手機(jī)短信驗(yàn)證碼“打死也不能告訴別人”的鐵律已漸漸被廣泛熟知，可如果銀行給你打電話說要給你錢，你還能hold住嗎？本來(lái)是保證用戶財(cái)產(chǎn)安全的短信驗(yàn)證碼卻成了不法分子用來(lái)實(shí)施詐騙的工具。近日，有不法分子惡意操縱網(wǎng)銀賬戶貴金屬交易，實(shí)施網(wǎng)絡(luò)詐騙，讓用戶的財(cái)產(chǎn)安全受到威脅。

賬戶收到退款 騙局看起來(lái)“有理有據(jù)”

手機(jī)上突然收到一條銀行卡支出金額的短信，隨后自稱某購(gòu)物網(wǎng)站的人跟你確認(rèn)，說要把剛才消費(fèi)的錢退還。日前，湖北荊州市民艾先生險(xiǎn)誤信騙術(shù)，差點(diǎn)被轉(zhuǎn)走18000余元。

“手機(jī)銀行支出（保證金）18700元……”近日中午13時(shí)55分，艾先生手機(jī)上收到工商銀行發(fā)來(lái)一條短信。還沒反應(yīng)過來(lái)，艾先生便接到號(hào)碼為*******的電話，電話里，一位自稱是某購(gòu)物網(wǎng)站工作人員的女士向他核實(shí)是否在該網(wǎng)站上有18000多元的消費(fèi)，并稱若非本人操作，可以把錢退還給他。隨后，該女士先后往他的銀行卡里返還了8000多元。

初步取得艾先生信任后，該女士表示要發(fā)一條手機(jī)短信到艾先生手機(jī)上，證明艾先生的短信未被騙子攔截，并要艾先生將短信里的驗(yàn)證碼告訴她。這讓艾先生起了疑心，他立即撥通工行客服熱線。

“您的銀行卡可能被盜刷，請(qǐng)勿將驗(yàn)證碼告知對(duì)方?！卑壬€未向工行客服人員講清原委，只說自己卡里的錢莫名其妙被支出后，客服人員便明白了緣由。

客服人員告知艾先生，有人盜取了他的銀行卡信息，辦理了網(wǎng)上貴金屬交易，錢全部轉(zhuǎn)進(jìn)了他的貴金屬交易賬戶。若他將驗(yàn)證碼告知騙子，錢將被轉(zhuǎn)走。

最終，在客服人員的幫助下，艾先生將貴金屬交易賬戶里的錢重新轉(zhuǎn)到了自己的活期賬戶里。

騙子利用貴金屬交易賬戶竊走現(xiàn)金

國(guó)內(nèi)某互聯(lián)網(wǎng)安全中心近日接到大量用戶因網(wǎng)銀賬戶貴金屬交易被惡意操縱而引起的網(wǎng)絡(luò)詐騙案件的舉報(bào)。舉報(bào)用戶的手機(jī)截屏顯示，整個(gè)詐騙過程看起來(lái)十分“有理有據(jù)”。

手機(jī)用戶首先收到銀行短信通知，顯示其賬戶有資金支出，一般為幾千元，支出原因?yàn)橛脩舨皇煜さ哪稠?xiàng)網(wǎng)銀金融業(yè)務(wù)，如“積金積存”、“如意積存”等。而這些業(yè)務(wù)實(shí)際上是銀行開設(shè)的貴金屬交易業(yè)務(wù)。

接著，用戶接到自稱是電商、銀行及其他各種公司客服人員的電話，稱其使用銀行卡進(jìn)行了消費(fèi)，因金額較大，需要電話確認(rèn)是否為本人操作，若非本人操作，則可以將錢款退還給用戶。用戶表示消費(fèi)并非本人操作后，賬戶真的會(huì)收到一定金額的退款。

隨后，“客服”會(huì)告知用戶，其網(wǎng)銀賬戶可能已經(jīng)被盜刷，為保證全部資金能夠退還到用戶手中，需要用戶提供驗(yàn)證碼，并要求用戶不要掛斷電話。這時(shí)，用戶手機(jī)會(huì)收到一個(gè)驗(yàn)證碼短信，這個(gè)短信實(shí)際上是一個(gè)轉(zhuǎn)賬支付驗(yàn)證碼通知短信或開通各種快捷支付的驗(yàn)證碼短信。用戶將驗(yàn)證碼通過電話告訴“客服”后不久，就收到了銀行卡被扣款的短信并發(fā)現(xiàn)自己的網(wǎng)銀被盜刷。

驗(yàn)證短信用途應(yīng)看清

實(shí)際上，騙子是先通過其他渠道盜取了用戶的網(wǎng)銀賬號(hào)、密碼和手機(jī)號(hào)碼，之后登錄了用戶的網(wǎng)銀，開通相關(guān)貴金屬交易業(yè)務(wù)，并實(shí)施線上買賣操作。由于線上買賣的貴金屬仍然屬于網(wǎng)銀用戶自己名下的金融資產(chǎn)，并不會(huì)轉(zhuǎn)移給其他賬戶，所以銀行方面一般不要求用戶使用U盾或其他驗(yàn)證方式進(jìn)行驗(yàn)證，但會(huì)以短信方式通知用戶賬戶的資金變動(dòng)情況。這就是用戶會(huì)收到銀行卡支出短信的原因所在。

“竟然真的收到了銀行發(fā)送的資金收入短信。”用戶表示，這也是讓他們深信不疑的原因。實(shí)際上，這是因?yàn)轵_子同時(shí)在用戶的網(wǎng)銀賬戶上進(jìn)行操作，賣出了剛剛買入的貴金屬產(chǎn)品，從而導(dǎo)致有資金進(jìn)入網(wǎng)銀賬戶。但實(shí)際上，這些錢只是在用戶個(gè)人賬戶內(nèi)部轉(zhuǎn)移，用戶損失的是買入賣出之間的差價(jià)（手續(xù)費(fèi)），錢并沒有真正被騙子取走。

而詐騙真正能夠得逞的關(guān)鍵還在于驗(yàn)證碼。

騙子首先在用戶的網(wǎng)銀上進(jìn)行轉(zhuǎn)賬操作，或者是開通各種快捷支付方式。這樣，用戶手機(jī)就會(huì)收到驗(yàn)證碼短信。

之后騙子再以全部返還資金需要驗(yàn)證碼為由向用戶詢問驗(yàn)證碼。盡管銀行短信中非常明確地寫明了驗(yàn)證碼的用途，但由于用戶焦急的心理以及騙子的恐嚇，如“2分鐘內(nèi)不輸入就失效了”等，絕大多數(shù)用戶往往不會(huì)認(rèn)真看驗(yàn)證碼短信的全部?jī)?nèi)容，而是直接將驗(yàn)證碼告訴了騙子。

最后，在騙子完全獲取了用戶的銀行卡號(hào)、密碼和驗(yàn)證碼之后，就能夠成功轉(zhuǎn)走用戶賬戶中的資金，或者是開通快捷支付并綁定騙子的手機(jī)，再用快捷支付轉(zhuǎn)走用戶賬戶中的資金。

密碼泄露是罪魁禍?zhǔn)?/strong>

對(duì)此，有用戶質(zhì)疑：銀行在用戶進(jìn)行貴金屬交易時(shí)為什么不進(jìn)行二次驗(yàn)證？是不是銀行的業(yè)務(wù)流程存在漏洞？銀行工作人員表示，在銀行的業(yè)務(wù)邏輯中貴金屬交易是銀行與用戶之間的交易，銀行與用戶互為買賣對(duì)象，所以無(wú)論用戶進(jìn)行怎樣的買賣操作，資金或貴金屬貨物都不會(huì)流轉(zhuǎn)到第三方手中。也就是說，銀行方面并沒有對(duì)第三方的資金流出，所以不使用U盾或驗(yàn)證碼進(jìn)行驗(yàn)證是合理的。如果用戶不將驗(yàn)證碼泄露給騙子的話，最多也就是損失一些買入、賣出過程中的手續(xù)費(fèi)。

驗(yàn)證碼的泄露是直接原因，然而究其根本，用戶的網(wǎng)銀賬號(hào)和密碼泄露才是罪魁禍?zhǔn)住Ｈ绻_子不能登錄用戶的網(wǎng)銀賬號(hào)，這種詐騙方法就不能成立。而造成用戶網(wǎng)銀賬號(hào)和密碼泄露的原因有多種，其中最主要的原因往往是用戶設(shè)置的密碼過于簡(jiǎn)單，或者是在不同的網(wǎng)站使用了相同的賬號(hào)和密碼，從而導(dǎo)致賬號(hào)密碼被竊取。

互聯(lián)網(wǎng)安全平臺(tái)表示，此類詐騙案表明，銀行也有需要改進(jìn)的地方：首先，對(duì)用戶賬號(hào)密碼進(jìn)行安全性檢驗(yàn)，如果用戶設(shè)置的密碼過于簡(jiǎn)單，應(yīng)當(dāng)強(qiáng)制要求用戶設(shè)置足夠復(fù)雜的密碼；其次，當(dāng)用戶賬戶出現(xiàn)異地登錄，或者是使用了新的上網(wǎng)設(shè)備進(jìn)行登錄時(shí)，應(yīng)當(dāng)進(jìn)行必要的預(yù)警或安全驗(yàn)證，如向用戶手機(jī)發(fā)送異地登錄通知或驗(yàn)證碼，并提示用戶賬號(hào)可能被盜，應(yīng)及時(shí)修改網(wǎng)銀密碼。

新聞多看點(diǎn)

用戶遭遇類似情況，應(yīng)立即采取以下措施保護(hù)自己的賬戶和資金安全：

①立即修改自己的網(wǎng)銀密碼，或者是凍結(jié)或掛失銀行卡，以免自己的網(wǎng)銀賬戶出現(xiàn)更多損失。

②撥打銀行或者是電商網(wǎng)站的官方客服電話進(jìn)行咨詢，以確認(rèn)事情的真?zhèn)?，切不可相信陌生的電話?hào)碼，尤其是陌生的手機(jī)號(hào)碼。

③任何時(shí)候都不要將賬號(hào)、密碼或驗(yàn)證碼等敏感信息告訴陌生人。

④用戶應(yīng)當(dāng)在日常生活中養(yǎng)成良好的上網(wǎng)習(xí)慣，特別是不要使用過于簡(jiǎn)單的密碼。網(wǎng)銀、支付、社交、郵箱等常用賬號(hào)一定要單獨(dú)設(shè)置密碼，并且保證密碼足夠復(fù)雜，建議為數(shù)字+字母+特殊符號(hào)組合的15位以上密碼。定期修改自己的網(wǎng)銀賬號(hào)密碼，建議每三個(gè)月或半年主動(dòng)更換一次。不要一套賬號(hào)密碼走天下，不要無(wú)論什么網(wǎng)站都使用相同的賬號(hào)和密碼。