科技

一条短信盗走积蓄 谁来为被盗刷“埋单”?



个人信息泄露 一条短信盗走积蓄

银行卡、支付宝和百度钱包中的资金悉数被盗;

利用“个人信息+USIM卡+发送短信”作案

 

 128912290_14611085443751n.jpg


在回复了一条短信后,一夜之间,许先生的积蓄几乎全部被人转走。银行卡、支付宝和百度钱包的钱在几个小时内被骗子轻易转出去,自己眼睁睁看着,却无能为力。

网络安全专家分析,根据许先生提供的信息,骗子在实施诈骗前已经获取了受害人的银行卡号、身份证号、姓名、手机号等个人信息。只需要获得验证码即可实施盗窃。

据新京报记者采访获悉,在买卖身份证、银行卡、手机号等个人信息的“黑市”中,在QQ上3-5毛钱就可以买到一条。网络安全专家表示,不法分子获取个人信息主要的途径包括无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和新型黑客技术窃取等。

 

【事件】

将验证码回复过去 几小时内钱被盗

北京的许先生因根据提示回复了一条短信,几个小时内积蓄几乎被悉数盗走,涉及三张银行卡及支付宝、百度钱包。

一周来北京市的许先生过得很糟心,一直在为自己被盗的积蓄奔波。许先生告诉新京报记者,自己一直在创业,好不容易有了点积蓄,却在几个小时内几乎被悉数盗走。涉及三张银行卡,以及支付宝和百度钱包。事情的起因是自己根据提示回复了一条短信。

4月8日,许先生在下班回家的地铁上收到一条10086的短信,提示他手机开通了一项名为“中广财经半年包”的业务;接着又收到一条“10658+手机号”发来的短信,称回复“取消+校验码”可退订业务;与此同时,许先生收到10086发来的“USIM卡6位验证码”。正想退订业务的许先生就根据提示将验证码发送过去。之后“灾难”就开始了。

半个小时后,许先生的手机无法上网和通话,此时他还以为是中国移动开通业务后导致手机停机;不过一个小时后,许先生发现事情并非如同他的猜测,自己的支付宝开始向绑定的银行卡转账,而银行卡的网银密码也被修改了,他本人无法登录。除了用支付宝转账外,他的百度钱包也被人绑定关联了银行卡,参与了转账。最终许先生银行卡和支付宝里的钱都被转走了。

在此期间,许先生采取了不少措施,比如尝试将钱转到其他的银行卡上,解除银行卡与支付宝的绑定等,但都没能挽回损失。许先生说:“我是同一时间在和TA抢钱,而最后,我啥也没抢回来。”


_ueditor_page_break_tag_


【探因】

被盗刷前银行卡身份证等信息已泄露

网络安全专家表示,这是一起典型的综合利用“个人信息+USIM卡+改号软件发送诈骗短信”的案件。

许先生的钱究竟是如何被盗走的呢?新京报记者就此采访了360互联网安全中心网络安全专家刘洋,刘洋表示,按照许先生的描述,这是一起典型的综合利用“个人信息+USIM卡+改号软件发送诈骗短信”的案件。

“根据已有的信息判断,在实施诈骗之前,骗子掌握了大量受害者的个人信息,包括姓名、手机号、身份证号、网银账户和密码,银行预留的验证手机号。”刘洋说,在这种情况下,骗子只需要得到许先生的短信验证码,即可进行转账操作。于是,骗子选择利用移动的USIM补换卡业务,直接窃取用户手机卡,并由此可以掌握该用户的全部手机短信,包括转账必需的“验证码短信”内容。

根据刘洋的解释,骗子先获取了许先生移动网上营业厅账号密码,给许先生订购手机报增值业务,以便干扰他的判断,认为被强制订购业务;实际上,这时骗子通过网上营业厅办理USIM换补卡业务,使得许先生收到中国移动发送的短信验证码;骗子再利用改号软件定向给许先生发送短信,提示他退订增值业务需回复短信“取消+验证码”,诱骗许先生把“USIM卡补换卡验证码”当成“取消订购业务验证码”发送过去,交给骗子。

办理USIM卡补换卡业务后,原手机上的卡就不能用了,骗子利用了这个漏洞窃取了许先生的手机号,在具备许先生的个人信息后,骗子可以轻易获取任何转账支付需要的验证码,进行支付宝、网银等转账支付。

新京报记者4月18日登录移动官网查看发现,移动这项业务已进行了安全机制上的更新,用户如果没有申请备卡就不能办理该业务。而且移动会提醒:即将在中国移动北京公司办理补卡。

据上述涉事银行内部人士分析,该客户身份信息、银行卡号、网银登录密码、手机号均泄露,特别是手机号及手机接收到的信息被犯罪分子控制。客户在支付机构通过“姓名、银行卡号、证件类型和证件号、手机号、手机验证码”绑定银行卡,支付过程中,验证客户在支付机构设置的密码。

上述银行人士表示,在与支付机构合作快捷支付业务中,银行一般会建立相应的风控机制,例如客户签约的手机号码应在银行柜面或通过网银U盾验证,以防不法分子利用。同时,对支付机构的快捷业务设置了相应限额,分为单笔累计、日累计和月累计,如出现资金盗刷,可降低被盗资金额度风险。后续,该行将与客户一起尽快解决问题,减少客户损失。提示广大客户,妥善保护好个人信息,防止个人信息泄露。


_ueditor_page_break_tag_


【调查】

个人信息“黑市”交易3毛一条

目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。

个人信息被当成商品在“黑市”交易已不是秘密。

新京报记者通过调查发现,网上有不少出售个人信息的QQ群,在一个名为“出售个人信息数据”的QQ群里,不少人在群里咨询“求购车主信息”“有没有身份证银行卡加密码信息”……

新京报记者以需要个人信息的名义联系名为“客服3”的管理员,在提供从城市、具体要求之后,该管理员发来一份“样例”,并声称资料靠谱。

据其描述,不同要求的资料价格也不同。其中只有姓名、身份证号、手机号等信息的话,一手资料2元/条,二手资料0.3元/条。“银行的贵,带密不做,风险高。”该管理员称,一般加上银行卡号后,一手信息会升到一条5元,二手信息也升到0.5元一条。

此后,记者又试图添加其他QQ群,大部分都没有审核通过。其中有一位自称“网络大咖”的出售人员表示,“1万数据2800元,服务器提取一手数据”,并称统一先收费再操作。当记者询问能否提供“试用”,遭到对方的拒绝。

“目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。”刘洋说。

据刘洋介绍,无良商家倒卖主要是某些掌握大量用户个人信息的商业机构由于管理不善,内部员工盗卖用户个人信息的事件时有发生;木马病毒窃取个人信息主要是针对上网账号,统计显示,超过一半的流行木马病毒与网络盗号相关。而且盗号木马主要针对的用户的游戏账号、社交账号、网银账号和其他支付账号;二手手机泄密是指用户出售自己二手手机时,即便将通讯录、短信、通话记录等信息全部删除,但如果没有对手机中存储的信息进行彻底的销毁,则有可能被不法分子恶意恢复数据并用于不法目的。

2015年,关于网站被拖库、撞库的新闻时常见诸各类媒体。在网站数据窃取方面,刘洋表示,统计显示,仅补天平台在2015年收录了可造成个人信息泄露的漏洞就多达1410个,涉及网站1282个,可导致泄露的个人信息量高达55.3亿条,这一数字较2014年的23.6亿条翻了一倍多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民至少可能泄露了8条以上的个人信息。

除此之外,还有新型“黑客”技术窃取,刘洋介绍,目前一些新型的黑客攻击技术也在被越来越多地用于窃取消费者个人信息。比如伪基站可以伪装成任意号码向用户发送诈骗短信,并诱骗手机用户登录钓鱼网站;钓鱼WiFi则可以直接监听接入该WiFi网络用户的所有上网行为。


_ueditor_page_break_tag_


【追问】

谁来为被盗刷“埋单”?

支付宝“先行赔付”许先生一万多元损失,百度钱包承诺赔付,北京移动称业务流程办理正常,涉事银行称客户“泄密”导致资金受损。

“事情发生后,都不知道该找谁负责。”许先生说,他先后找了移动、银行、支付宝和百度钱包,支付宝和百度钱包答应赔偿部分损失。移动和各家银行都没有赔偿的说法。

北京移动10086热线4月12日在微博上公布了调查结果称,4月8日17时54分,有人用许先生的手机号码和他自设的密码登录了北京移动官方网站,经网站弹屏二次确认后,办理“中广财经半年包”业务,IP地址显示登录地点在海南海口;18时13分,有人用同样的方式登录该网站办理了更换4G USIM卡业务,系统向客户本机下发换卡二次确认验证码,也就是6位USIM验证码,该密码被输入后,换卡成功。北京移动称,以上业务流程办理正常。

另外,4月18日后,中移动的USIM卡换卡业务已进行了安全机制上的更新,用户如果没有申请备卡就不能办理该业务。

支付宝相关负责人向新京报记者表示,已经在4月11日中午赔付当事人一万多元损失。“按理来说只能赔偿在支付宝平台上损失的资金,这个用户的很多资金是通过银行卡转调的。”据该负责人介绍,因为案例比较特殊,当事人也比较紧张,所以就走了特殊的先行赔付流程。

在当事人的描述中,其手机号码出现问题后,支付宝就发生了非本人的转账操作。而据上述负责人介绍,支付宝要是忘记密码后进行密码更改,至少需要两重验证,包括“手机+身份证”及“身份证+安全问题”。但她同时表示,该案例的特殊性在于,当事人的手机卡被人用几条短信就复制并掌握,同时当事人本身的身份证号、银行卡号,甚至交易密码都可能泄露了。

百度钱包的相关负责人也向新京报记者表示,在全程跟进该事件,并已经请用户提供相关材料,承诺赔付。“之前的问题在于回复了短信导致他的个人信息被盗,然后有人在我们平台上进行一系列动作。”该负责人表示,要是身份信息被别人拿走的话,这些操作都是可做的,不管在哪个支付平台。

新京报记者也就此事采访了上述三家涉事银行。对于许先生所称的期间“网银根本登不上”,其中一家银行相关负责人表示:“通过该客户的描述,推断客户可能已泄露包括银行卡密码在内的相关信息。”据银行方面介绍,客户转账时需验证银行卡卡号、取款密码和短信验证码等多个要素均正确后才可转账成功。

“该客户的网上银行转账功能在此之前已由本人开通,后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称,已回电客户,目前资金实时转出银行确实无法进一步处理,关于资金问题还需客户催促警方尽快侦破案件,银行会全力配合警方处理。


_ueditor_page_break_tag_


分析

“经营者若有安全漏洞须承担一定责任”

刘洋表示,就目前掌握的情况初步推断,之前运营商存在备卡激活太简单的问题,只要登录营业厅,就可以如描述中办理了,目前运营商已经升级了安全的防护,说明对此前这个短板进行了填补。

刘洋认为,目前第三方支付和银行,无论是修改密码和转账,都需要短信验证码,此案中嫌疑人已经有了受害者手机号,接收验证码等于完全没有问题,因此容易“作案”。如果更严格,比如必须网银“U盾”登录、转账等,用户在使用上可能会觉得不方便。建议利用大数据加入一些更加隐秘的验证方式,比如在新登录时须有朋友验证,即使被盗取了验证码,还需要选择认识的朋友才可以使用。

中国通信业知名观察家项立刚表示,事件中有一点是许先生将USIM换卡业务验证码当做退订业务验证码,发到骗子用改号软件修改过的号码上,用户在这方面有些疏忽大意。

北京汇佳律师事务所邱宝昌认为,最终责任人是盗取信息和实施诈骗的犯罪嫌疑人。从中国移动、银行和第三方支付来看,如果这些经营者有安全漏洞或者瑕疵就要承担一定的责任,要先行赔付客户,加大安全等级设置。

 

■ 建议

对于如何保护好个人信息,防止账户被盗刷,360互联网安全中心网络安全专家刘洋给出了建议。

 

●如何保护好个人信息?

1、银行账户、支付账户、普通网站会员账号需要区别使用账号名和密码,每3个月修改一次密码,密码组合尽量采用大写字母、小写字母、数字等组合。

2、对于需要填写身份证号、银行卡号、银行密码等信息时,需要认真检查网站合法性,如查询备案信息,使用360浏览器的照妖镜功能等进行网站鉴定。

3、不随意登录不明WIFI,打开不明短信中的链接,下载不明软件,PC和电脑中安装安全软件,及时查杀木马病毒软件,拦截钓鱼链接。

4、处理旧手机、电脑等带有个人信息的电子产品时,利用专业软件将个人信息删除并保证不可恢复状态。

 

●如何防止账户被盗刷?

1、办理网银业务时,申请U顿功能,防止被盗后被轻易修改网银设置。

2、设置日常转账、购物额度,防止大额金额被直接盗刷。

3、手机银行采用最高的安全设置,如绑定手机设备,转账汇款等采用短信验证码和取款密码等组合。

4、大额闲置资金存为定期,每3个月修改一次银行卡取款密码、网银登录密码。

 

●怎么提高防骗意识?

1、收到熟人发来的转账、代付款等信息后,需要电话当面确认是否属实。

2、收到银行、运营商等商业机构发来的短信,如有链接不要轻易点击,不要轻易安装链接中的软件。接到电话,可以采用回拨官方客服的方式进行确认,不要轻信电话中所说的内容。

3、警惕冒充公检法等政府机构的短信、电话,如若收到,可以咨询亲友意见、到当地相关机构进行核实。(B10-11版采写/新京报记者 苏曼丽 李蕾 陈鹏 魏微)




【责任编辑:雨蝶】

“数字友好”有了全球尺子:2026全球数字经济大会在京闭幕

四天会期、50余场专题论坛、80余项前沿技术首发首秀、来自全球近40个高级别团组与千余位行业嘉宾齐聚——一组数字勾勒出这场全球数字盛宴的规模与热度。“数字友好”从理念走向标尺大会最具里程碑意义的一幕,发生在7月2日下午的主论坛“数字友好城市建设全球对

"赛博伴侣"十天吸金千万:当机器人男模走进家门,人心准备好了吗

身着修身西装、戴金丝眼镜的"机器人男模",正被化妆师一笔一笔画上眼影、腮红、高光的"赛博女友"——当人形机器人不再演示叠衣服、不再工厂巡检,而是直接杀入情感陪伴赛道,一场关于技术边界与社会心理的深层碰撞,已然发生。优必选旗下消费级人形机器人品牌"优世界"首款产品U1系列,自6月2日开启预售以来仅10天,已收获近4000台预订订单,定金总额突破千万元。对去年全年仅

近1500名选手9月决战上海 第48届世界技能大赛倒计时100天

技能界的“奥林匹克”进入百日冲刺。12日上午,国务院新闻办公室在京举行第48届世界技能大赛筹办情况新闻发布会。本届大赛将于今年9月22日至27日在国家会展中心(上海)隆重举办,届时将有来自73个国家和地区的近1500名顶尖技能青年选手“论剑”黄浦江畔,共同角逐64个比赛项目的桂冠,并有望创下历届比赛项目、参赛人数及参与成员国家和地区数量三个“历史之最”。打造彰显中

通感算智深度融合提速 工信部划定"AI+通信"三年攻坚路线图

人工智能与信息通信的融合正在从"试验田"走向"主战场"。工业和信息化部6月3日正式印发《"人工智能+信息通信"创新发展实施意见(2026—2028年)》(工信部通信〔2026〕121号),以四大方向、17项具体任务,为未来三年产业融合创新画出清晰作战图。目标锁定:2028年城域算力1毫秒时延圈覆盖率不低于75%《实施意见》明确,到2028年,人工智能与信息通信初步

6G“部省协同”:到2029年形成自主创新技术方案

6月4日,工业和信息化部正式发布《关于组织开展6G创新发展部省协同试点专项行动的通知》,决定面向各省、自治区、直辖市组织开展6G创新发展部省协同试点。该行动旨在充分发挥我国新型举国体制优势,凝聚重点地方、重点企业创新资源,共同开展6G技术创新、产业生态培育和应

激活企业创新力 抢占前沿新赛道 - 嘉兴创新驱动发展一线观察

行走嘉禾大地,一股从实验室快速奔涌向生产线的创新热潮扑面而来。最新数据显示,2025年嘉兴全市全社会研发投入占GDP比重达3.57%,列全省第二位;规上工业企业研发机构设置率达74.33%,连续五年保持全省第一。亮眼数字背后,

六大亮点创“历届之最”!第九届数字中国建设峰会在福州拉开帷幕

全球瞩目的“数智盛宴”闪耀闽江之畔!4月29日,由国家发展改革委、国家数据局、国家网信办、工业和信息化部、福建省人民政府共同主办,以“加快数智技术创新发展,深入推进数字中国建设”为主题的第九届数字中国建设峰会在福州海峡国际会展中心隆重开幕。恰逢“十五五”规划开局起势之年,亦是数字中国建设第二个十年的开启之年。本届峰会围绕“数智融合”“创新主体”“场景驱动”三大特

制胜“十五五”关键期:工信部重锤加码未来产业,已落子超百项“揭榜挂帅”攻坚任务

面对全球新一轮科技革命与产业变革的加速重构,一场围绕未来产业发展制高点的角逐正在提速。4月21日,工业和信息化部在北京召开未来产业企业座谈会,释放出关键信号——要以更大力度超前布局未来产业,加快锻长板、补短板、强弱项,抢抓“十五五”关键期,抢占未来发展制高点。向原始创新短板发起总攻工信部党组书记、部长李乐成主持召开了第十九次制造业企业座谈会。来自生物制造、量子科技

扫一扫专利到家,逛巴扎技术“淘宝”- 新疆“码上有利”“专利大巴扎”打通成果转化“最后一公里”

推出“码上有利”和“专利大巴扎”两项创新服务举措,搭建知识产权与实体经济深度融合的对接平台,让专利转化像超市购物一样便捷。两项服务形成“精准匹配+海量检索”的互补模式,打破科研院所与产业间的壁垒,推动专利转移转化更加开放协同。长期以来,专利转化领域存在一个结构性难题:一方面,大量高价值专

辽宁千山湾钢铁实验室启动 政产学研用协同助力鞍山钢铁产业升级

4月3日,辽宁千山湾钢铁实验室启动仪式暨管委会第一次会议在辽宁科技大学举行。仪式邀请了国内钢铁领域工程院院士,东北大学、北京科技大学知名专家和学者,鞍山钢铁集团有限公司、中国钢研科技集团有限公司等国内行业知名企业代表,鞍山市委、市政府相关部门领导等参加。 鞍山市委书记吴开华,鞍山钢铁集团有限公司党委书记、董事长王军,辽科大党委书记孟劲松,党委副书记、校长胡军共同

硬核“新质力”亮相莱芒湖:第51届日内瓦国际发明展启幕,中国军团237项发明刷新纪录

初春的莱芒湖畔再次成为全球创新目光的聚焦点。第51届日内瓦国际发明展于当地时间11日在日内瓦Palexpo展览馆正式拉开帷幕。在这个全球举办历史最长、规模最大的发明盛会上,中国代表团以237个发明项目的庞大阵容亮相,参展规模不仅位居前列,更创下了历年来新高,向世界展示了中国科技创新的蓬勃生态与前沿趋势 。“含新量”十足:中国展团实现“数量与能级

抢滩“一人公司”时代:多地竞速发布“龙虾”政策,最高补贴1000万

一条红色的“龙虾”,正在掀起全国范围内的产业政策竞速。因开源AI智能体工具OpenClaw图标酷似红色龙虾,近日“AI养龙虾”引爆全网热度。这把火从技术极客的GitHub仓库,一路烧进全国两会会场,更在短短一周内点燃了深圳、合肥、无锡、常熟等多地政府的政策工具箱。从“放水养鱼”到“放水养龙虾”,一场关于未来“一人公司”(OPC)新业态的卡位战已然打响。多地密集“下塘”:最

工信部启动“工业数据筑基行动”:“1+4+N”解锁工业AI“富矿”

从根本上破解工业领域数据“采”“集”“用”的堵点,工业和信息化部于3月10日正式对外发布《关于启动工业数据筑基行动 开展面向人工智能赋能的高质量行业数据集建设先行先试的通知》(工信厅信发函〔2026〕64号)。这标志着我国在推动工业数字化转型向智能化迈进的关键时刻,正式打响了“数据赋能”的攻坚战。锚定2026:打造高
返回
顶部