提醒 | 银行卡收到了8000元退款… 这种最新骗局你能识破吗？

sc素颜 · 发表于 2015-8-30 11:07

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

x

　2015-08-30 央视新手机短信验证码“打死也不能告诉别人”的铁律已渐渐被广泛熟知，可如果银行给你打电话说要给你钱，你还能hold住吗？本来是保证用户财产安全的短信验证码却成了不法分子用来实施诈骗的工具。近日，有不法分子恶意操纵网银账户贵金属交易，实施网络诈骗，让用户的财产安全受到威胁。

　　账户收到退款骗局看起来“有理有据”

　　手机上突然收到一条银行卡支出金额的短信，随后自称某购物网站的人跟你确认，说要把刚才消费的钱退还。日前，湖北荆州市民艾先生险误信骗术，差点被转走18000余元。

　　“手机银行支出（保证金）18700元……”近日中午13时55分，艾先生手机上收到工商银行发来一条短信。还没反应过来，艾先生便接到号码为*******的电话，电话里，一位自称是某购物网站工作人员的女士向他核实是否在该网站上有18000多元的消费，并称若非本人操作，可以把钱退还给他。随后，该女士先后往他的银行卡里返还了8000多元。

　　初步取得艾先生信任后，该女士表示要发一条手机短信到艾先生手机上，证明艾先生的短信未被骗子拦截，并要艾先生将短信里的验证码告诉她。这让艾先生起了疑心，他立即拨通工行客服热线。

　　“您的银行卡可能被盗刷，请勿将验证码告知对方。”艾先生还未向工行客服人员讲清原委，只说自己卡里的钱莫名其妙被支出后，客服人员便明白了缘由。

　　客服人员告知艾先生，有人盗取了他的银行卡信息，办理了网上贵金属交易，钱全部转进了他的贵金属交易账户。若他将验证码告知骗子，钱将被转走。

　　最终，在客服人员的帮助下，艾先生将贵金属交易账户里的钱重新转到了自己的活期账.骗子利用贵金属交易账户窃走现金

　　国内某互联网安全中心近日接到大量用户因网银账户贵金属交易被恶意操纵而引起的网络诈骗案件的举报。举报用户的手机截屏显示，整个诈骗过程看起来十分“有理有据”。

　　手机用户首先收到银行短信通知，显示其账户有资金支出，一般为几千元，支出原因为用户不熟悉的某项网银金融业务，如“积金积存”、“如意积存”等。而这些业务实际上是银行开设的贵金属交易业务。

　　接着，用户接到自称是电商、银行及其他各种公司客服人员的电话，称其使用银行卡进行了消费，因金额较大，需要电话确认是否为本人操作，若非本人操作，则可以将钱款退还给用户。用户表示消费并非本人操作后，账户真的会收到一定金额的退款。

　　随后，“客服”会告知用户，其网银账户可能已经被盗刷，为保证全部资金能够退还到用户手中，需要用户提供验证码，并要求用户不要挂断电话。这时，用户手机会收到一个验证码短信，这个短信实际上是一个转账支付验证码通知短信或开通各种快捷支付的验证码短信。用户将验证码通过电话告诉“客服”后不久，就收到了银行卡被扣款的短信并发现自己的网银被盗刷。

　　验证短信用途应看清

　　实际上，骗子是先通过其他渠道盗取了用户的网银账号、密码和手机号码，之后登录了用户的网银，开通相关贵金属交易业务，并实施线上买卖操作。由于线上买卖的贵金属仍然属于网银用户自己名下的金融资产，并不会转移给其他账户，所以银行方面一般不要求用户使用U盾或其他验证方式进行验证，但会以短信方式通知用户账户的资金变动情况。这就是用户会收到银行卡支出短信的原因所在。

　　“竟然真的收到了银行发送的资金收入短信。”用户表示，这也是让他们深信不疑的原因。实际上，这是因为骗子同时在用户的网银账户上进行操作，卖出了刚刚买入的贵金属产品，从而导致有资金进入网银账户。但实际上，这些钱只是在用户个人账户内部转移，用户损失的是买入卖出之间的差价（手续费），钱并没有真正被骗子取走。

　　而诈骗真正能够得逞的关键还在于验证码。

　　骗子首先在用户的网银上进行转账操作，或者是开通各种快捷支付方式。这样，用户手机就会收到验证码短信。

　　之后骗子再以全部返还资金需要验证码为由向用户询问验证码。尽管银行短信中非常明确地写明了验证码的用途，但由于用户焦急的心理以及骗子的恐吓，如“2分钟内不输入就失效了”等，绝大多数用户往往不会认真看验证码短信的全部内容，而是直接将验证码告诉了骗子。

　　最后，在骗子完全获取了用户的银行卡号、密码和验证码之后，就能够成功转走用户账户中的资金，或者是开通快捷支付并绑定骗子的手机，再用快捷支付转走用户账户中的资金。密码泄露是罪魁祸首

　　对此，有用户质疑：银行在用户进行贵金属交易时为什么不进行二次验证？是不是银行的业务流程存在漏洞？银行工作人员表示，在银行的业务逻辑中贵金属交易是银行与用户之间的交易，银行与用户互为买卖对象，所以无论用户进行怎样的买卖操作，资金或贵金属货物都不会流转到第三方手中。也就是说，银行方面并没有对第三方的资金流出，所以不使用U盾或验证码进行验证是合理的。如果用户不将验证码泄露给骗子的话，最多也就是损失一些买入、卖出过程中的手续费。

　　验证码的泄露是直接原因，然而究其根本，用户的网银账号和密码泄露才是罪魁祸首。如果骗子不能登录用户的网银账号，这种诈骗方法就不能成立。而造成用户网银账号和密码泄露的原因有多种，其中最主要的原因往往是用户设置的密码过于简单，或者是在不同的网站使用了相同的账号和密码，从而导致账号密码被窃取。

　　互联网安全平台表示，此类诈骗案表明，银行也有需要改进的地方：首先，对用户账号密码进行安全性检验，如果用户设置的密码过于简单，应当强制要求用户设置足够复杂的密码；其次，当用户账户出现异地登录，或者是使用了新的上网设备进行登录时，应当进行必要的预警或安全验证，如向用户手机发送异地登录通知或验证码，并提示用户账号可能被盗，应及时修改网银密码。

新闻多看点

　　用户遭遇类似情况，应立即采取以下措施保护自己的账户和资金安全：

　　①立即修改自己的网银密码，或者是冻结或挂失银行卡，以免自己的网银账户出现更多损失。

　　②拨打银行或者是电商网站的官方客服电话进行咨询，以确认事情的真伪，切不可相信陌生的电话号码，尤其是陌生的手机号码。

　　③任何时候都不要将账号、密码或验证码等敏感信息告诉陌生人。

　　④用户应当在日常生活中养成良好的上网习惯，特别是不要使用过于简单的密码。网银、支付、社交、邮箱等常用账号一定要单独设置密码，并且保证密码足够复杂，建议为数字+字母+特殊符号组合的15位以上密码。定期修改自己的网银账号密码，建议每三个月或半年主动更换一次。不要一套账号密码走天下，不要无论什么网站都使用相同的账号和密码。