“在整個(gè)騙局中���,騙子利用了正當(dāng)?shù)臉I(yè)務(wù)規(guī)則���,外加受害人對(duì)相關(guān)業(yè)務(wù)不熟悉騙取驗(yàn)證碼,行騙手段具有可復(fù)制性�����,但如果運(yùn)營(yíng)商對(duì)業(yè)務(wù)規(guī)則進(jìn)行修改��,加強(qiáng)認(rèn)證,騙子無(wú)法獲取驗(yàn)證碼��,則攻擊就會(huì)失敗������!360天眼實(shí)驗(yàn)室的工作人員告訴記者。
如何才能異地自助換卡�?中國(guó)移動(dòng)北京公司的客服人員告訴記者,辦理人需在網(wǎng)站上申請(qǐng)一張備卡�����,登記郵寄地址后送卡到家�,但地址僅限于北京,外省市不可享受此項(xiàng)服務(wù)�。但據(jù)記者了解,此次事件中�,騙子的IP地址在海南海口���,而且網(wǎng)上申請(qǐng)備卡除需填寫(xiě)申請(qǐng)姓名����、手機(jī)號(hào)、收貨地址外����,依然需要短信驗(yàn)證碼,既然此前許先生并未收到過(guò)申請(qǐng)備卡的短信驗(yàn)證碼��,那騙子的備卡是從哪來(lái)的呢�?
“騙子可能通過(guò)內(nèi)部渠道拿到了備卡,也可能是網(wǎng)購(gòu)渠道的備卡��������!币晃徊辉妇呙臉I(yè)內(nèi)人士告訴《IT時(shí)報(bào)》記者�。據(jù)該人士透露����,在手機(jī)卡未嚴(yán)格執(zhí)行實(shí)名制前,不用本人的身份證也可以領(lǐng)卡��。
記者在淘寶頁(yè)面中輸入“USIM卡”����,出現(xiàn)了浙江移動(dòng)、上海移動(dòng)等地的4G USIM卡����,這些備卡均可用于短信自助換卡,店主告訴記者:“雖是短信換卡的備卡�,異地網(wǎng)上自助換卡也可以試試,但不保證成功�。”
復(fù)盤(pán)二:手機(jī)驗(yàn)證碼可修改網(wǎng)銀密碼
“這是社會(huì)工程學(xué)詐騙的一種��,也是欺騙性攻擊��,利用補(bǔ)卡換卡���,騙子在與許先生做心理上的較量�����,此外���,騙子對(duì)許先生做過(guò)調(diào)查,已經(jīng)掌握了他的銀行卡����、身份證號(hào)、手機(jī)號(hào)���、中國(guó)移動(dòng)網(wǎng)上營(yíng)業(yè)廳的登錄密碼等大量信息�,只缺最關(guān)鍵的一步���,就是短信驗(yàn)證碼������!眹(guó)內(nèi)安全團(tuán)隊(duì)Keen Team成員呂禮勝告訴《IT時(shí)報(bào)》記者����。
短信驗(yàn)證碼有多重要?以登錄支付寶為例�,正常情況下,若有人在用戶(hù)不常用設(shè)備上登錄支付寶�����,用戶(hù)會(huì)收到短信提醒�����。即使不知道登錄密碼��,但已經(jīng)給用戶(hù)換卡成功的騙子���,可以通過(guò)短信驗(yàn)證碼��、證件號(hào)碼來(lái)重置密碼�。
在此次事件中���,因?yàn)橐呀?jīng)擁有許先生的SIM卡���,收到異常登錄短信提醒的是騙子自己,另從許先生的手機(jī)支付寶依然與騙子保持同步登錄狀態(tài)來(lái)看��,騙子并未利用手機(jī)短信驗(yàn)證及其他身份信息重置登錄密碼和支付密碼�����,這也就說(shuō)明�,許先生的支付寶號(hào)及密碼可能早已泄露,被騙子掌握����。
小編推薦閱讀
