手机里的钱一夜被转走 到底发生了什么?

摘要:

这下一无所有了。这是豆瓣网友“独钓寒江雪”于8月1日零点之后发表的文章标题。该网友称其在7月30日凌晨5点多醒来后发现手机一直在震,接收了来自支付宝、京东、银行等的100多条验证码,然后发现“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走一万多”

从其描述可知,该网友是家住深圳的一位女士,她说在发现上述情况后第一时间打电话报警、打移动停机、找支付宝报理赔,“这两天跑银行查流水、打110求受理、跑派出所录口供、打支付宝客服、京东客服、打苹果客服……各种心力交瘁,见识了各种推诿扯皮,不作为。”

事情的大体情况

她贴出了一些短信验证码、京东金融发来的短信提醒、交易记录等截图,时间都是在7月30日凌晨1点至4点之间。见下图:

同时,她也贴出来与京东金融交涉的图片,表示自己没有提供过开通京东白条的个人资料,但京东金融审核通过,并已欠了1万元。

毕竟是财产丢失,加上对个人信息泄漏的恐惧,“独钓寒江雪”说她现在“巨难过”。她这两天陆陆续续补充了一些最新进展,记录在了iPhone备忘录里:

“独钓寒江雪”后来再次进行了补充,显示是8月3日,其实应该是昨天(8月2日):

今天京东打来2次电话,表示还是要我个人承担金条贷款。我表示还是这个答复就不要联系我了。打银监会电话反馈,没接,加上我一直在忙体检,他们也是2~5点工作时间才接听,就没有再打了。

中午打给派出所,询问立案没有,接电的问我谁给录的口供,我说不认识那个警官,他说那查不了,没权限;他说报案了就等通知吧。我说那受理回执什么的呢?他说不清楚,我问是不是录了口供就有凭证,然后那边又问了下后,说有的,过去再说。服。

这位“独钓寒江雪”(以下称“叶女士”)今天应该是拿到了深圳市公安局新城派出所的受案回执:

以上基本是事情的大体情况。

支付宝和京东的应对

叶女士在其帖子里附上了一个6月8日腾讯“守护者计划”公众号发布的一则《几条奇怪的短信,竟能卷走半辈子的积蓄,咋回事儿?》,猜测自己是不是遭遇了文中所描述的“GSM劫持+短信嗅探”。

在虎嗅昨天上午看到这个帖子后,立即向腾讯玄武实验室负责人TK咨询叶女士是不是遭遇了“GSM劫持+短信嗅探”。TK回应虎嗅:“即使假设她发的信息都属实且没有故意遗漏、假设她的描述准确无误,这个(其他的)可能性也比较多,没办法猜。”

他认为叶女士存在被黑客“GSM劫持+短信嗅探”的可能。但这也只是一种可能,可以通过很多方式实现用户手机一夜之间被盗刷,包括运营商里存在内鬼、手机中了木马等等。

与此同时,昨天(8月2日)我也联系了支付宝和京东金融的工作人员进行核实。

支付宝这边说:“了解到这个事情后,我们昨天凌晨(8月1日,也就是豆瓣帖子发出来的那个凌晨)成立了小组,正在追查这个case,查一查被盗刷原因以及拒赔的理由。”

后来支付宝经过初步了解,这位网友在支付宝上损失了900多块,“她支付宝这边的钱,其实不是单纯的盗刷,而是买了Q币”。目前支付宝不确定是哪种情况导致的,初步认为该网友存在比较彻底的信息泄露,不排除熟人作案的可能。

今天上午,支付宝向虎嗅透露了对这件事的进一步处理结果,认为可以对该用户进行代位赔偿。代位赔偿是指用户从支付宝领取到补偿款后,用户将与盗用者之间的侵权之债转让给支付宝,支付宝直接向盗用者主张权利,用户不再就上述款项主张任何权利。用户可以提供本人身份证、报案回执以及代位求偿函给支付宝,支付宝先行将款项补偿给到用户。此处@独钓寒江雪。

昨晚,虎嗅向京东金融了解这位网友反映的“京东方面让其个人承担金条贷款”的情况,京东金融今天上午给虎嗅发来了一份声明:

经过调查,这是不法分子通过GSM+短信嗅探的技术实时获取用户手机短信内容,进而窃取用户信息、盗刷用户账户进行的网络诈骗。短信嗅探的原理是不法分子可以在伪基站范围内获取到用户收到的的所有短信,而与此同时用户却毫无知觉。基于短信嗅探技术的新型黑产网络诈骗已经危及到了部分用户的财产安全,导致用户在各大银行、互联网平台都受到了不同程度的资金损失。

京东金融对此事高度关注,并设立了专门的盗刷案件处理通道,针对用户反馈的情况我们会第一时间对案件进行核实。秉承用户利益为先的原则,我们会对被确认盗刷的用户账户进行先行垫付,免除用户的还款责任。

也就是说,京东金融免除了叶女士被“借”走的这1万元,同时京东金融认为这是“不法分子通过GSM+短信嗅探的技术实时获取用户手机短信内容,进而窃取用户信息、盗刷用户账户进行的网络诈骗”的行文,跟叶女士贴的受案回执上的表述类似。

京东金融的工作人员上午对虎嗅说:“目前已经联系了对方,问题已经解决了。”

但支付宝方面根据技术人员的分析认为,这起诈骗事件不能简单地认定为是通过“GSM+短信嗅探”来实现的。对方认为iOS系统出现木马病毒的可能性相对较小,通过木马病毒只刷了900多块钱,这个成本太高了。

根据支付宝追溯的结果,该用户的支付宝在那晚进行了几笔交易,其中两笔是提现到了叶女士自己的银行卡里,只有一笔交易是消费交易,就是上面说的930多元,用来购买了Q币。

支付宝一开始判定这是正常的提现行为,所以就有了叶女士说的支付宝拒绝赔付。

支付宝在追溯的时候还发现一个问题,就是该网友的账户当时是在一个非常用手机上登录,而支付宝在非常用手机上登录需要层层验证,其中很重要的一个验证是手机验证码,而手机验证码是有实效性的(一般为60秒),盗刷的人是如何获取手机验证的……还有很多问题待解。

目前支付宝还没有给到虎嗅一个明确的结论。

TK在接受了虎嗅采访后,今天下午又在微博上说起了这事儿,给出了更详细的解析:

TK补充说:“受害人用的是iPhone,所以我本来想直接说也可能和iCloud有关,但怕被果粉喷,所以换了‘短信自动云端备份’这么一个说法。”

目前这起案件还存在诸多疑点,在警方没有给出结果之前,我们不好妄加揣测。但该案中,这位网友和支付宝、京东金融都是受害者。

该案如果真如叶女士所言,说明黑客的技术手段又进化了。就以本文频繁出现的“GSM劫持+短信嗅探”技术为例,黑客惯常在你睡觉之后对你的手机进行短信嗅探,让你毫无察觉。

怎么来杜绝或防范呢?腾讯守护者计划给出了阻止短信嗅探的方法,建议采纳:

1. 平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护;

2. 最简单的一招就是睡觉前关机。手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号;

3. 如果没有关机,早上起来看到奇怪的验证码短信,一定要想到可能是遇到短信嗅探攻击了,赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了,火速冻结银行卡,报警。

说到这儿,就得多说点儿了,打击黑产应该成为一种全民共识。随着中国移动支付越来越普及,无论是支付宝还是微信支付、各种银行手机App已经成为我们日常的支付工具,从目前来看,网络诈骗和黑客的手段越来越高明,已经脱离了短信诈骗的低级趣味。而打击网络黑产在过去两年已经成为各大互联网公司的共识,但这不是靠一己之力可以做到的,需要全社会形成联动,包括政府、公安、运营商、企业和个人都应该成为打击黑产的一部分。同时,各大互联网公司在打击黑产方面应该搁置竞争、共同协作。

今天早上,虎嗅试图联系叶女士,我在豆瓣上给她发了两次私信,但对方至今未回复。

就在今天晚上19:25,我看她在半个小时前发了条微博(账号:-美年达芬奇),她似乎对京东免除她的还款责任还有疑虑,而京东方面上午已经告知她免除她的还款责任了。

随后,我给她微博发了私信,问她京东、支付宝方面是否已经对其进行了赔付处理,以及警方是否已经立案调查。微博显示对方已读,但截至发稿,对方未给予回应。

热门评论

>>共有0条评论,显示0
更多评论
created by ceallan