银行卡余额“不翼而飞”?警惕“撞库”诈骗
如果你银行卡里的存款余额一夜之间被“搬空”,那失窃的不止是存款,还有你的手机银行、手机掌上营业厅甚至其他常用网站所有的登录用户名和密码。是的,你被“撞库”了。这并不是《谍影重重》、《007》等系列电影中的桥段,恰恰就发生在我们每个人的真实生活里。
银行卡里的钱不翼而飞
近日,上海某白领张小姐银行卡内10万余额一夜之间归零,另一位国企高管也被瞬间转走28万元,警方在侦查中发现,余额被转走的主要原因,是因为此二人的银行卡和手机运营商处的账号密码双双被“撞库”。
其实,早前,“撞库”技术就已出现。今年三月,马鞍山市的赵小姐发现银行账户内的10万元钱被人莫名分三次转走,并且有人用她的信用卡申请了7万元的小额贷款,令人不解的是,赵小姐的手机并未中木马病毒,为何钱还会不翼而飞?警方经过调查发现,犯罪分子用了“撞库”的手法窃取了用户密码。何为“撞库”?直观的说就是犯罪分子用电脑软件自动运行不断尝试“撞大运”来获取密码。
“撞库”电信诈骗
“撞库”,是指拿互联网上已经泄露的账号和密码,批量尝试登录另一个网站,验证后登陆账户并进行各类违法犯罪活动,最严重的当数盗取银行账户密码并进行转账,在持卡人毫不知情的情况下造成惨重的损失。
第一步,犯罪分子从网上购买含有大量用户名及密码的网上银行登录数据,然后导入非法撞库软件后,通过运行上述软件,对银行数据库实施“撞库”,即尝试用黑客破解的账号密码登录网银。
登陆网银后,想要转账成功,还需要成功输入短信验证码。因此第二步便是再次通过“撞库”成功登录手机网上营业厅。随后,假借持卡人的名义开通短信过滤和短信保管,并关掉相关的业务通知功能。这样的话,不但持卡人收不到银行短信提示,动态验证码也被犯罪分子在电脑端轻松获取了。
在警方的提示下,手机运营商目前已关闭了有漏洞的短信过滤和保管功能。
然而,犯罪分子立即升级了诈骗手段——换卡。利用网上营业厅4G换卡的功能,接收持卡人的手机短信验证码,以及各种网站的动态验证码。
犯罪分子利用受害者的手机号和密码登录营业厅,并以其名义申请升级更换4G卡业务。当营业厅无法识别是否是本人申请时,只要在填写随机动态验证码后,即可以跳过身份验证环节,还可以把卡快递到犯罪分子填写的地址。
至此,新卡在持卡人毫不知情的情况下就会被寄到不法分子的手上,当新卡一旦被激活,真正的持卡人手上的这张卡就自动失效,各种动态验证码都会被犯罪分子所接收。最终,持卡人卡中的余额便会“不翼而飞”。
使用相同密码造成撞库频发
除了盗取银行卡和手机卡的账户密码,“撞库”适用于所有网络客户端的账号密码盗取。而用户为了方便记忆,习惯于在各种场合设置相同的密码,为“撞库”提供了极大的便利。
征信业内人士表示,现在很多用户会把自己的银行卡、手机网银、手机网上营业厅的密码和自己常用的其他网站论坛登录密码设成一样的,这也大大降低了犯罪分子“撞库”的难度,还提高了他们的成功率。
据腾讯发布的《2016移动支付网络黑色产业链研究报告》显示,目前手机用户往往都拥有多个网络帐号,有7成以上用户所有帐号都使用同样的用户名与密码,65%的用户很少更换密码,仅有不足20%的用户会定期更换密码。一旦不法分子盗取一组帐号信息,就很有可能成功盗用该用户的其他帐号,包括移动支付账号。
如何防范“撞库”的诈骗手法
对于用户来说,就是不要怕麻烦,在不同类别的账户设置不同的密码,特别是网银密码要设置复杂一些;在多个网站和APP,特别是安全等级不高的网站注册账号时,尽量不要采用相同的密码;定期更换自己常用的银行卡和网银的密码;设置网银、手机银行单日转账额度上限;手机及电脑端进行转账时要安装正规支付平台的支付安全防护软件。
对于金融机构来说,则可使用大数据风控技术多维度认证用户身份,比如定位信息、设备指纹、行为规律等。根据不同的应用场景,建立分层次、多维度的身份识别体系,从而精准地实现客户身份识别和认证。