本周，一起蹊蹺的（de）網銀被盜案引起業（yè）內高度關注。受害人在地鐵（tiě）莫名其妙地收到幾條短信，回複退訂驗證碼之後（hòu），自己的手機卡立刻失效。隨（suí）後（hòu），受害人支付寶、銀行卡被洗劫一空。

有專家建議，一方麵應加強用戶重視短信驗證碼保管的（de）教育（yù）宣傳，另一方麵，運營商中國移動也應該加強換卡業務的漏洞防範。

日（rì）前，網友（yǒu）許先生爆料（liào）稱，他（tā）在回家的地鐵上收到了一條號碼源為（wéi）1065800的短信，短信內容為某財經雜誌（zhì）的手機報。由於並無閱讀該雜誌（zhì）手機報的需求，許先生隨手回複了一條含（hán）驗證碼的退訂短信，沒想（xiǎng）到之後手機就（jiù）沒信號了，支付寶和（hé）銀行卡（kǎ）上的錢也隨之失竊。

退訂短信後手機被換卡

據獵豹移動安全專家分析（xī），在這個案（àn）例中，黑客在很短時間內完成網銀盜竊，事先應該做了精心準備。首先（xiān），黑（hēi）客通過黑色產業鏈流傳的各種數（shù）據庫精心篩選了作案目標，在正式動手前，詐騙者已經掌握受害人的手機（jī）號、手機營業廳服務密碼、支付寶賬號、銀行卡號、身份證號等信息。

雖然個人信息泄露並不能直接導致網（wǎng）銀被盜，但網銀、手機銀行（háng）、第三方支付、網購平台，這些業務（wù）都嚴重依賴手機短信驗證碼來（lái）驗證用戶身份。當手機（jī）卡被其他（tā）人補辦，災難就來了。

在這個案例中，黑客通過網上營業廳，為受害者申請4G自助（zhù）換卡；接到申請後，係統向受（shòu）害者下發換卡二次確認驗證碼。

這時，受害者手機上就會收到一條包含驗證碼的短信，如果受（shòu）害者將這6位驗證碼交給別人，結果就是受（shòu）害（hài）者手機卡立刻失效，而黑（hēi）客在另一個城市，會拿新的空白手機卡換（huàn）掉用戶手中正在使用的手機SIM卡。受害人會突然發現（xiàn）手機沒信號了，SIM卡換到其他（tā）手機也一樣沒信號，因（yīn）為這張卡已經（jīng）作廢，當然不會有信號。

就手機詐騙事件，中國移動（dòng）表示，來源不明、自（zì）己不知（zhī）情的驗證（zhèng）碼千萬不要提供給別人，尤其是不能發給陌生號碼。一旦不法分子獲知了驗證碼，後（hòu）果將不堪設（shè）想。

換卡業務管理亟待加強

業內人（rén）士稱（chēng），這（zhè）也暴露出運（yùn）營商的（de）管理漏洞。有專家說（shuō），盡管中國移動的自（zì）助換卡采（cǎi）取一些很嚴格的限製措（cuò）施，比如一定要實（shí）名、隻能本人申請以及需要較長時間（jiān）等等，但是還是被騙子通（tōng）過運營商的管理漏洞繞過了。

不少用戶也認為（wéi），中國移動發送（sòng）的換卡短信內容過於（yú）簡單，無法理解（jiě）這條短信意味著什麽重要後果。用戶並不清楚，一旦遭遇“補卡”攻擊，手機卡被其他人補辦後，由於所有與支付有關的（de）業務，用來驗（yàn）證身份的短信都在詐騙者（zhě）手（shǒu）裏，用戶的支付寶、銀行卡被（bèi）盜就成為（wéi）必然。

業內人士建（jiàn）議中國移動（dòng）加（jiā）以防範異地IP登錄辦理（lǐ）關鍵業務，應該（gāi）由客服主動打電話聯係用戶確認。因為換（huàn）卡這種業務，異地登錄的詐騙嫌疑較大。

鏈接：三招防範“補卡”攻擊

1. 驗證碼別給任何人（rén），除非是自己在做轉賬、消費等操作。

2. 如果發現自己被定製了業務，打（dǎ）10086客（kè）服退訂，不（bú）要在手機上操作你不熟悉的業務。

3.當（dāng）你發現手機突然沒信號，而周圍其他人手機都正常。請注（zhù）意，你的手機卡可能被別人補辦了。你要做的是，立刻借手機（jī）聯係銀（yín）行凍結銀行卡。或者，通過WiFi上網，登錄手機（jī）銀行客戶端，凍結銀行卡。聯係（xì）支（zhī）付寶、微信，凍結賬號。

案例

用戶“退訂短信”失（shī）財

1.網上營（yíng）業廳為受害者訂製增值業務

黑客以各種手段獲（huò）得了受害者登錄網上營業廳的“網站密碼”；通過運營商網（wǎng）上營業廳，為（wéi）受（shòu）害者訂製增值業務；

2.申請換卡並騙取受害者（zhě）驗證碼

黑客通過網上營業廳，為受害者申請4G自助換卡；接到申請後，係統向受害者下發換（huàn）卡二次（cì）確認驗證碼；黑客利用139郵箱的短信功能偽裝，向受害者騙取驗證碼（mǎ）；

3.換卡成功，受害者原手機“癱瘓”

受害者試圖退訂（dìng）增值（zhí）業務，按黑客指示將驗證碼發給了黑客；黑（hēi）客遠程完成換卡（kǎ）；

4.黑客重置郵箱密碼和支付寶密碼

黑客利用手機號登陸受害者支（zhī）付寶，通過找回密碼功能，獲得（dé）受害者的郵箱地址。黑客利用手機號，重置了受害者的郵箱密碼；黑客登錄受害者的郵箱，下載數字證書，並重置了受害者的支付寶密（mì）碼；

5.將支付寶和銀行資金（jīn）洗劫一空

黑客將受害（hài）者的（de）支付寶資金進行轉移，並通過（guò）支（zhī）付寶（bǎo）關聯（lián），洗劫（jié）了受害者的銀行資金。

上（shàng）一新聞：為什麽逸（yì）晨廣告製作的環氧樹脂發光字最好？

下一（yī）新聞（wén）：“甘肅品牌廣告語”評選揭（jiē）曉 162個廣告語入圍