焦点访谈:小心你的验证码被嗅到

本篇文章3008字，读完约8分钟

央视新闻(焦点访谈):银行卡被盗被盗，太可怕了。海南三亚警方破获了一起新的银行卡盗窃案。一个女人在家什么也没做，醒来后却发现她的银行卡被抢了。这种偷毛笔的案件已经发生过多次，引起了人们的注意。那么，罪犯是如何在没有任何噪音的情况下转移资金的呢？为什么这种情况会发生很多次，我们应该如何预防？

2019年7月4日凌晨3点，宋女士在海南省三亚市的手机突然收到几个手机短信验证码，然后手机收到一条短信，显示她的银行卡被偷了5万元。

在银行卡上的钱被转移之前，宋女士做了什么吗？有什么可疑的事情发生吗？

受害者宋女士说:没有手术。询问您的身份证和银行卡密码。根本没有手术。

没有任何手术经费，她被转移走了。宋女士赶到附近的三亚市公安局三亚湾派出所报案。接到报告后，接这个案子的警察也感到奇怪。

由于受害人在整个过程中没有与刷卡人进行任何沟通或联系，也无法提供刷卡人的任何信息，三亚警方决定从资金流向进行调查。

三亚市公安局天涯分局三亚湾派出所副所长赵表示:宋女士的钱从银行卡里出来后，我们发现钱进入了第三方支付公司同联支付公司。这笔钱由同联支付给下一个第四方公司——广州关胜公司，该公司提供支付服务并发起收款请求。

最后，这笔钱被从广东省惠州市一家银行的自动取款机上取走。三亚警方很快锁定了嫌疑人，并在广东惠州将其逮捕。宋女士的5万元全部追回。钱已经追回，案件可能已经结案，但警方在侦查过程中有一个问题从未解决。在以前的一些案件中，罪犯在掌握了受害者的个人信息后，会试图获得受害者的银行卡密码来转移资金。本案受害者宋女士的钱被挪用，因为这与截获动态验证码有关。这个看似更安全的动态验证代码是如何获得的？

三亚警方成立了一个特别工作组来深入调查此案。经过几天的战斗，作案人涉及海南、四川、山东、广东等地，最终出现了分工严格、单线联系的特大网络盗窃团伙。2019年7月，特别行动小组的警察开始收集网络，并在湖南省娄底抓获该团伙的上层家庭华。现场的几台计算机仍在运行。

赵说:当时我们问他，你是怎么得到这个动态验证码的？他说他在三亚有一个同伙，在受害人居住的范围内嗅出了受害人宋女士的动态支付验证码。在嗅到它之后，他将动态验证码发送到洗钱渠道并支付了钱。

什么是嗅？犯罪嫌疑人如何嗅出受害者的动态验证码？

犯罪嫌疑人谷谋谋说:摩托罗拉的118手机经过一些改造后，变成了一个接收天线，再加上一个特定的u盘系统，电脑开机后就可以模仿基站的信号，拦截就相当于嗅探和探测周围的手机短信。一部手机售价15元，相当于一个简单的拼接过程。

为什么如此便宜和简单的嗅探设备能截获大量的手机短信？

中国政法大学网络法律研究所副所长王丽梅表示:在2G状态下，因为加密技术相对简单，容易破解，或者说容易破解，当涉及到2G网络时，嗅探技术会在中间拦截这个数据包，然后解锁。

虽然我们已经进入了4G时代，有些地方甚至使用了5G，但是在4G信号不好的地方，手机会切换到2G网络。此外，一些犯罪嫌疑人使用信号干扰设备干扰一定范围的手机信号，然后这些用户的手机信号会突然变成2G信号。这些犯罪嫌疑人将利用2G网络中的漏洞，使用嗅探设备来吸收他们周围一定范围内的手机信号。吸附成功后，受害者的手机号码和短信会自动显示在嫌疑人的电脑上，受害者会在没有任何通知的情况下成为嫌疑人的猎物。

为了从受害者的银行卡上转账，犯罪嫌疑人必须同时获得用户的姓名、身份证号码、银行卡号码、手机号码和动态验证码。这五个条件就像五把钥匙，罪犯在正常情况下很难拿到。然而，由于受害者的手机号码和实时截取动态验证码的能力，犯罪嫌疑人就像获得了一把万能钥匙，他们将通过网络获得另外几把钥匙。

对于一些没有在淘宝上购买保险或注册信息的用户，犯罪嫌疑人会同时登录该用户的其他应用。

最重要的是支付环节。许多应用程序经常故意隐藏一些用户的银行卡号码，那么犯罪嫌疑人如何获得完整的银行卡号码呢？

谷某说:你可以充值，我可以随意点击充值方式，立即充值并支付，你就可以看到你所有的卡。我知道你有建行，所以我可以像招商银行和中国工商银行一样管理你的卡，我直接通过其他应用程序获取。你不必感到惊讶。我没有发明或创造它。这只是一种操作方式。

犯罪嫌疑人在获得被害人的姓名、身份证号码、手机号码、动态验证码和银行卡号码后，还会选择犯罪目标，并检查用户是否具有实施犯罪的价值。

在识别出有价值的用户后，犯罪嫌疑人将再次使用受害者的手机号码和动态验证码，并通过秘密支付的方式转移受害者的资金。

这时，受害者什么也没做，在他的手机上收到了一串验证码，然后银行卡上的钱被转移走了。在这种情况下，犯罪嫌疑人使用的嗅探设备非常便宜，并且嗅探技术不是先进技术。为什么它能反复成功？

谷牧某说:你可以在一些应用上用真名注册信息，非常方便。当您忘记密码时，您可以通过短信验证码登录。在这个时候，你会觉得很方便，也方便我们这些犯罪分子窃取你的个人信息，通过验证码登录，这对你我都很方便。

然后，记者在手机上选择了一些常用的应用程序进行测试，这些应用程序通常可以通过用户名加密码和手机号码加动态验证码登录。当用户忘记密码时，可以通过手机号码发送验证码来找回密码。所有这些对用户来说似乎都是方便和安全的。然而，犯罪分子只是利用手机号码加动态验证码可以登录的便利，在人们防范意识不强的深夜，选择在自己的手机或电脑上输入用户的手机号码，然后用截获的动态验证码登录用户的APP，窃取用户资金。

王丽梅说:目前给手机添加验证码的方式可能占大多数，尤其是在网络空中，这是很多应用程序常用的，不是一两种流行的验证方法，但是这种验证方法本身就有一定的安全风险，这意味着验证码可能会先被拦截，这就是其中之一。第二个是预订的手机号码。事实上，这个数字很可能被泄露。因此，当它们加在一起时，在制定唯一的认证方法时存在一定的漏洞，应该尽可能用其他认证方法来补充。

不仅如此，许多互联网公司不保护用户的个人信息。

王丽梅说:当我们登录许多应用程序并使用许多移动服务时，每个移动服务都要求我们一次性提供一些个人数据。然后，在我们进入如此多的用途之后，几乎我们所有的信息在互联网的每个节点上都有很多备份，所以任何备份都会丢失、泄露等等。，这将导致所有数据丢失。

因为嫌疑人可能故意干扰手机信号，这将自动把4G和5G手机切换到2G网络。然而，2G网络的先天不足目前难以弥补，这就要求许多互联网公司和银行不要将手机和动态验证码作为唯一的认证方式，而应该尽可能增加其他认证方式来补充。同时，普通用户也应该加强个人防范。

犯罪嫌疑人陈某说:最好的办法，比如说，如果你说要绑定第三方平台银行卡，尽量不要放太多钱。

当用户突然收到一个未知的验证码，然后发现银行卡被偷了，不要惊慌。

赵说:第一时间向公安机关报告，及时停止支付，挂失并冻结银行卡。我们的公安机关会追查这笔钱。

虽然这个案例不算大，但反映的问题值得关注。我们的个人信息就像游泳池里的水。互联网服务的每一次使用就像在泳池里安装管道，这增加了泄漏的风险。更令人担忧的是，许多管道使用同一个带有手机号码和验证码的水龙头。现在信息网络技术犯罪越来越多。这些罪犯能够成功的原因是他们利用了网络技术中的各种漏洞。人们希望电信运营商、互联网公司、银行和监管机构能够想办法确保人民财产的安全。毕竟，没有安全的便利是没有意义的。

来源：央视在线直播