短信验证≠安全保证 密码泄露是罪魁祸首
短信验证码的铁律“如果你被杀了,你不能告诉任何人”已经逐渐广为人知,但是如果银行打电话给你,说想给你钱,你能拿着吗?短信验证码原本是为了确保用户财产的安全,现在却成了犯罪分子用来进行欺诈的工具。最近,一些不法分子恶意操纵网上银行账户贵金属交易,进行网上欺诈,威胁用户财产安全。
王烈平台和360互联网安全中心最近收到了大量关于网上银行账户贵金属交易恶意操纵导致的网上欺诈案件的报告。根据举报用户的手机截图,整个欺诈过程看起来非常“合理”。手机用户首先收到银行的一条短信,显示他的账户有几千元的资本支出。支出原因是用户不熟悉的某个网银金融业务,如“资金积累”、“如意积累”等。这些业务实际上是银行开设的贵金属交易业务。然后,用户接到一个电话,声称是电子商务、银行和其他各种公司的客户服务人员,声称他们使用银行卡消费。由于金额巨大,用户需要确认它是否是自己操作的。如果没有,钱可以返还给用户。在用户说消费不是他自己的操作之后,账户将真正收到一定金额的退款。稍后,“客户服务”会通知用户他们的网上银行账户可能被盗。为了确保所有资金都可以返还给用户,要求用户提供验证码,并要求用户不要挂断电话。此时,用户的手机会收到一条验证码短信,实际上是一条转账支付验证码通知短信或一条验证码短信,可以实现各种快速支付。在用户通过电话告诉“客户服务”验证码后不久,他收到一条短信,说他的银行卡被扣了,并发现他的网上银行被盗了。
要验证短信的使用,应该看得清楚
事实上,该骗子通过其他渠道窃取了用户的网上银行账号、密码和手机号码,然后登录用户的网上银行,开通了相关的贵金属交易业务,实施了网上交易操作。由于网上买卖的贵金属仍是网上银行用户名下的金融资产,不会转移到其他账户,银行一般不要求用户使用u盾或其他验证方法进行验证,而是通过短信通知用户账户资金的变化。这就是为什么用户会收到关于银行卡支出的短信。
"我实际上收到了银行发来的一条关于资本收入的短信."用户说这也是他们确信的原因。事实上,这是因为骗子同时操作用户的网上银行账户,并出售他刚刚购买的贵金属产品,从而导致资金进入网上银行账户。但事实上,这笔钱只在用户的个人账户里转账。用户失去的是买卖之间的差异(手续费)。这笔钱实际上没有被骗子拿走。
欺诈成功的关键在于验证码。骗子首先在用户的网上银行转账或开通各种快速支付方式。这样,用户的手机就会收到验证码短信。之后,骗子要求用户提供验证码,理由是所有退回的资金都需要验证码。虽然银行短信中明确说明了验证码的目的,但绝大多数用户往往没有仔细阅读验证码短信的全部内容,而是由于用户的焦虑心理和骗子的恐吓,如“2分钟内不输入失败”,直接将验证码告诉骗子。最后,在诈骗者完全获得用户的银行卡号码、密码和验证码之后,他可以成功地转移用户账户中的资金,或者他可以打开快速支付并绑定诈骗者的手机,然后用快速支付转移用户账户中的资金。
密码泄露是罪魁祸首
对此,一些用户提出质疑:为什么银行在用户交易贵金属时不进行二次验证?银行的业务流程中有漏洞吗?银行工作人员表示,在银行的业务逻辑中,贵金属交易是银行和用户之间的交易,银行和用户是相互交易的对象,因此无论用户进行何种交易操作,资金或贵金属商品都不会流向第三方。换句话说,银行没有从第三方流出资金,所以不使用u盾或验证码进行验证是合理的。如果用户没有向骗子透露验证码,他最多只能在买卖过程中损失一些手续费。
验证码的泄露是直接原因,但根本原因是用户网上银行账号和密码的泄露。如果诈骗者不能登录到用户的网上银行账户,这种诈骗方法就不能成立。然而,用户网上银行账户和密码泄露的原因是多方面的。最重要的原因是用户设置的密码过于简单,或者不同网站使用相同的账号和密码,导致账号密码被盗。
王烈平台表示,此类欺诈案件表明,银行也需要改进。首先,应该对用户帐户密码进行安全检查。如果用户设置的密码太简单,就应该强制用户设置足够复杂的密码。其次,当用户的账户在不同的地方登录或使用新的互联网设备登录时,应进行必要的预警或安全验证。例如,如果向用户手机发送远程登录通知或验证码,用户账号可能被盗,应及时修改网上银行密码。(萧肃)
新闻链接
当用户遇到类似情况时,他们应该立即采取以下措施来保护他们的帐户和资金:1。立即修改网上银行密码,或冻结或挂失银行卡,以免网上银行账户遭受更多损失。2.致电银行官方客服电话或电子商务网站咨询,确认事情的真实性。永远不要相信陌生的电话号码,尤其是陌生的手机号码。3.任何时候都不要告诉陌生人敏感信息,如账号、密码或验证码。
此外,用户在日常生活中应该养成上网的好习惯,尤其是不要使用太简单的密码。网上银行、支付、社交网络和电子邮件等常见账户必须分别设置密码,密码必须足够复杂。建议使用超过15位数字的密码以及数字、字母和特殊符号。定期修改您的网上银行账户密码,建议每三个月或半年修改一次。更不要说一套账号和密码,也不要在任何网站上使用相同的账号和密码。