据中国之声《新闻纵横》报道,以往,我们谈到网络盗窃时,多数与钓鱼网站和拦截手机短信的病毒有关。现在,有一种新骗术,不需要钓鱼网站攻击,也不需要使用病毒拦截你的短信,而只需要你被动收到一条开通“短信保管箱业务”的短信。
近日,多位网友反映,自己的手机、银行卡、U盾都在身边,但是储蓄卡里的钱,却莫名其妙的被转走。原因是自己使用的中国移动的号码突然被开通“短信保管箱业务”,而如果这个手机号绑定了工商银行的储蓄卡,那么会同时被开通工商银行“e支付”,随后,卡上的钱被转走。这两个业务为什么会联系在一起?漏洞出现在哪个环节?
如今,回忆起银行卡被盗刷的事情,北京的张小姐依然觉得发生得太突然:
张小姐:7月7号早上6点多的时候收到一个短信,是10086发的,说我开通了一个移动短信保管箱的服务,还好那天我手机声音开得大,听见了,我还说这是什么东西,特别纳闷呢,结果就收到了狂轰乱炸一堆网站的注册验证码,后来我就想谁拿我手机号(注册),我以为是恶作剧之类的,我也没马上打10086的电话,我就说谁那么讨厌,因为迷迷瞪瞪还睡觉呢,后来就收到95588发来的短信,说我开通e支付有个验证码,因为绑定的是我的手机号嘛,我也不知道这是个什么业务。
就在几分钟后,张小姐的手机陆续收到两条来自工商银行客服95588的短信,显示她卡上的钱被转走。
相比起来,梁先生的经历更加曲折。早在7月1号,他的手机就突然收到了一条来自中国移动客服10086发来的短信:
梁先生:晚上10点,收到一条短信说:“您已经开通了短信保管箱业务,72小时退订免费”,我给10086打了一个电话,我说我怎么会订这个?10086说因为是7月1号,他们月初查不了,但是他可以操作给我退掉,我说那您给我退掉吧,我也收到了退掉的短信,过了两三分钟以后,我又收到了一条短信,上面写,您已经申请开通短信保管箱业务,即将扣费。
梁先生再次联系10086,第二天上午中国移动退还了这项业务所扣费用。令他没有想到的是2015年7月6号,他的手机再次被开通了这项所谓的短信保管箱业务,就在这一次,他一张工行芯片卡上的钱被转走了。
梁先生:7月6号晚上,我手机一下收到了大约十条注册各种网站的验证码,当我在查的时候又来了一条,实际上是混在这十条里面,有一条:您已开通了短信保管箱,是10086发给我的。我当时就很紧张了,我赶紧给10086打电话,接通以后我的手机又响了,是95588也就是工商银行给我发来的短信,说我的那个芯片卡正在进行转账,金额是9990。同时也是10086客服接着电话呢嘛,我就跟他说我的银行卡正在被盗刷,可能是你们这个短信保管箱业务,因为刚刚被开通了,你现在立即把我的短信保管箱业务给关掉。
梁先生同时还关闭了移动梦网,但十分钟后,他的手机再次被订购短信保管箱业务,同时银行卡再次被转账2000。梁先生这才意识到要求10086关闭相关业务并不能彻底解决盗刷,于是他赶紧让家人挂失银行卡,并准备第二天把对账单打印出来后,到派出所报警。
然而,几个小时后7月7号凌晨,他的手机再次接到10086的短信,提示“开通了短信保管箱业务”,而另一张预留了同样移动号码的工行磁条卡,也被转账2000元:
梁先生:我赶紧打电话,又把磁条卡又挂失了,在挂失的过程中,我的芯片卡依然在接受转账申请,但是实际上它没有转出去。
盗刷事件发生之后,梁先生开始在微博上更新维权日记,截至目前,已经被转载500多次。他说,在把自己的事情发布到网络上之后,陆续有20多个绑定移动号码的工商银行用户,与梁先生联系,表示自己经历了相同事件。那么,中国移动的短信保管箱业务和工商银行的e支付,究竟是什么业务,它们怎么和盗刷联系到一起?
根据中国移动的官方介绍,短信保管箱,是北京移动自有数据业务产品,可以自动将用户发送、接收的短信同步备份存储到云端。10086客服人员说:
10086:您定制这个业务以后,系统会自动的将您发送的短信和接收的短信同步备份一下,存储起来,然后您通过指定的网站进行查询还有管理,就是查询这个短信的内容。
而工商银行的“e”支付,正是一项基于短信验证码的快捷支付功能,工商银行95588客服人员:
工商银行95588:e支付是快捷的支付业务,额度每天是1万块钱,它是通过短信接收动态验证码完成付款的,这是咱们工行自己的快捷支付业务,您付款的时候选择e支付了,把卡号后六位和预留手机号填好,它会给您发短信,上面有动态验证码,输入动态验证码,就完成付款了。
也就是说,如果工商银行卡预留的手机号是北京的移动号码,那么同时开通这两项业务,其他人就可以通过短信保险箱业务所备份的网站,看到“e”支付的短信验证码,输入卡号和验证码之后,就可以直接操作转账。
95588客服:因为它是绑定的预留手机号,您平常的话,也注意一下手机号、手机不要他人使用这种情况,因为这个是通过手机接收验证码的。
记者:如果他能及时的看到我的短信的话,实际上就不是那么安全了。
95588客服:对,所以平时您要注意,因为它是快捷类的支付方式,要比其他的支付方式比如U盾要简单。
张小姐在自己的卡被盗刷之后,立刻用自己手机上的工行和10086客户端,查询了这两个业务,得出了类似的分析:
张小姐:后来我才发现这个短信保管箱能直接从网页看到我收到的所有短信,当时我就想肯定我的支付验证码被泄漏了。
7月7号张小姐前往开户行所在的派出所报案,第二天,她又赶到开户行工行光华路支行反映情况,但至今没有实质性进展,工商银行光华路支行一位工作人员说:
工商银行:收款人是谁谁谁我们都查到了。
记者:那查这个收款人不就行了吗?
工商银行:我们工行就不能查这方面……我们要查客户信息就必要公检法出示查询函,他们过来人,我们才可以查,它这个手续就是这样,为客户保密。我认为就是还是找公安局这边,尽量能破了这个案子,我们能协助公安局这块儿。
而张小姐报案的派出所民警说,这事也不是一天两天就能解决的:
民警:凡是这些被盗刷的网上这些相关的,破案不可能那么快,它不可能像真人一样,网上盗刷是不是银行让你来报警?银行好多为了推脱自己不赔,好多是这样,先让警察查,只要是网络的东西它都不是实警的,不是一会儿半会儿就破的,它有时候人在美国,主机在新加坡,操作的人没准在台湾,你说你怎么办?
目前北京移动已经暂停了短信保管箱的短信查询功能,但是对于已经被盗刷的客户,移动和工行,究竟该不该负责?中国之声将继续关注。