短信驗証≠安全保証 密碼泄露是罪魁禍首

　　手機短信驗証碼“打死也不能告訴別人”的鐵律已漸漸被廣泛熟知，可如果銀行給你打電話說要給你錢，你還能hold住嗎？本來是保証用戶財產安全的短信驗証碼卻成了不法分子用來實施詐騙的工具。近日，有不法分子惡意操縱網銀賬戶貴金屬交易，實施網絡詐騙，讓用戶的財產安全受到威脅。

　　獵網平台及360互聯網安全中心近日接到大量用戶因網銀賬戶貴金屬交易被惡意操縱而引起的網絡詐騙案件的舉報。舉報用戶的手機截屏顯示，整個詐騙過程看起來十分“有理有據”。手機用戶首先收到銀行短信通知，顯示其賬戶有資金支出，一般為幾千元，支出原因為用戶不熟悉的某項網銀金融業務，如“積金積存”、“如意積存”等。而這些業務實際上是銀行開設的貴金屬交易業務。接著，用戶接到自稱是電商、銀行及其他各種公司客服人員的電話，稱其使用銀行卡進行了消費，因金額較大，需要電話確認是否為本人操作，若非本人操作，則可以將錢款退還給用戶。用戶表示消費並非本人操作后，賬戶真的會收到一定金額的退款。隨后，“客服”會告知用戶，其網銀賬戶可能已經被盜刷，為保証全部資金能夠退還到用戶手中，需要用戶提供驗証碼，並要求用戶不要挂斷電話。這時，用戶手機會收到一個驗証碼短信，這個短信實際上是一個轉賬支付驗証碼通知短信或開通各種快捷支付的驗証碼短信。用戶將驗証碼通過電話告訴“客服”后不久，就收到了銀行卡被扣款的短信並發現自己的網銀被盜刷。

　　驗証短信用途應看清

　　實際上，騙子是先通過其他渠道盜取了用戶的網銀賬號、密碼和手機號碼，之后登錄了用戶的網銀，開通相關貴金屬交易業務，並實施線上買賣操作。由於線上買賣的貴金屬仍然屬於網銀用戶自己名下的金融資產，並不會轉移給其他賬戶，所以銀行方面一般不要求用戶使用U盾或其他驗証方式進行驗証，但會以短信方式通知用戶賬戶的資金變動情況。這就是用戶會收到銀行卡支出短信的原因所在。

　　“竟然真的收到了銀行發送的資金收入短信。”用戶表示，這也是讓他們深信不疑的原因。實際上，這是因為騙子同時在用戶的網銀賬戶上進行操作，賣出了剛剛買入的貴金屬產品，從而導致有資金進入網銀賬戶。但實際上，這些錢只是在用戶個人賬戶內部轉移，用戶損失的是買入賣出之間的差價（手續費），錢並沒有真正被騙子取走。

　　而詐騙真正能夠得逞的關鍵還在於驗証碼。騙子首先在用戶的網銀上進行轉賬操作，或者是開通各種快捷支付方式。這樣，用戶手機就會收到驗証碼短信。之后騙子再以全部返還資金需要驗証碼為由向用戶詢問驗証碼。盡管銀行短信中非常明確地寫明了驗証碼的用途，但由於用戶焦急的心理以及騙子的恐嚇，如“2分鐘內不輸入就失效了”等，絕大多數用戶往往不會認真看驗証碼短信的全部內容，而是直接將驗証碼告訴了騙子。最后，在騙子完全獲取了用戶的銀行卡號、密碼和驗証碼之后，就能夠成功轉走用戶賬戶中的資金，或者是開通快捷支付並綁定騙子的手機，再用快捷支付轉走用戶賬戶中的資金。

　　密碼泄露是罪魁禍首

　　對此，有用戶質疑：銀行在用戶進行貴金屬交易時為什麼不進行二次驗証？是不是銀行的業務流程存在漏洞？銀行工作人員表示，在銀行的業務邏輯中貴金屬交易是銀行與用戶之間的交易，銀行與用戶互為買賣對象，所以無論用戶進行怎樣的買賣操作，資金或貴金屬貨物都不會流轉到第三方手中。也就是說，銀行方面並沒有對第三方的資金流出，所以不使用U盾或驗証碼進行驗証是合理的。如果用戶不將驗証碼泄露給騙子的話，最多也就是損失一些買入、賣出過程中的手續費。

　　驗証碼的泄露是直接原因，然而究其根本，用戶的網銀賬號和密碼泄露才是罪魁禍首。如果騙子不能登錄用戶的網銀賬號，這種詐騙方法就不能成立。而造成用戶網銀賬號和密碼泄露的原因有多種，其中最主要的原因往往是用戶設置的密碼過於簡單，或者是在不同的網站使用了相同的賬號和密碼，從而導致賬號密碼被竊取。

　　獵網平台表示，此類詐騙案表明，銀行也有需要改進的地方，首先，對用戶賬號密碼進行安全性檢驗，如果用戶設置的密碼過於簡單，應當強制要求用戶設置足夠復雜的密碼﹔其次，當用戶賬戶出現異地登錄，或者是使用了新的上網設備進行登錄時，應當進行必要的預警或安全驗証，如向用戶手機發送異地登錄通知或驗証碼，並提示用戶賬號可能被盜，應及時修改網銀密碼。（蘇曉）

　　新聞鏈接

　　用戶遭遇類似情況，應立即採取以下措施保護自己的賬戶和資金安全：1.立即修改自己的網銀密碼，或者是凍結或挂失銀行卡，以免自己的網銀賬戶出現更多損失。2.撥打銀行或者是電商網站的官方客服電話進行咨詢，以確認事情的真偽，切不可相信陌生的電話號碼，尤其是陌生的手機號碼。3.任何時候都不要將賬號、密碼或驗証碼等敏感信息告訴陌生人。

　　另外，用戶應當在日常生活中養成良好的上網習慣，特別是不要使用過於簡單的密碼。網銀、支付、社交、郵箱等常用賬號一定要單獨設置密碼，並且保証密碼足夠復雜，建議為數字+字母+特殊符號組合的15位以上密碼。定期修改自己的網銀賬號密碼，建議每三個月或半年主動更換一次。更不要一套賬號密碼走天下，不要無論什麼網站都使用相同的賬號和密碼。