个人信息泄露 一条短信盗走积蓄

银行卡、支付宝和百度钱包中的资金悉数被盗；

利用“个人信息＋USIM卡＋发送短信”作案

　　在回复了一条短信后，一夜之间，许先生的积蓄几乎全部被人转走。银行卡、支付宝和百度钱包的钱在几个小时内被骗子轻易转出去，自己眼睁睁看着，却无能为力。

　　网络安全专家分析，根据许先生提供的信息，骗子在实施诈骗前已经获取了受害人的银行卡号、身份证号、姓名、手机号等个人信息。只需要获得验证码即可实施盗窃。

　　据新京报记者采访获悉，在买卖身份证、银行卡、手机号等个人信息的“黑市”中，在QQ上3-5毛钱就可以买到一条。网络安全专家表示，不法分子获取个人信息主要的途径包括无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和新型黑客技术窃取等。

　　将验证码回复过去 几小时内钱被盗

　　北京的许先生因根据提示回复了一条短信，几个小时内积蓄几乎被悉数盗走，涉及三张银行卡及支付宝、百度钱包。

　　一周来北京市的许先生过得很糟心，一直在为自己被盗的积蓄奔波。许先生告诉新京报记者，自己一直在创业，好不容易有了点积蓄，却在几个小时内几乎被悉数盗走。涉及三张银行卡，以及支付宝和百度钱包。事情的起因是自己根据提示回复了一条短信。

　　4月8日，许先生在下班回家的地铁上收到一条10086的短信，提示他手机开通了一项名为“中广财经半年包”的业务；接着又收到一条“10658＋手机号”发来的短信，称回复“取消＋校验码”可退订业务；与此同时，许先生收到10086发来的“USIM卡6位验证码”。正想退订业务的许先生就根据提示将验证码发送过去。之后“灾难”就开始了。

　　半个小时后，许先生的手机无法上网和通话，此时他还以为是中国移动开通业务后导致手机停机；不过一个小时后，许先生发现事情并非如同他的猜测，自己的支付宝开始向绑定的银行卡转账，而银行卡的网银密码也被修改了，他本人无法登录。除了用支付宝转账外，他的百度钱包也被人绑定关联了银行卡，参与了转账。最终许先生银行卡和支付宝里的钱都被转走了。

　　在此期间，许先生采取了不少措施，比如尝试将钱转到其他的银行卡上，解除银行卡与支付宝的绑定等，但都没能挽回损失。许先生说：“我是同一时间在和TA抢钱，而最后，我啥也没抢回来。”

　　被盗刷前银行卡身份证等信息已泄露

　　网络安全专家表示，这是一起典型的综合利用“个人信息＋USIM卡＋改号软件发送诈骗短信”的案件。

　　许先生的钱究竟是如何被盗走的呢？新京报记者就此采访了360互联网安全中心网络安全专家刘洋，刘洋表示，按照许先生的描述，这是一起典型的综合利用“个人信息＋USIM卡＋改号软件发送诈骗短信”的案件。

　　“根据已有的信息判断，在实施诈骗之前，骗子掌握了大量受害者的个人信息，包括姓名、手机号、身份证号、网银账户和密码，银行预留的验证手机号。”刘洋说，在这种情况下，骗子只需要得到许先生的短信验证码，即可进行转账操作。于是，骗子选择利用移动的USIM补换卡业务，直接窃取用户手机卡，并由此可以掌握该用户的全部手机短信，包括转账必需的“验证码短信”内容。

　　根据刘洋的解释，骗子先获取了许先生移动网上营业厅账号密码，给许先生订购手机报增值业务，以便干扰他的判断，认为被强制订购业务；实际上，这时骗子通过网上营业厅办理USIM换补卡业务，使得许先生收到中国移动发送的短信验证码；骗子再利用改号软件定向给许先生发送短信，提示他退订增值业务需回复短信“取消＋验证码”，诱骗许先生把“USIM卡补换卡验证码”当成“取消订购业务验证码”发送过去，交给骗子。

　　办理USIM卡补换卡业务后，原手机上的卡就不能用了，骗子利用了这个漏洞窃取了许先生的手机号，在具备许先生的个人信息后，骗子可以轻易获取任何转账支付需要的验证码，进行支付宝、网银等转账支付。

　　新京报记者4月18日登录移动官网查看发现，移动这项业务已进行了安全机制上的更新，用户如果没有申请备卡就不能办理该业务。而且移动会提醒：即将在中国移动北京公司办理补卡。

　　据上述涉事银行内部人士分析，该客户身份信息、银行卡号、网银登录密码、手机号均泄露，特别是手机号及手机接收到的信息被犯罪分子控制。客户在支付机构通过“姓名、银行卡号、证件类型和证件号、手机号、手机验证码”绑定银行卡，支付过程中，验证客户在支付机构设置的密码。

　　上述银行人士表示，在与支付机构合作快捷支付业务中，银行一般会建立相应的风控机制，例如客户签约的手机号码应在银行柜面或通过网银U盾验证，以防不法分子利用。同时，对支付机构的快捷业务设置了相应限额，分为单笔累计、日累计和月累计，如出现资金盗刷，可降低被盗资金额度风险。后续，该行将与客户一起尽快解决问题，减少客户损失。提示广大客户，妥善保护好个人信息，防止个人信息泄露。

　　个人信息“黑市”交易3毛一条

　　目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。

　　个人信息被当成商品在“黑市”交易已不是秘密。

　　新京报记者通过调查发现，网上有不少出售个人信息的QQ群，在一个名为“出售个人信息数据”的QQ群里，不少人在群里咨询“求购车主信息”“有没有身份证银行卡加密码信息”……

　　新京报记者以需要个人信息的名义联系名为“客服3”的管理员，在提供从城市、具体要求之后，该管理员发来一份“样例”，并声称资料靠谱。

　　据其描述，不同要求的资料价格也不同。其中只有姓名、身份证号、手机号等信息的话，一手资料2元/条，二手资料0.3元/条。“银行的贵，带密不做，风险高。”该管理员称，一般加上银行卡号后，一手信息会升到一条5元，二手信息也升到0.5元一条。

　　此后，记者又试图添加其他QQ群，大部分都没有审核通过。其中有一位自称“网络大咖”的出售人员表示，“1万数据2800元，服务器提取一手数据”，并称统一先收费再操作。当记者询问能否提供“试用”，遭到对方的拒绝。

　　“目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。”刘洋说。

　　据刘洋介绍，无良商家倒卖主要是某些掌握大量用户个人信息的商业机构由于管理不善，内部员工盗卖用户个人信息的事件时有发生；木马病毒窃取个人信息主要是针对上网账号，统计显示，超过一半的流行木马病毒与网络盗号相关。而且盗号木马主要针对的用户的游戏账号、社交账号、网银账号和其他支付账号；二手手机泄密是指用户出售自己二手手机时，即便将通讯录、短信、通话记录等信息全部删除，但如果没有对手机中存储的信息进行彻底的销毁，则有可能被不法分子恶意恢复数据并用于不法目的。

　　2015年，关于网站被拖库、撞库的新闻时常见诸各类媒体。在网站数据窃取方面，刘洋表示，统计显示，仅补天平台在2015年收录了可造成个人信息泄露的漏洞就多达1410个，涉及网站1282个，可导致泄露的个人信息量高达55.3亿条，这一数字较2014年的23.6亿条翻了一倍多。如果按照中国网民总数为6.5亿计算，这一数字也就意味着，仅仅在2015年这一年，平均每个中国网民至少可能泄露了8条以上的个人信息。

　　除此之外，还有新型“黑客”技术窃取，刘洋介绍，目前一些新型的黑客攻击技术也在被越来越多地用于窃取消费者个人信息。比如伪基站可以伪装成任意号码向用户发送诈骗短信，并诱骗手机用户登录钓鱼网站；钓鱼WiFi则可以直接监听接入该WiFi网络用户的所有上网行为。

　　谁来为被盗刷“埋单”？

　　支付宝“先行赔付”许先生一万多元损失，百度钱包承诺赔付，北京移动称业务流程办理正常，涉事银行称客户“泄密”导致资金受损。

　　“事情发生后，都不知道该找谁负责。”许先生说，他先后找了移动、银行、支付宝和百度钱包，支付宝和百度钱包答应赔偿部分损失。移动和各家银行都没有赔偿的说法。

　　北京移动10086热线4月12日在微博上公布了调查结果称，4月8日17时54分，有人用许先生的手机号码和他自设的密码登录了北京移动官方网站，经网站弹屏二次确认后，办理“中广财经半年包”业务，IP地址显示登录地点在海南海口；18时13分，有人用同样的方式登录该网站办理了更换4G USIM卡业务，系统向客户本机下发换卡二次确认验证码，也就是6位USIM验证码，该密码被输入后，换卡成功。北京移动称，以上业务流程办理正常。

　　另外，4月18日后，中移动的USIM卡换卡业务已进行了安全机制上的更新，用户如果没有申请备卡就不能办理该业务。

　　支付宝相关负责人向新京报记者表示，已经在4月11日中午赔付当事人一万多元损失。“按理来说只能赔偿在支付宝平台上损失的资金，这个用户的很多资金是通过银行卡转调的。”据该负责人介绍，因为案例比较特殊，当事人也比较紧张，所以就走了特殊的先行赔付流程。

　　在当事人的描述中，其手机号码出现问题后，支付宝就发生了非本人的转账操作。而据上述负责人介绍，支付宝要是忘记密码后进行密码更改，至少需要两重验证，包括“手机+身份证”及“身份证+安全问题”。但她同时表示，该案例的特殊性在于，当事人的手机卡被人用几条短信就复制并掌握，同时当事人本身的身份证号、银行卡号，甚至交易密码都可能泄露了。

　　百度钱包的相关负责人也向新京报记者表示，在全程跟进该事件，并已经请用户提供相关材料，承诺赔付。“之前的问题在于回复了短信导致他的个人信息被盗，然后有人在我们平台上进行一系列动作。”该负责人表示，要是身份信息被别人拿走的话，这些操作都是可做的，不管在哪个支付平台。

　　新京报记者也就此事采访了上述三家涉事银行。对于许先生所称的期间“网银根本登不上”，其中一家银行相关负责人表示：“通过该客户的描述，推断客户可能已泄露包括银行卡密码在内的相关信息。”据银行方面介绍，客户转账时需验证银行卡卡号、取款密码和短信验证码等多个要素均正确后才可转账成功。

　　“该客户的网上银行转账功能在此之前已由本人开通，后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称，已回电客户，目前资金实时转出银行确实无法进一步处理，关于资金问题还需客户催促警方尽快侦破案件，银行会全力配合警方处理。

　　“经营者若有安全漏洞须承担一定责任”

　　刘洋表示，就目前掌握的情况初步推断，之前运营商存在备卡激活太简单的问题，只要登录营业厅，就可以如描述中办理了，目前运营商已经升级了安全的防护，说明对此前这个短板进行了填补。

　　刘洋认为，目前第三方支付和银行，无论是修改密码和转账，都需要短信验证码，此案中嫌疑人已经有了受害者手机号，接收验证码等于完全没有问题，因此容易“作案”。如果更严格，比如必须网银“U盾”登录、转账等，用户在使用上可能会觉得不方便。建议利用大数据加入一些更加隐秘的验证方式，比如在新登录时须有朋友验证，即使被盗取了验证码，还需要选择认识的朋友才可以使用。

　　中国通信业知名观察家项立刚表示，事件中有一点是许先生将USIM换卡业务验证码当做退订业务验证码，发到骗子用改号软件修改过的号码上，用户在这方面有些疏忽大意。

　　北京汇佳律师事务所邱宝昌认为，最终责任人是盗取信息和实施诈骗的犯罪嫌疑人。从中国移动、银行和第三方支付来看，如果这些经营者有安全漏洞或者瑕疵就要承担一定的责任，要先行赔付客户，加大安全等级设置。

　　对于如何保护好个人信息，防止账户被盗刷，360互联网安全中心网络安全专家刘洋给出了建议。

　　●如何保护好个人信息？

　　1、银行账户、支付账户、普通网站会员账号需要区别使用账号名和密码，每3个月修改一次密码，密码组合尽量采用大写字母、小写字母、数字等组合。

　　2、对于需要填写身份证号、银行卡号、银行密码等信息时，需要认真检查网站合法性，如查询备案信息，使用360浏览器的照妖镜功能等进行网站鉴定。

　　3、不随意登录不明WIFI，打开不明短信中的链接，下载不明软件，PC和电脑中安装安全软件，及时查杀木马病毒软件，拦截钓鱼链接。

　　4、处理旧手机、电脑等带有个人信息的电子产品时，利用专业软件将个人信息删除并保证不可恢复状态。

　　●如何防止账户被盗刷？

　　1、办理网银业务时，申请U顿功能，防止被盗后被轻易修改网银设置。

　　2、设置日常转账、购物额度，防止大额金额被直接盗刷。

　　3、手机银行采用最高的安全设置，如绑定手机设备，转账汇款等采用短信验证码和取款密码等组合。

　　4、大额闲置资金存为定期，每3个月修改一次银行卡取款密码、网银登录密码。

　　●怎么提高防骗意识？

　　1、收到熟人发来的转账、代付款等信息后，需要电话当面确认是否属实。

　　2、收到银行、运营商等商业机构发来的短信，如有链接不要轻易点击，不要轻易安装链接中的软件。接到电话，可以采用回拨官方客服的方式进行确认，不要轻信电话中所说的内容。

　　3、警惕冒充公检法等政府机构的短信、电话，如若收到，可以咨询亲友意见、到当地相关机构进行核实。

　　B10-11版采写/新京报记者 苏曼丽 李蕾 陈鹏 魏微

最近，网上一则关于郑州王先生银行卡被别人支付宝绑定盗刷的信息被许多人转发。银行卡在自己手里，支付宝也需要实名认证绑定。被盗刷，到底是什么环节出了问题？平时应该注意些什么？带着这些问题，今天上午，记者走访了河南省公安厅反诈中心负责人刘彦东。

平时验证的手机号到底是谁的？

刘彦东首先介绍了网上盛传的案件情况。前不久，郑州的王先生突然收到三条银行扣款短信，显示自己的工商银行卡被先后转走1500、500、1000元。

支付宝客服向王先生证实，他的银行卡被另一个手机号注册的支付宝绑定，并以“发红包”形式转走共计3000元。

蚂蚁金服的一名负责人介绍，支付宝绑定银行卡需要本人身份证和银行卡信息，以及在银行预留手机收到的短信验证码。

经判定，王先生自行泄漏上述信息，违反了公司对账户使用的有关规定，因此支付宝无法对其进行资金追回或理赔。

关于王先生提出的“现在手机号都是实名制，为什么一个陌生手机号（注册的支付宝），就能绑定上我的身份信息（银行卡）”这个问题。该名负责人坦言，目前支付宝尚未与手机运营商合作，对于注册手机号码的真实身份信息，支付宝无法判定，因此会出现手机号户主与支付宝验证身份信息不一致的情况。也就是说，我们平时验证的手机号，其实是不是自己的？到底是谁的？支付宝其实完全是不知道的。

不法分子是如何获取手机验证码的？

有人做过这样的实验：用朋友的手机号B注册一个支付宝账号，只需输入B号码收到的短信验证码即可完成注册。

这个新的支付宝账户B上添加曾绑定在自己手机号A上的银行卡。点击“添加”后，页面需要输入本人银行卡上的姓名、银行卡号，并填写银行预留手机A收到的短信验证码，其间不需要上传身份证照片，填写信息完毕后即可绑定成功。

这样，支付宝账户B就完成了其实是A账户的银行卡绑定。余下的操作，账户B就可以轻轻松松的把A账号下银行卡的钱划走了。

但大家还是奇怪的一点是：不法分子是如何得到王先生的手机验证短信的？刘彦东介绍，一些不法分子会向目标手机发送病毒链接，一旦目标手机点开链接，植入木马病毒程序后，手机可能无法再接受短信，验证码同时被拦截获取。另一种方法是通过特殊的改装设备对手机信号进行干扰，在特定范围内可以拦截银行卡验证码。

警方提醒，日常财务操作要特别注意以下几点

1，不要把鸡蛋都放进同一个篮子。所有储蓄应当分门别类安排在不同的储蓄方式中，比如说不同的银行、支付软件等，不要嫌麻烦。当你觉得方便的时候，正是给了不法分子以最大的“方便”。

2，设置手机、软件、银行卡密码。不少人手机连密码都不设置，银行卡也显得潇洒，小额更是免密支付。你的潇洒成全了不法分子更大的潇洒。

3，消费提醒、账户变动绑定短信提醒。现在手机短信的用途越来越少，但是消费提醒、账户变动这些功能一定要开通。一旦你的账户发生变动，通过第一时间的短信提醒，能马上得知账户信息，从而立即做出应急措施。

4，不要点击陌生链接。不要轻易点开或回复陌生号码的短信，接到疑似打款、转移安全账户等“诈骗式”操作要警惕。

5，账户异常变动要留存证据。一旦发现账户异常变动，首先马上解除所有与该手机相关联的网上支付绑定。将银行卡挂失，暂停使用一切支付手段，留存好相关短信、截图等信息，拨打110或用微信警务通报警。

　　一、支付宝快捷支付的概述。

　　回顾电子商务历史，可以发现其初衷就是让用户足不出户、点击鼠标就能买到想要的商品，这一简单动机深远地影响了人民的新生活。网络购物作为电子商务的重要组成部分，在人民的生活中占据着重要的位置。据艾瑞数据显示，2013年第二季度中国网络购物市场交易规模达”、“”等定位网站进行IP地址的定位查询。对于查获的手机IP地址手机（一般固定的IP地址），公安机关可以借助技侦部门对手机定位，辅助抓捕工作。

　　2.公安机关建立利用支付宝快捷支付盗刷银行卡的涉案资金快速查询、冻结机制。公安机关对于受害人的举报或者支付宝平台移交的案件，及时的进行侦查，查询涉案的资金情况，分情况进行处理。第一种情况是支付宝平台暂存最为担保的交易资金。不法分子利用盗窃的资金进行购买实物商品时，从商品发货到最终的确认收货会有一定的时间差，公安机关应及时联系支付宝公司冻结涉案资金，通过支付宝客服联系卖家暂停交易并及时退回商品；第二种情形是支付宝账号中的账面资金。有些不法分子利用盗窃的银行卡资金为自己的支付宝账号进行充值，此时公安机关在查获涉案的支付宝账号的基础上，及时联系支付宝公司，请求对涉案账号进行临时冻结，禁止账号内的资金进行交易。第三种情形是盗窃资金转入其他的银行账号。一些不法分子在利用盗窃的银行卡资金进行购物支付货款后，然后申请退款，资金退到支付宝账号，再通过支付宝提现功能把涉案资金转到其他的银行账号。对于这种情形，公安机关及时通过支付宝公司查询资金提现后转移的银行账号，并及时的通过目前已有的警银协作，利用银联JASS系统等对涉案资金进行快速的查询，通过专线下达指令进行冻结。

　　3.公安机关建立高危人群和高危地区的信息库，协助支付宝平台建立黑名单制度。公安机关要加强利用支付宝快捷进行盗刷银行卡资金的高危人群和高危地区信息库，广泛收集上传、及时更新涉案账户信息，交易信息，资金数额信息，涉案人员信息，银行账户信息等等与案件有关的信息，方便公安机关及时的查询和掌握犯罪信息，研判犯罪动态，掌握案件规律，探索侦查模式，协作侦破案件。公安机关开设端口或者上传高危人员名单，协助支付宝平台对高危人员进行身份鉴别，建立黑名单制度，对于此类人员的账号申请进行限制，并对账户资金流动情况加强监控，发现可疑交易及时鉴别，涉嫌犯罪的及时移送公安机关。

　　（三）支付宝用户确保资金安全对策。

　　支付宝用户由于资金安全意识的缺失，防范对策的缺少等等原因，致使不法分子极易利用现有的窃取手段通过支付宝快捷支付盗刷银行卡内的资金，支付宝用户发现账号、资金异常时又不知如何冻结，防范资金流失。因此通过以下资金安全对策，确保支付宝用户资金安全。

　　1.支付宝用户安全预防对策。对于支付密码不定期的进行修改；避免工资卡或存有大量现金的银行卡开通快捷支付功能；网上购物时，尽量使用具有恶意病毒链接屏蔽功能的阿里旺旺软件，避免使用QQ通讯工具进行交易商谈，避免打开QQ聊天发来的可疑支付链接；避免向其他人员甚至支付宝客服人员（不法分子可利用改号软件冒充客服人员）透漏银行卡信息，账号密码，手机验证码等相关信息；开通支付宝快捷支付功能绑定的手机号码不用时，由于原有绑定并不会因更换或注销而消除，手机用户应及时申请解除绑定服务；避免支付宝登陆账号和手机号码关联，已经关联的可以取消设置；银行卡持卡人最好对绑定快捷支付的银行卡进行限额设定；对于开通网上银行的银行卡，设置“网上支付”限额，间接限定快捷支付限额；对于应用的计算机设备和移动设备及时的进行杀毒；使用支付宝时尽量安装完全支付宝安全措施（包括安全控件、数字证书）；可将不经常使用的银行卡内的资金转为定期存款。

　　2.支付宝用户发现支付宝、银行账户异常情况下防止资金流失对策。用户发现自己的支付宝账号发生异常交易时，可以先通过支付宝登陆页面，输入账号，“三次”输入错误密码进行账户的临时冻结。然后联系支付宝客服确定账户的资金情况，并申请冻结该资金。也可先把绑定支付宝快捷支付的银行卡内的余额取现或转账至其他银行卡，然后联系支付宝客服确认账号的买卖交易情况，申请中止交易；对于发现银行卡账户发现异常资金交易时，开通网银或者电话银行的用户可以事先通过网上银行或电话银行业务“三次”输入错误的密码进行账户和资金的临时冻结，并致电所属银行客服，申请账户一定期限的冻结。

　　没有开通网银或电话银行的用户最先做的是联系银行客服冻结账户内余额或者进行挂失，然后带有身份证件等资料到银行柜台取现。