回复“退订短信”银行卡被盗

　　本周，一起蹊跷的网银被盗案引起业内高度关注。受害人在地铁莫名其妙地收到几条短信，回复退订验证码之后，自己的手机卡立刻失效。随后，受害人支付宝、银行卡被洗劫一空。

　　有专家建议，一方面应加强用户重视短信验证码保管的教育宣传，另一方面，运营商中国移动也应该加强换卡业务的漏洞防范。

　　日前，网友许先生爆料称，他在回家的地铁上收到了一条号码源为1065800的短信，短信内容为某财经杂志的手机报。由于并无阅读该杂志手机报的需求，许先生随手回复了一条含验证码的退订短信，没想到之后手机就没信号了，支付宝和银行卡上的钱也随之失窃。

　　退订短信后手机被换卡

　　据猎豹移动安全专家分析，在这个案例中，黑客在很短时间内完成网银盗窃，事先应该做了精心准备。首先，黑客通过黑色产业链流传的各种数据库精心筛选了作案目标，在正式动手前，诈骗者已经掌握受害人的手机号、手机营业厅服务密码、支付宝账号、银行卡号、身份证号等信息。

　　虽然个人信息泄露并不能直接导致网银被盗，但网银、手机银行、第三方支付、网购平台，这些业务都严重依赖手机短信验证码来验证用户身份。当手机卡被其他人补办，灾难就来了。

　　在这个案例中，黑客通过网上营业厅，为受害者申请4G自助换卡;接到申请后，系统向受害者下发换卡二次确认验证码。

　　这时，受害者手机上就会收到一条包含验证码的短信，如果受害者将这6位验证码交给别人，结果就是受害者手机卡立刻失效，而黑客在另一个城市，会拿新的空白手机卡换掉用户手中正在使用的手机SIM卡。受害人会突然发现手机没信号了，SIM卡换到其他手机也一样没信号，因为这张卡已经作废，当然不会有信号。

　　就手机诈骗事件，中国移动表示，来源不明、自己不知情的验证码千万不要提供给别人，尤其是不能发给陌生号码。一旦不法分子获知了验证码，后果将不堪设想。

　　换卡业务管理亟待加强

　　业内人士称，这也暴露出运营商的管理漏洞。有专家说，尽管中国移动的自助换卡采取一些很严格的限制措施，比如一定要实名、只能本人申请以及需要较长时间等等，但是还是被骗子通过运营商的管理漏洞绕过了。

　　不少用户也认为，中国移动发送的换卡短信内容过于简单，无法理解这条短信意味着什么重要后果。用户并不清楚，一旦遭遇“补卡”攻击，手机卡被其他人补办后，由于所有与支付有关的业务，用来验证身份的短信都在诈骗者手里，用户的支付宝、银行卡被盗就成为必然。

　　业内人士建议中国移动加以防范异地IP登录办理关键业务，应该由客服主动打电话联系用户确认。因为换卡这种业务，异地登录的诈骗嫌疑较大。

　　链接：三招防范“补卡”攻击

　　1. 验证码别给任何人，除非是自己在做转账、消费等操作。

　　2. 如果发现自己被定制了业务，打10086客服退订，不要在手机上操作你不熟悉的业务。

　　3.当你发现手机突然没信号，而周围其他人手机都正常。请注意，你的手机卡可能被别人补办了。你要做的是，立刻借手机联系银行冻结银行卡。或者，通过WiFi上网，登录手机银行客户端，冻结银行卡。联系支付宝、微信，冻结账号。

　　案例

　　用户“退订短信”失财

　　1.网上营业厅为受害者订制增值业务

　　黑客以各种手段获得了受害者登录网上营业厅的“网站密码”;通过运营商网上营业厅，为受害者订制增值业务;

　　2.申请换卡并骗取受害者验证码

　　黑客通过网上营业厅，为受害者申请4G自助换卡;接到申请后，系统向受害者下发换卡二次确认验证码;黑客利用139邮箱的短信功能伪装，向受害者骗取验证码;

　　3.换卡成功，受害者原手机“瘫痪”

　　受害者试图退订增值业务，按黑客指示将验证码发给了黑客;黑客远程完成换卡;

　　4.黑客重置邮箱密码和支付宝密码

　　黑客利用手机号登陆受害者支付宝，通过找回密码功能，获得受害者的邮箱地址。黑客利用手机号，重置了受害者的邮箱密码;黑客登录受害者的邮箱，下载数字证书，并重置了受害者的支付宝密码;

　　5.将支付宝和银行资金洗劫一空

　　黑客将受害者的支付宝资金进行转移，并通过支付宝关联，洗劫了受害者的银行资金。