张鑫明 张恒 薛田 朱信明 修淼
2016年4月8日,周五的这个傍晚,有一个骗子想“变成”许妙成。
许妙成正在北京地铁6号线的车厢里,毫无警觉。24岁的许妙成就职于一家投资公司,工作两年有了3万多存款。这些钱,分别存在他的3张银行卡和支付宝账户里。无论是支付宝还是银行卡,都设有重重安全措施——密码验证、身份证号验证、邮箱验证等等。即便这些验证统统失效,还有最后也是最关键的一道安全阀门——手机。现在几乎所有的支付、更改账户都需要输入手机动态密码来验证身份。
而手机,现在正在许妙成的手里。
正如其他银行卡盗刷案一样,那个登录IP显示在海口市的骗子,找到一个突破口,逐步瓦解了许妙成的安全措施。现在,4月8日17点多,骗子正打算攻破最后一关,拿到许妙成的手机,“变成”这个毫不知情的年轻人。
盗刷银行卡
骗子是人类最古老的行业之一。只不过,不同阶段有不同的特性。以前的骗子更多是骗人,现在,越来越多的骗子试图骗过机器,比如骗过银行的系统。
2016年3月20日晚上9点多,北京媒体人马月收到两条短信,是银行发来的,提醒他银行账户刚刚有两笔消费,一笔46万、一笔1万,消费地点是江西省上饶市宝泽楼市场。他的第一反应就是打电话挂失,电话里,对方要求他报上账户,并且输入密码。
“这个时候我脑子里还留了一个信号,我想万一这是个伪装的号呢。”马月本身做互联网工作,知道很多诈骗方式,向来谨慎,“各种奇怪的诈骗链接,我绝对不会点。刚发生这个事的时候,我还怕电话已经中毒(用朋友的电话打给银行进行挂失)”。
最终证实,短信是真的,电话是真的,那两笔消费也是真的。确实有人骗过了银行,只用了两分钟,就划走了本属于马月的47万。
马月后来才从银行处得知,2月份,曾有人在河北查询自己卡内余额。这张卡只是一张借记卡,并未开通网银功能。他说:“肯定是有人复制了我的卡。”
不但复制了他的卡,还需要掌握卡的密码。骗子想做到这些,有好多种途径。他们可以在ATM机上设置陷阱,等马月刷卡时复制;也可以在消费场所伪装服务员使用改装过的POS机盗刷;银行内部人员泄露客户信息的事情也曾发生过,还有一种是在电脑或手机中植入木马。
曾有记者在一个盗刷银行卡的QQ群卧底几个月,见识到了银行卡复制器的威力——只要拿银行卡在上面刷一下,不出10秒钟就能读出包括密码在内的账户信息并复制一张新卡。
贩卖机器、盗取信息、贩卖信息、刷卡套现已经形成了一条隐秘又完整的产业链。其中每个环节都有风险,各做一环显然相对安全。买到复制卡后,取钱的骗子也有一套严密流程,比如购买偏远山村村民的身份证用以办银行卡,再跨省取钱。
据中国互联网协会发布的《中国网民权益保护调查报告》估算,2015年,因个人信息泄露、垃圾信息、诈骗信息等现象,导致总体经济损失约805亿元。
窃取手机
毫无疑问,许妙成的个人信息也被泄露了,但并不是银行卡信息,而是网络账户。这种信息在网络上流传更广,与银行相比,一些商业网站的安全防护要薄弱很多。
“我们现在很多诈骗都是由于个人信息被泄露,”手机安全系统专家葛健说,“除了黑客通过技术获取外,平时比如看病、买车、买房、买保险,填写的个人信息都有可能通过黑市被贩卖出去。”
个人信息泄露渠道如此之多,以至于许妙成根本就不清楚,骗子是通过何种渠道,拿到自己在移动通信运营商官网的账户和密码的,“那个官网我其实已经很多年不登了”。
17点53分,骗子已经登录了他在运营商官网的账户,点击了几个链接后,很快就为许妙成订购了手机报的业务。系统发现了这笔订单,通过官方号码发短信反馈给许妙成,但该短信中并未提及该如何退订这一业务。
“我心想,运营商怎么莫名其妙给我开了这么一个鬼业务。”许妙成说,他经常收到这类信息,几乎条件反射般回复了“TD”(常用的退订业务代码),但系统认为他的代码不正确,还给了他一个清单“请回复括号中的指令订阅以下手机报”。许妙成想到了打客服电话询问,但在拥挤的地铁里,他还是决定到家再说。
骗子是不会等的。Ta已经有了一个详细的计划,计划的核心是运营商官网上“自助激活4G备用卡”的业务。这是该运营商为了开拓4G市场,让用户便捷换卡提供的一项服务,只要有一张空白的4G卡,点击在线申请后,系统会下发一个USIM激活码到旧卡,在网站填写激活码后,便可成功将旧卡作废,启用新卡。
如果骗子能够拿到这个激活码,成功更换新卡,也就意味着许妙成手里的手机卡将作废,所有的来电、短信都会转移到骗子的手机上去。
人们的手机短信渠道早已经危险重重,骗子有多种方式可以拿到这个验证码——可以通过伪基站发送带有病毒链接的地址,如果许妙成点击了,就会下载木马病毒或者含有木马病毒的App,之后他原本能收到的激活码短信都会被拦截发到骗子手机上;如果骗子和许妙成在同一辆地铁上,还可以通过特殊设备,对手机信号进行干扰,拦截激活码;如果许妙成手机里的一些App具有短信同步功能,而骗子能够破解这些账户,也可以轻易地获得这个激活码。
在所有窃取个人信息的方式里,伪基站是目前最常见的一种,也是技术最强大的一种。以前还要开车架设伪基站,现在“伪基站越来越轻便,背一个包就可以带走”,葛健说,骗子背一个包,专门在人多的地方来回走,或者骑电动车、坐公交车,沿路就会接管辐射范围内的手机信号,并发送短信。这些短信都可以伪装成“10086”“95558”等通信运营商或银行的官方客服号码,一般都会带有链接。
“而且短信中的网址也特别有迷惑性”,葛健说,比如中国移动官网是10086.cn,伪基站发过来的链接可能用小写的英文字母“l”替换掉“1”,变成l0086.cn。
更可怕的漏洞
这次,骗子没有使用伪基站的方式,而是用个人临时手机号给许妙成发了一条短信:
您好!您已成功订购手机报40元/半年,3分钟内退订免费。如需退订请编辑短信“取消+验证码”至本条短信退订。
因为之前刚接收到官方号码发来的订立成功短信,许妙成几乎不假思索就回复了“取消+验证码”几个字。他说:“我甚至都没有注意到这条短信号码的可疑。”
骗子收到了许妙成的回复,并体会到他取消订阅的急迫心理。这时,Ta用许妙成的账号在运营商官网上提交了自助换卡的申请,系统收到申请后,向许妙成的旧卡发送了验证码:
尊敬的客户,您好!您的USIM卡6位验证码为388827。
因为骗子在之前自己发出的短信中着重提及“至本条短信退订”,所以看到这条由系统发出的信息后,许妙成再次编辑“取消+388827”,把验证码发回给骗子。骗子看到短信后,迅速在网站填好验证码,激活了自己手中已准备好的4G空卡。半小时后,许妙成的手机忽然断网,失去信号。在重启无数次,甚至到家利用Wi-Fi上网查询解决办法无果后,他打算第二天再到营业厅处理。
这时候,骗子则开始利用手机号攻破他支付宝账户的安全防护。支付宝的自助重置密码功能里,可以选择“通过银行卡验证”或者通过“验证短信+验证身份证件”两种方式,也就是说,一旦骗子掌握了用户的个人信息以及手机号码,就可以随意更改密码了。随后,骗子利用多个网络平台,开始转走许妙成的3张银行卡里的钱。虽然支付宝的通知很快让许妙成意识到账户被盗,他也采取了解除绑定银行卡等行动,但掌握着他手机号、身份证号等诸多信息的骗子,很容易击破许妙成的补救措施,卡里的3万多元,陆续被骗子转走。
在个人身份信息泄露无处不在的当下,最重要的安全阀门就是手机号码了。但正如前面所说,人们的短信通道,其实已经不再安全了。
“我们把所有的安全都寄托在一个东西(手机验证码)上,”许妙成说,“这是一个机制上的漏洞,非常可怕。因为没有科技含量它才可怕,有科技含量证明他的犯罪成本非常高,而且只有极少数人才能完成,他要破解各种东西。如果它不是一个有科技含量的东西,而是一个机制漏洞,那就相当于骗子会随时钻空子。”
我们还能感到安全吗
跟各家机构沟通,让马月和许妙成疲惫不堪。
“这件事特别闹心,我自己没有任何过失,我正常刷卡,吃饭、看电影、在商场买东西……”马月说,“当时我去派出报案,人家都不给我立案。派出所说你必须让银行出示证据,打印凭条证明你的钱丢了,你口说无凭。”去银行,银行却说:“转哪儿跟银行没关系,查不了。”
许妙成也遭遇了类似经历,他所用手机号码的通信运营商称:“该案实际上是因客户被人窃取了网厅登录账户密码在先(若客户被人窃取了支付宝账户密码也会产生同样的经济损失),然后他自己又将换卡验证码发给了骗子。从业务办理流程来看是正常的。”其实,早在几个月前,该运营商就意识到了网上自主激活空白卡存在漏洞这个问题。但这个自助服务通道一直没有关闭,直到许妙成的案件发生后。
通信运营商和银行其实也在试图解决各自业务中存在的漏洞,比如推广4G卡。据葛健透露,4G卡的安全性要高一些,“4G基本上收不到伪基站的短信”。而银行也一直在力推芯片卡,据VISA介绍,带有芯片的信用卡和借记卡可以将被盗刷风险降低近20%。
可坏消息是,骗子的技术,也在更新换代。卧底盗刷团伙的记者就发现,银行在更新技术,推行芯片卡,但是盗刷团伙也在破解这种技术,据称盗刷芯片卡的复制器也已经生产出来了。4G卡也存在同样问题,据葛健介绍,伪基站已经可以通过技术手段,“专门把你的4G降频,你信号不好的时候,就降频了,4G降成3G,3G就变成2G了。这个时候你也会容易收到伪基站的短信”。
这一场骗子与各大机构的安全攻防战,结果如何,实难预料。更令人忧虑的是,曾经泄露的那些个人信息,依然在黑市流传,谁也不清楚自己的信息是否包含其中。
(水云间摘自《看天下》2016年第11期,本刊有删节,喻 梁图)