证码发给洗钱通道,就将这个钱给支付出来了。
犯罪嫌疑人顾某某说:“用摩托罗拉118的手机,通过一番改造,把它变成一个接收的天线,再配合上特定的优盘系统,在电脑打开之后,就可以模仿基站的信号,拦截相当于嗅取探测到周围手机短信。一个手机15块钱,相当于一个简单的拼接过程。”
虽然现在我们早已进入4G时代,有的地方甚至已经用上了5G,但在一些4G信号不好的地方,手机会切换到2G网络。
另外,一些犯罪嫌疑人利用信号干扰设备,专门对一定范围的手机信号进行干扰,这时这些用户的手机信号也会突然变成2G信号。这些犯罪嫌疑人就会利用2G网络存在的漏洞,用嗅探设备吸附到周围一定范围之内的手机信号。吸附成功后,受害人的手机号码和短信会自动显示在犯罪嫌疑人的电脑上,受害人不会有任何察觉,悄无声息中就变成了犯罪嫌疑人的猎物。
要想将受害人银行卡上的钱转走,犯罪嫌疑人必须同时获得该用户的姓名、身份证号、银行卡号、手机号、动态验证码。这5个条件就像5把钥匙,一般情况下犯罪分子很难获得,但因为有了受害人的手机号码并能够实时截取动态验证码,犯罪嫌疑人就如同拿到了一把“万能钥匙”,他们会通过网络来获得其他几把钥匙。
最关键的是支付环节,不少App往往都会对用户的银行卡号刻意隐去几位,那么犯罪嫌疑人又是怎么获得完整的银行卡号呢?
顾某某说:“可以通过充值,我随便点一个充值的方式,立即充值和付款方式,可以看见你所有的卡。我知道你有建设银行的,我就可以去跑你的卡,就脚本跑你的卡,像招商银行的和工商银行,我直接通过别的App就直接获取了。你也不用惊讶,这也不是我发明、创造的,就是这么一种操作的方式。”
犯罪嫌疑人获得了受害人的姓名、身份证号、手机号、动态验证码、银行卡号这些信息之后,还会挑选作案对象,查验用户是否有作案价值。
确定了有价值的用户之后,犯罪嫌疑人会再次利用受害人的手机号码加动态验证码,使用免密支付的方式将受害人的钱转移出去。
此时,受害人什么都没有操作,手机上会收到一堆验证码,之后银行卡上的钱就被转走了。这个案件当中,犯罪嫌疑人使用的嗅探设备十分廉价,嗅探技术也不是什么高深的技术,为什么却能屡屡得手呢?
顾某某说:“你在一些App上面去实名注册信息,很多时候是图方便,当你忘记密码的时候,就可以通过短信验证码去登录,这个时候你会感觉到很方便,同时也方便了我们这些犯罪分子去盗取你的个人信息,通过验证码登录,方便了你,也方便了我。”
犯罪嫌疑人称,最好的办法,打个比方,你如果说要绑定第三方平台银行卡,尽量不要放太多资金。