银行卡在自己手里,密码也没有泄漏,卡里的钱却没有了。近日,不少人的银行卡遭遇莫名盗刷,损失金额巨大,少则几千元上万元,多则数十万元,甚至有人被骗上百万元。央视《走近科学》节目对此事进行了报道,邀请360手机安全专家对这一最新骗局进行解密。
据了解,案发之前,所有受害人都收到了一条奇怪的短信,短信显示来自95559,也就是中国建设银行的官方号码。短信内容声称手机网银需要尽快升级,如果不升级,24小时后就不能正常使用,并附有一个升级网站的链接。打开后,这个网站和普通的网上银行看上去也并没有明显区别,可当受害人根据网页提示,一步步操作完成后,却收到了银行的转账短信。
图1:360安全大数据显示伪基站每天发送的短信多如牛毛
这条奇怪的短信究竟隐藏着什么猫腻?犹如迷魂阵一样的陷阱背后,能否找到幕后操控人?360手机安全专家万仁国表示,这条奇怪的短信其实并不来自真正的银行,而是不法分子控制的伪基站。伪基站,也就是假基站,它通过伪装成运营商的基站,可以任意冒用他人号码,无论是银行提示短信,还是支付宝信息等,都有可能被假冒。
360网络安全工程师裴智勇介绍:“网络诈骗分子通常文化水平不高,仅仅是懂一些计算机皮毛知识,他们首先会雇佣一些伪基站的人员强行向用户手机发送诈骗、广告推销等短信。伪基站的设备大小和一个电脑差不多,通常被装在车上,开着车到处跑,车开到哪儿,短信就发到哪儿。”
360安全大数据显示,仅仅在2014年的4月到6月,我国的伪基站就发送了多达12.38亿条短信,其中,仅北京地区,就超过2亿条发送量,排名全国第二。也就是说,每一天就有1360万条的伪基站信息向我们袭来。
伪基站发送的诈骗短信通常打着银行升级、积分兑换等名义诱骗受害人上当。一旦有人上钩,点击了短信中的网站链接,就会掉进不法分子布置的第二个陷阱——钓鱼网站。该网站后台由不法分子掌握,无论我们在前台输入什么信息,包括姓名、银行卡卡号、密码、身份证号等个人信息,钓鱼网站的后台都可以看得一清二楚。
北京警方介绍,现在很多银行都有无卡预约取款业务,当事人只要输入卡号,短信密码及验证码,就能成功预约取款。不法分子通过钓鱼网站获取受害人的银行卡号和密码后,会立即在真正的银行网站上进行预约无卡取款,在预约过程中,网站会自动发出一个验证码到受害人手机上,而犯罪分子设计的钓鱼网站上,也正好需要输入这个验证码。
由于人们输入验证码时,普遍不会太关注短信内容,而将焦点全部集中在验证码本身上,因此,不法分子也可以轻易获得验证码,随后就会在网上银行办理预约取款。最后,凭借预约码和失主的取款密码,就能到ATM直接取现了。
图2:360手机卫士可以帮助鉴别和拦截诈骗短信及电话
网络诈骗伪装手段越来越多,手机用户防不胜防。对此,360手机安全专家建议,收到中奖、兑奖、银行卡升级等不明短信不要轻信,短信中的链接不要轻易点击,一定要安装360手机卫士等安全软件,帮助鉴别和拦截诈骗短信,避免财产损失。