提示

　　平時需做好敏感私人信息保護

　　此外，據犯罪嫌疑人交待，他們利用設備可以登錄一些防范能力較低的網站（一般只需要手機號+驗證碼）綽綽有余。但是他們的目的并不僅限于成功登錄，而是要盜刷你名下的錢。所以還需要通過其他手段獲取姓名、身份證號、銀行卡號等信息，他需要社工手段來確定這些信息。因此，用戶平時要做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感的私人信息保護。

　　那么，騙子如何獲取用戶的這些信息呢？例如如何獲知附近用戶的手機號？據騰訊安全技術專家介紹，手段千奇百怪，比如騙子劫持到中國移動139郵箱發(fā)送來的短信“中國移動 139郵箱 狂歡來一波！100%有獎！點擊查看郵件詳情xx”后，復制其中的鏈接到瀏覽器，點擊“進入掌上營業(yè)廳”，就可以直接看到手機號了。知道了手機號以后，再通過登錄其他一些網站，利用社工手段就可以很輕松地知道這個人的銀行卡賬號、身份證號。

　　在獲取了用戶信息后，騙子就可以利用這些信息實施犯罪。其一，登錄各種網站修改密碼，如許多電商、旅游網站允許使用“手機號+驗證碼”的登錄方式，而騙子又可以實時監(jiān)控到驗證碼，所以很容易就可以登錄。據測試，許多主流網站都可以順利登錄，可以查看商品訂單、行程信息、支付信息等，而且還可以直接更改登錄密碼。其二，可以盜刷資金，許多App的安全策略較低，不少APP只要輸入“姓名+銀行卡賬號+身份證號碼+手機號碼+動態(tài)驗證碼”，就默認是本人操作，騙子進入以后馬上就會盜刷或者購買點卡類虛擬物品。其三，利用網站身份申請貸款等，有些嫌疑人刷完了銀行卡中的錢，還會通過這些信息在一些小的貸款網站、平臺申請小額貸款，讓受害人不但積蓄全無，還會背負債務。通過非法獲取和販賣用戶的隱私信息，黑產還可實施精準的電信網絡詐騙、敲詐勒索、惡意推廣營銷等不法活動。

　　在此過程中，一些App會在必要時候啟動風險措施，如支付寶在嫌疑人試圖提現(xiàn)時啟動了風控措施，從而中斷了嫌疑人進一步實施犯罪的動作。據介紹，當天嫌疑人利用偽基站和嗅探設備于1時42分通過“姓名+短信驗證碼”的方式登錄了支付寶賬號；1時45分和1時48分通過社工到的信息對登錄密碼和支付密碼進行了修改，并且綁定了銀行卡；1時50分到2時12分別通過輸入支付密碼的方式進行網上購物932元，并提現(xiàn)7578元。3時21分，嫌疑人想通過提現(xiàn)到銀行卡上的錢進行購物，支付寶風控措施啟動，要求人臉校驗，沒有通過校驗后嫌疑人便放棄。此時，在支付寶上的消費也就是932元。

　　安全專家表示，支付寶的安全等級算是高的，但從嫌疑人的交待中，還發(fā)現(xiàn)了許多網站的風控措施不嚴格，很容易被利用。比如每天最高限額定得過高（某銀行每天限額達到5000元），比如更換設備登錄、頻繁登錄沒有人臉或密碼校驗等手段，再比如可以在網站上進行小額貸款等操作。