什么都沒做，一覺醒來就發(fā)現(xiàn)自己的銀行卡被洗劫一空。日前，海南三亞警方破獲了一起新型銀行卡盜刷案件。不法分子是如何無聲無息地把錢轉(zhuǎn)走的？又該如何防范？

沒進(jìn)行任何操作 收到短信后銀行卡被轉(zhuǎn)走5萬元

2019年7月4日凌晨3點(diǎn)多，海南省三亞市宋女士的手機(jī)上突然收到了幾條短信驗(yàn)證碼。不一會(huì)兒，手機(jī)又接到短信，顯示她的銀行卡被刷走了5萬元。

錢被轉(zhuǎn)走前，宋女士根本沒有進(jìn)行任何操作。于是，她趕緊到附近的三亞市公安局三亞灣派出所報(bào)案。

接到報(bào)案后，民警展開調(diào)查，發(fā)現(xiàn)宋女士的錢從廣東惠州一家銀行的自動(dòng)取款機(jī)上被取走。于是，警方很快鎖定了犯罪嫌疑人并將其抓獲，宋女士的5萬元被全部追回。

15元舊手機(jī)改造成“嗅探”設(shè)備 輕松攔截手機(jī)短信

雖然錢被追回來了，但警方有個(gè)疑問一直無法破解，宋女士沒有進(jìn)行任何操作，那么不法分子是如何盜刷宋女士的銀行卡呢？

警方成立專案組對此案進(jìn)行深挖，經(jīng)過連日奮戰(zhàn)，這個(gè)作案人員涉及海南、四川、山東、廣東等地，成員有著嚴(yán)密分工、單線聯(lián)系的特大網(wǎng)絡(luò)盜刷團(tuán)伙終于現(xiàn)形。2019年7月，專案組民警在湖南婁底抓獲了這個(gè)團(tuán)伙的上家陳某華。

據(jù)犯罪嫌疑人供述，他們在三亞有一個(gè)同伙，在宋女士居住地附近，嗅取了宋女士的動(dòng)態(tài)支付驗(yàn)證碼。然后他將動(dòng)態(tài)驗(yàn)證碼發(fā)給洗錢通道，于是便將宋女士的錢給取出來了。

犯罪嫌疑人交代嗅取受害人動(dòng)態(tài)驗(yàn)證碼的機(jī)器廉價(jià)易得。

犯罪嫌疑人 顧某某：改造摩托羅拉118的手機(jī)，把它變成一個(gè)接收天線，再配合特定的U盤系統(tǒng)，打開電腦就可以模仿基站信號，攔截、嗅取探測周圍手機(jī)短信。一個(gè)手機(jī)15元，相當(dāng)于一個(gè)簡單的拼接過程。

為什么如此簡單的設(shè)備，卻能截獲大量的手機(jī)短信呢？據(jù)中國政法大學(xué)網(wǎng)絡(luò)法學(xué)研究院副院長王立梅介紹，這與受害人手機(jī)的網(wǎng)絡(luò)信號有關(guān)。雖然我們早已進(jìn)入4G時(shí)代，但信號不好時(shí)，手機(jī)還是會(huì)切換到2G網(wǎng)絡(luò)。另外，一些犯罪嫌疑人會(huì)利用信號干擾設(shè)備，將一定范圍的手機(jī)信號降為2G。

中國政法大學(xué)網(wǎng)絡(luò)法學(xué)研究院副院長 王立梅：在2G的狀態(tài)下，加密技術(shù)相對來講比較簡單，比較容易破獲，嗅探技術(shù)在中間截獲數(shù)據(jù)包，然后解開就可以了。

手機(jī)號碼加動(dòng)態(tài)驗(yàn)證碼登錄存在安全隱患

要想將受害人銀行卡上的錢轉(zhuǎn)走，犯罪嫌疑人必須同時(shí)獲得該用戶的姓名、身份證號、銀行卡號、手機(jī)號和動(dòng)態(tài)驗(yàn)證碼。那么犯罪嫌疑人又是怎么獲得用戶完整的銀行卡號呢？

犯罪嫌疑人 顧某某：可以通過充值，我隨便點(diǎn)一個(gè)充值方式，看付款方式，可以看見你所有的卡。

確定作案對象后，犯罪嫌疑人會(huì)利用受害人的手機(jī)號碼加動(dòng)態(tài)驗(yàn)證碼，使用免密支付的方式將受害人的錢轉(zhuǎn)移出去。

犯罪嫌疑人 顧某某：你在一些App上實(shí)名注冊信息，很多時(shí)候是圖方便，忘記密碼的時(shí)候可以通過短信驗(yàn)證碼登錄。這同時(shí)也方便了犯罪分子盜取你的個(gè)人信息，通過驗(yàn)證碼登錄，方便了你，也方便了我。

記者隨后在手機(jī)上，選擇了多個(gè)常用的App進(jìn)行測試，這些App一般都可以通過兩種方式進(jìn)行登錄：用戶名+密碼，手機(jī)號+動(dòng)態(tài)驗(yàn)證碼。

當(dāng)用戶忘記密碼的時(shí)候，可以通過手機(jī)號發(fā)送驗(yàn)證碼的方式找回密碼。這一切對用戶來說似乎很方便，也很安全。可是不法分子恰恰利用這種登錄方式，選擇在夜深人靜、人們防范意識比較低的時(shí)候，在自己的手機(jī)或電腦上輸入用戶的手機(jī)號，再用截獲的動(dòng)態(tài)驗(yàn)證碼登錄用戶的App，達(dá)到盜竊用戶資金的目的。

中國政法大學(xué)網(wǎng)絡(luò)法學(xué)研究院副院長 王立梅：手機(jī)加驗(yàn)證碼的方式本身是有一定的安全隱患，驗(yàn)證碼是有可能被截獲的。第二個(gè)就是預(yù)留的手機(jī)號碼，這個(gè)號碼實(shí)際上它泄露的可能性也是非常大的，所以兩個(gè)加在一起，作為唯一的驗(yàn)證方式是有一定漏洞的，盡可能應(yīng)該是再有其他的驗(yàn)證方法予以補(bǔ)充。

公安機(jī)關(guān)提醒，普通用戶應(yīng)加強(qiáng)個(gè)人防范。當(dāng)突然收到不明驗(yàn)證碼，發(fā)現(xiàn)銀行卡被盜刷不要驚慌，及時(shí)報(bào)警，凍結(jié)銀行卡可以避免損失。