• :
  • 卡未离身密码没泄漏,10万存款一夜蒸发-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [毒霸讲堂] 卡未离身密码没泄漏,10万存款一夜蒸发

    [复制链接]

    该用户从未签到

    发表于 2017-1-19 18:32:00 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    本帖最后由 ︷搁ɑ.浅▽ 于 2017-1-19 18:40 编辑

    近日,一个名叫《一夜蒸发的存款》的视频在网络上持续发酵。该视频讲述了一群犯罪分子运用一种新型网络诈骗手段,在不接触受害者的情况下就能窃取受害者钱财。点击查看视频

    9月16日早上七点,丁小姐看见手机上有两条来自银行和手机运营商的短信,发送时间分别是凌晨3:43和4:12。
    1.png


    2.png


    起初她以为是发错了并没有在意,但涉及到银行,保险起见丁小姐还是查了一下自己的账户,谁知道,招商银行卡上10万多元的活期存款在一夜间归零。
    3.png


    丁小姐发现招商银行卡资金被盗后,马上挂失,并拨打了110报警。在警方询问她案情期间,她又收到一条短信,居然是自己浦发银行信用卡被盗刷的信息,消费了近千元。
    5.png


    更令丁小姐恐惧的是,挂失了这两张银行卡之后,并没有摆脱她的资金被劫的命运,在之后的48小时之内,她发现自己名下另外的两张银行卡在自己不知情的情况下,被申请了两笔贷款,总计数万元。

    那么,究竟犯罪分子是如何获取她所有金融身份信息的呢?接下来我们将一步步揭秘!

    第一步:获取受害者手机号和银行登陆密码等信息


    不法分子通过黑客技术对一些安全防护不强的网站进行拖库攻击,或者直接从地下渠道购买来获取大量的用户登录账号信息(主要是手机号,银行卡号,密码,身份证等信息),然后对目标网站(例如银行网银等)进行撞库攻击。

    撞库.png


    拖库、洗库、撞库完整分析图


    但即便侵入到用户的网银,想要通过转账等方式盗取资金,还必须能获取到银行发送给用户注册手机上的验证码。

    第二步:破解受害者的手机服务密码


    现阶段,登陆网上营业厅输入的密码是由6位或8位数字组成。而用户为了便于记忆一般会将密码设置成与其它常用密码一致,或类似于’123456’/’666666’/’888888’/身份证后六位/手机号后六位等。显然基于以上情形,黑客通过撞库操作很容易破解成功。
    6.png


    第三步:开通受害者手机号的短信过滤和保管箱功能

    运营商提供短信过滤功能本是为了顾虑垃圾短信,而保管箱业务是可将所有接收到的短信保存在云端。然而,这两个业务成为了不法分子盗取受害者钱财的关键所在。
    7.png


    开通此业务后,不法分子首先设置过滤关键字不让受害者手机收到验证码短信,然后登入其网银进行转账等,同时,银行发送的验证码短信也会同步到短信保管箱。

    就这样,在账号、密码、验证码同时被盗的情况下,受害者卡里的十万元被瞬间转走,而且犯罪分子还用事主的银行卡贷款了数万元。

    现阶段,针对层出不穷的电信诈骗,银行和运营商不断完善了安全策略,例如:

    1、人民银行2016年9月30日印发了261号文,对非柜面转账加强管理,单日累计金额超过5万元,应当采用数字证书或电子签名等安全可靠的支付指令验证方式。
    2、电信运营商关停通过网上营业厅办理SIM卡补换业务,补换卡必须本人到线下营业厅办理。

    3、电信运营商下线短信过滤和短信保管箱增值套餐,但部分省份(例如河南)的网上营业厅还能继续购买此类套餐。

    4、登录各金融机构和电信运营商网上营业厅时都会短信通知用户,但不法分子往往在凌晨以后采取行动,故短息无法及时被受害者看到。

    5、银行关闭信用卡取现或贷款可转非本人账户功能。


    目前,手机号本来是作为通信网络中用户的身份标识,但目前所有的金融机构或者各大小网站都拿手机号做登录场景和支付场景中的身份认证了。这样导致电信运营商,金融机构,各网站平台等任何一个环节的安全体系和业务逻辑出现问题都会引起连锁反应并把风险转嫁给用户,所以一场需要广大用户参与的信息安全保卫战将持续进行,我们要时刻保持警惕并增强自身的安全意思:

    1、分级设置密码,与网银和支付有关的账户密码一定要单独设置并要设置足够复杂;

    2、定期安全自查,定期检查手机是否订购了奇怪的增值业务,网银中是否有添加来历不明的银行卡等;

    3、转账设置每次和每日限额,不论是网银、还是第三方支付平台,开通之后,务必开设转账或取款限额,超出限额使用Ukey支付或其他更加严格的安全机制;

    4、一旦发现手机非本人操作开通新业务时,及时联系营业厅进行处理;

    5、一旦发现手机不能用,立即将银行卡挂失;

    6、不随意点击短信中的下载链接,不安装未知软件。手机里安装杀软,如猎豹安全大师,防止因中毒导致的钱财损失。

    点击下载猎豹安全大师


    使用道具 举报 回复
    目前,手机号本来是作为通信网络中用户的身份标识,但目前所有的金融机构或者大小网站都拿手机号做登录场景和支付场景中的身份认证了。这样导致电信运营商,金融机构,各网站平台等任何一个环节的安全体系和业务逻辑出现问题都会引起连锁反应并把风险转嫁给用户
    使用道具 举报 回复 支持 反对
    加大打击力度,使用iii类账户,建议不要办理任何信用卡,有信用卡的相关密码应复杂化。各大论坛社交应设置不同的密码
    使用道具 举报 回复 支持 反对
    一定要掌握防骗技巧啊
    使用道具 举报 回复 支持 反对
    提高安全防范意识 很有必要
    使用道具 举报 回复 支持 反对
    现代的黑客型抢劫啊!
    使用道具 举报 回复 支持 反对
    一定要掌握防骗技巧啊
    使用道具 举报 回复 支持 反对
    信息安全必须大力保护

    点评

    裸奔时代……  发表于 2017-1-22 09:06
    使用道具 举报 回复 支持 反对
    存银行也不靠谱了  贼现在都学会用高科技
    使用道具 举报 回复 支持 反对
    不法分子是如何获取受害者个人信息的:通过黑客技术对一些安全防护不强的网站进行拖库攻击,或者直接从地下渠道购买来获取大量的用户登录账号信息(主要是手机号,银行卡号,密码,身份证等信息),然后对目标网站(例如银行网银等)进行撞库攻击。
    使用道具 举报 回复 支持 反对
    用户为便于记忆,常常会将密码设置成与其它常用密码一致,或类似于’123456’/’666666’/’888888’/身份证后六位/手机号后六位等。基于以上情形,黑客通过撞库操作很容易破解成功。
    使用道具 举报 回复 支持 反对
    安全问题需重视      
    使用道具 举报 回复 支持 反对

    用户为便于记忆,常常会将密码设置成与其它常用密码一致,或类似于’123456’/’666666’/’888888’/身份证后六位/手机号后六位等。基于以上情形,
    使用道具 举报 回复 支持 反对
    密码强度必须有        
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则