反诈骗服务平台权威发布：中国移动客户被盗刷真相

编者按：

从事反诈骗工作多年，对各种手法套路也算见多识广。但是这桩离奇骗盗案件，仍然让我感到迷惑不解。经多方求证，采访了本案受害者后，一步一步解开了谜团。作者在震惊和恐惧之后，产生了对资金安全的巨大担忧……

为了增强读者感受，本文使用第一人称的叙事方式，来展现案件始末。

我叫何大富

我是“手机绑架案”的受害者

十天前

大年初六

春节小长假的最后一天

我从湖南老家驾车返回深圳

由于旅途的疲惫

我很快进入了梦乡

第二天早上起床后

我发现手机处于远程锁定状态

我有点奇怪

但在登录电脑解锁后

我彻底惊呆了！

昨晚凌晨

我的手机被人不停的销毁资料并锁定

我在X东商城和X付宝账号被人登陆

用“白条”借款方式下单

购买了2台笔记本和2台手机

我的一张不常用银行卡被绑定

申请了两笔共五万多元的贷款

贷款到账后又被迅速转走

这一切

都是在一夜之间发生的啊！

我立即拨打110报警

南都也报道了我的经历

这件事情节离奇、鲜有所闻

以至于很多人如此评论

如果不是发生在我身上

我或许

也会认为是“假新闻”

……

我

何大富

毕业于工科院校

也算是正儿八经的技术男

对于手机安全向来很谨慎

从来不点陌生链接

不扫陌生二维码

我很自信：

我的手机没有中木马！

按照逻辑分析

假如我的手机已经中上木马

(即使是最低级的木马，也具备拦截验证码功能)

那么根本不需要绑定“副号”这个过程

骗子就能实施犯罪

没有木马？

也能获取验证码？

我从来都没有听说过！

我请教了各个行业的大神

均没能给出可靠的推断

哪怕是靠谱的猜测

我用了一个星期的时间

调取了各种历史记录

努力去还原真相

重演了那可怕的一夜

注意第9项，那是骗子在不停获取我的验证码

知道了事情经过

而这只是开始

还有几个深度烧脑的谜题

需要解开

看图了解一下“和多号”的基本功能就知道

案发早上的一条短信也可以说明

由于“绑定副号”

当时我的所有“通讯权”

都被完全接管

当然包含了接收短信验证码

(这个功能完全代替了木马的作用)

运营商告诉我

有三种方式可以进行“绑定”

一是由主号在官网上申请

输入副号接收到的验证码

二是由主号在APP上申请

输入副号接收到的验证码

同理

没中木马的情况下

上述两种方式

都是无法完成的

三是由主号向12583发送“KT”短信

副号回复“Y”进行确认绑定

很明显

本案只能是第三种方式

回复Y

有的公安部门对新型案件不求甚解

而是想当然的去告诉大家

什么叫“误”回复？

收到这样直白的短信

哪个脑残会TM“误”回复Y呢？

我发誓没有回复Y

所以这个谜题困扰我最久

139邮箱可以网上回复短信

但是只能回复给手机号

而不能回复给12583的服务号

飞信App也可以回复短信

但也需要验证码为前提

所以都不行……

找到了！

各种手机“云”服务

为用户提供了这个便捷功能

也为骗子提供了回复Y的

唯一“窗口”

被接管的“通信权”中

只有“接收短信”这一项

才是真正有价值的

这代表着

几乎所有网站自诩安全的法宝

“验证码”

都彻底失效

这代表着

不知道密码没关系

可以用验证码重置

这代表着

账户里没钱不要紧

可以用验证码贷款

如果说

还有最后一道防线

那就是我的取款密码

有人会说：

“银行U盾，动态口令牌在我手里，就算泄露取款密码，也不会有问题吧？”

如果你也这么想

那你真算是“不知者无畏”

“超级网银”

已经提供了便捷的金融流转渠道

U盾等硬件安全措施形同虚设

只要知道取款密码和验证码

就算是一只狗也能取走你的钱

……

还自嘲吗？

没存款就不会被骗？

还自信吗？

有U盾就不怕被盗？

怕了没有？

你真的什么也不用做！

应该看到，电子商务、移动支付、网络金融等科技发展实在太快了，在带给我们便利生活的同时，却牺牲了太多我们不曾在意的安全。

回顾央行去年12月1日实施的“ATM机向陌生账户转账隔天到账”，这种用科技倒退来换取百姓资金安全的措施，真的不该再有非议了。

试想一下

如果

手机云服务不曾提供那么多功能

如果

各大网站能够保护个人数据不被泄露

如果

网贷公司加强人工验证不会草率放贷

如果

超级网银做到更加安全的转账保护

……

虽说这只是一宗个案

但是所反映出来的安全问题

令我深深的后怕

我知道

“没有绝对的安全”

只能在不断的完善中变得更安全

然而

如同本案

一个个看似毫无关联的小小漏洞

就能被心怀叵测之人

串成一个巨大的“安全黑洞”

　　我

是这个“安全黑洞”的受害者

你

可能就是下一个

……

何大富

2017年2月14日

后记

360第一时间主动自查整改，并兑现安全承诺，全额赔偿了受害人经济损失。京东金融立即查明情况，协助撤销订单，免除了受害人全部偿还责任。招联金融积极联系受害人，口头承诺免除还款。中国银行、支付宝表示将全力配合警方调查。截至发稿时，尚未收到中国移动、和多号等方面的表态。

据悉警方正在积极侦办此案，线索清晰，证据充分，奉劝蟊贼一句：自首从宽，你将要为挑战深圳公安付出代价……

关键词：验证码，支付宝，绑定，移动支付，移动客户，短信，木马，诈骗，窗口，假新闻