警惕！一个验证码就可以让你倾家荡产！
我的图书馆
警惕！一个验证码就可以让你倾家荡产！
日前，一篇名为《亲历网络诈骗，互联网是如何让我生无分文？》的文章在网络上疯传，作者在文中讲述了自己因为一个验证码导致支付宝和所有银行卡资金被盗的惨痛事实。他可以说是眼睁睁的看着骗子把钱转走的，在知道被盗时就已第一时间采取了自己力所能及的措施去挽救，然而都失败了。具体是经过是怎样的呢？我们应如何去正确预防以避免让自己掉进同样的陷阱里呢？罪魁祸首：USIM卡验证码这次骗子的手法高超了很多，利用退订业务来骗取验证码，因此稍不留神，一般人都会上当受骗。首先收到了一个号码为“”发来的短信，内容是推介“中广财经样刊”的。根据常识一般回复“TD”该号码就不会再发来类似的广告的短信，于是第一反应就回复了“TD”。该短信回复作者发送的指令不正确。此时收到一个号码为“10086”的短信，提醒开通了中广财经半年包业务，同时发来一条短信告知话费余额已不足。因全程在地铁里，地铁信号不好，人也多，故而想着回家再打电话和客服确认。而就在这个时候又有了新的进展!又一条信息发送到了手机，发送信息的号码为“”，信息内容为“您成功订阅了中国移动的（中广财经）40元/半年，3分钟退订免费。如需退订请编辑短信‘取消+校验码’至本条短信退订。”署名“中国移动”。收到这条信息的时候，还纳闷，校验码是啥？都没有收到校验码呢？于是作者就糊里糊涂的回复了“取消+校验码”。刚回复完，号码“10086”发来了一条消息“尊敬的客户，您的USIM卡6位验证码为******”。因急着退订这个导致手机余额不足的业务，在还没有考虑何为USIM卡验证码的情况下，直接回复了取消+收到的验证码。而正是这个验证码，导致了他的支付宝及银行卡中的资金全部被盗。过了半个小时之后，手机无服务上网了，因为骗子已经通过他提供的这个验证码复制了他的手机卡，导致他的手机卡已作废。回到家里利用WiFi上网，发现支付宝提醒发生了两笔转账交易，而这些操作都不是自己完成的。而且账单记录中还在继续发生转账，是从余额宝转到作者所绑定的银行卡里的。虽然钱还没有流失到别人手中，但操作并非本人，发生这样诡异的事情，已惊觉是骗子在操作了。赶紧到支付宝个人中心解绑所有关联的银行卡，但完成解绑操作时，支付宝账单已发生了无数笔转账，账户已几乎为空，只有三笔交易因解绑而失败，但钱被丧心病狂的骗子用来给某个手机号码充值话费了，事后拨打该手机号码提示已停机。意识到事情的严重性，马上检查网银，遗憾的是，他的中国银行、招商银行网银已登陆不上，密码已被改掉了。唯一能登上的工商银行网银一如他登上支付宝账户看到的一样，正在发生转账，他赶紧通过微信联系女友帮忙挂失这些银行卡。由于挂失银行卡需打电话和客服沟通以及进行确认步骤，挂失完所有银行卡花费了大半小时。现在手机网银的普及，无需U盾即可登陆网银，若是掌握了账号密码和手机号码，大家都知道，转账两三秒钟即可完成操作。所以等挂失完所有银行卡时，他支付宝里的钱和银行卡里的所有钱都已经没了。报警后，第二天作者去招商银行柜台打印交易记录，发现这张网银卡除了利用支付宝转入钱之外，还用百度钱包转入了钱。然后分5笔转出到另外两个不同的银行账户。看到百度钱包，愣了，于是用他的手机号码作为户名，通过手机找回密码的方式登陆了百度钱包，竟然发现他的三张银行卡都绑定关联了百度钱包，然而，他从来没有绑定过！从百度客服处了解到，知道“银行卡信息、姓名、身份证号、手机号、验证码”才能将银行卡绑定到百度钱包。这让人细思恐极，这说明了骗子掌握了他以上的信息，他完全不知道自己的这些信息是如何被泄露出去的。& & &&其实在这个几乎没有隐私的互联网时代，我们每个人都可能会在不知不觉中已泄露这些信息，所以这件事也给我们敲响了警钟！如何防范被骗可能正在读这篇文章的你，正像看电影一样用旁观者的状态看这个故事，甚至还感叹一下骗子技术的高超。然而，身处这个各种诈骗盛行的社会的我们，不得不警醒一下，这样的事情，有可能会发生在我们身上。我们该如何防范呢？绝不能泄露验证码！看完上面的故事，大家应该都知道了，整个骗局最关键的一步就是作者泄露了自己的USIM卡验证码。这是电信诈骗的惯用伎俩。运营商为用户开通的自主更换USIM卡业务，让用户无需再带身份证等证件到营业厅排队办理该项目业务，方便了用户，却也因此存在了安全隐患，给骗子以可乘之机。骗子可在购买到空白的4G USIM卡后，向运营商申请自主更换USIM卡业务，完成这个业务最关键的一部是需要USIM卡验证码。于是骗子就借退订某项业务的名义，骗取到验证码，受害者往往在当下都会因为无缘无故被开通业务感到气愤，只想尽快将业务退掉以免被扣更多话费，正是如此就上了骗子的当，被骗子轻而易举的骗到了验证码。于是骗子就利用这个验证码复制了一张USIM卡，使得受害者的USIM卡失效，手机号码被骗子所掌握。由于手机号码跟所有账户信息相关，为了安全，基本上所有的账户都是绑定有手机号码的，本以为手机总会在自己身边，这是最安全的保障方式。万万没想到，一旦手机号码被别人掌控，所有账户都可以被任意修改，钱财也因此被盗空。所以若是收到需要提供验证码的短信，不管是什么验证码，我们都一定要提高警惕，绝对不能泄露自己的验证码被骗子所用。掌握正确的退订方法之前网上流传这么一个说法，“不要相信垃圾广告短信说的回TD或者回N退订，你回了，只能让它确认这个手机号是有人在用的，以后会变本加厉地发，甚至卖给别的广告商。”这个说法已得到专家的认可。若是非正规的垃圾短信，回复短信不但达不到退订的目的，还起到对方希望的“测试号码存活”的作用。这一行为在灰色行业里被称为“数据清洗”。就像有一些响一声就挂断的电话一样，他们的目的是为了证实号码还在使用。如果确认是正规的官方短信，回复TD是没有问题的。若是垃圾短信，则建议不予理睬，或用360安全卫士、手机腾讯管家等第三方应用屏蔽该号码的信息。若是收到被开通了某项业务，回复TD即可退订，那么一定要拨打运营商的官方客服电话确认，因为正常情况下运营商是不会强制给你开通任何业务的。若不幸真的发生了这样的事情，有的业务则是可以通过与客服沟通直接取消的。如需要通过其他途径取消的，那么客服也会通过短信的方式告知你取消的方法。如今各种诈骗行为横行社会，你遇到过怎样的骗局？又是如何防范的呢？也欢迎大家到留言区唠嗑唠嗑，让其他人得以了解，提高警惕，避免被骗。(内容来源互联网,无法核实真实出处,如涉及版权,请联系小编删除,谢谢)
TA的推荐TA的最新馆藏
喜欢该文的人也喜欢短信验证码真的安全吗？你必须知道几种泄露途径并加以提防
我的图书馆
短信验证码真的安全吗？你必须知道几种泄露途径并加以提防
这篇文章写了又删，主题太大，能写的太多，但看见这个案例及下边的回答我决定从整体角度好好写写。情况是这样的：昨天（3月10日）晚 11 点半左右，我的手机忽然收到一大堆包含手机验证码的短信，包括财付通、当当网、天翼视讯、无线城市等。当时以为中了谁的「呼死你」，觉得只要先关闭短信铃声，可以明天再想办法。谁知接下来的事就让人坐立不安了：手机上接连收到了招行快捷支付的消息，每笔间隔一两分钟，金额都是 195 元，我连忙在电脑上打开网银，发现自己的银行卡竟然真的出现了这些交易记录。于是我拨打了 95555 询问招行，招行的说法是这些交易都来自财付通的快捷支付，具体到底是微信还是 QQ 只能去问腾讯，他们只能冻结银行卡避免更大损失。于是我打电话给腾讯，结果夜间人工客服都歇了，直到今天早上才拨通。腾讯的说法是这笔消费通过京东购买了游戏点卡，给了我订单号，让我先联系京东，他们再跟进处理。当我联系京东之后，对方查到了消费记录，但说法是虚拟商品一经购买就无法退回，要求我先报警。而通过 110 转接到派出所之后，民警建议我先不要申请立案，否则商家和银行就不愿处理了，应该直接通过银行追回损失，必要时可以起诉。总结起来就是招行卡被人绑定了腾讯的快捷支付通过京东购买了商品，每一家都把责任推给下一家，最后民警又推回了银行。（from: 银行卡被人开通了快捷支付并被盗刷应当如何追回损失？）值得一说的是这个资金转移流程跟洗钱很相似：短信验证码是怎么泄漏的没法下结论，我整体的讲一下所有真实攻击中一些 Hack 短信验证码手段的技术细节。九个层面发送验证码的应用这个层面不是劫持，而是绕过短信验证码的检测机制达到攻击目的。应用验证出的漏洞比较多，包括微信、微博、QQ，但由于利用起来动作比较大漏洞容易掉，所以这个层面的漏洞真正用来利用的比较少。一般验证流程：生成验证码 -& 保存到 session -& 发送验证码 -& 用户提交 -& 把提交的与 session 中的比对每一步理解不透彻都会带来问题存在其它漏洞导致 session 中的数据可被读写厦门航空一系列安全漏洞打包广发证券的一些漏洞打包发送后将验证码返回给了客户端新浪某站任意用户密码修改（验证码与取回逻辑设计不当）第三方支付平台支付通爆严重漏洞,短信验证码直接隐藏在页面对用户提交没有限制导致可暴力猜测验证码微信任意用户密码修改漏洞聚美优品#2重置任意用户密码验证码没有跟账户绑定导致任意验证码都可通过验证OPPO修改任意帐号密码OPPO手机重置任意账户密码（3）推送验证码的云服务商云时代，你手机收到的 APP 的短信大多都是通过短信推送平台发出的，那也就不可避免的带来了「第三方安全风险」，黑客只要把平台拿下，流过的短信都能看到，算是一个比较薄弱的环节。酷讯网短信发送系统弱口令(一千多万已发送记录包含用户密码)建周短信平台某数据库未授权访问（大量用户电话/短信内容泄露）能看到短信能干嘛？扩大渗透战果UCloud设计不当导致防火墙被绕过+第三方问题移动运营商国内三大运营商对短信、通讯记录读取这些隐私接口管理得还是很混乱，所以黑客可能不经意黑下一套系统上面可能就有这些接口。或是一些混乱的「新业务」的漏洞导致短信可以被截取。这个层面的漏洞有「上行」和「下行」之分，有些漏洞能看到你发出的短信，有的能拦截你收到的短信。案例并不少，有些还是今年的：中国移动中国移动某平台存在弱口令（泄漏用户上行短信内容与用户姓名）某漏洞可导致任意登录中国移动他人139邮箱中国移动通行证平台重大漏洞 (可登陆任何手机邮箱，彩云等)中国联通中国联通某系统存高危漏洞可致相关信息记录\LBS\社会等信息泄露风险中国联通某业务getshell可泄漏大量用户服务密码，可查通话、短信、上网等记录从一个漏洞到再次沦陷中国联通企业信息服务平台(含32个省)中国电信中国电信某短信平台存在shell（N万短信随便你轰炸）某省电信短信发送web service无权限验证，可发任意电信用户任意短信内容中国电信天翼短信助理泄漏大量用户短信（如机票、火车票出票信息泄露）蜂窝网络主要是伪基站和 GSM 嗅探了，需要提的一点是，很多人觉得自己不是用的 GSM 网络就不会被攻击了，如果你的 3G 信号被屏蔽了呢？伪基站伪基站 + 钓鱼 = 完美黑产 - 乌云君探秘伪基站产业链京信通信HNB-10,A01L型Femto基站各种权限控制问题，可被用作伪基站群发垃圾短信等非法用途GSM 嗅探GSM Hackeing 之 SMS Sniffer 学习GSM HACK的另一种方法:RTL-SDR手机 AppApp 之间有时候也是需要相互通信的，需要通信就需要协议，这个协议在开发者使用的时候也经常会带来安全问题。拦截短信：LBE任意号码拦截漏洞（可使恶意软件绕过短信权限控制）安全管家客户端任意号码拦截漏洞（可使恶意软件绕过短信权限控制）手机木马这个点太大，主要集中在 Android，iOS 虽然也有一些可以利用的漏洞，但性价比太低，所以被用来赚钱的并不多，我说下我所了解的一些植入方式：连接了公共的 WIFI 被植入不用多说，危害有多大都被说烂，走路上突然连上 WIFI 也是常有的事。想自己试试可以用自己用手机开个热点，把信号名设置为「CMCC」，找个人多的地方安静的坐着就好了。噢，对了，不要设密码，然后，小心流量。（深入了解看这：无线应用安全剖析）你的Wi-Fi出轨了你造么？- 乌云君公共无线安全——FakeAP之WiFi钓鱼使用WiFi真的有那么危险吗？USB 插入了被感染过的机器新病毒可顺着USB数据线钻到Android手机里勿随便开启USB调试！新PC病毒可感染安卓WebView 远程命令执行搜狗输入法远程代码执行可以恶意利用劫持用户输入UC浏览器HD版本远程代码执行漏洞微信android客户端最新版远程代码执行(可远程种植后门控制用户)下载过被植入木马的 APKAPP 渠道被入侵用一个低级的漏洞向豌豆荚用户手机后台静默推送并安装任意应用用另一个低级的漏洞向豌豆荚用户手机后台静默推送并安装任意应用令人堪忧的app工厂安全（一个弱口令影响整体安全）APP 被入侵导致被强制推送木马中国电信某省智慧城市多个漏洞已shell（可全省推送信息）中国电信官网()钓鱼挂马以及电信营业厅安卓客户端定向\集体推送更新(绑马)等高危漏洞合集手机厂商自带后门酷派官方静默安装apk功能后台存在高危漏洞(演示定制机是如何在你的手机默默安装)通过二维码、短信、色情诱导等方式散播的恶意 APKXXshenqi.apk，很多时候我都觉得离漏洞越远的攻击方式越有生命力。Android敲诈病毒分析探秘短信马产业链手机云同步短信现在很多手机都是自带「云」的，同步短信是一个很常规的功能。小米云用户库泄漏各种照片流出也说明了云同步的问题。当然，通过这个方式劫持有个前提条件就是同步应用的频率比较高。攻击方式除了渗透还有「XSS 定向攻击」：OPPO手机同步密码随意修改，短信通讯录随意查看通过小米账户XSS窃取超私密资料，危害严重Gozap某处未授权访问（泄漏上亿条蜡笔同步用户短信、照片等记录）手机卡被非法补办这种手段要实践起来成本比较大，不一定能成功，大家看看下面这两个白帽子的真事案例，这种攻击方式是真实存在的。这个是线上的，4G 用户可以申请 4 张：移动手机卡补办就是这么简单（换卡服务存在缺陷会导致黑产利用）这个是线下的，之前发出来争议一直很大：移动「4G」卡所带来的威胁 - 乌云君手机丢失想像一下，如果你现在手机丢了，你会损失什么？这个主题有白帽讨论过，主要是对手机 App 的账户体系的质疑，不只是短信验证码，如支付宝的小额不需要验证就可以支付，大家可以看看：如果你手机丢了，你觉得会损失了什么？『可能你觉得手机本身的价值没什么，通讯录才是重要的。在偶年幼无知的时候 …… 觉得手机丢了，QQ也会丢了。但是，还是在偶年幼无知的时候，发现 …… 手机丢了，也许会欲哭无泪！想像一下，如果你现在手机丢了，你会损失什么？』 最后总结一下就是不要相信100%的短信验证码安全，需要我们平时注意去甄别与应对这些陷阱或是盗取。
TA的最新馆藏[转]&[转]&[转]&[转]&[转]&[转]&
喜欢该文的人也喜欢一条退订短信致男子倾家荡产 手机验证码并安全-闽南网
一条退订短信致男子倾家荡产 手机验证码并安全
来源:IT时报
&　　当手机中的应用越来越多、绑定的服务也越来越多时，谁会想到一条短信引发的连锁反应，能让一个人在一夜间倾家荡产？近日，北京许先生的遭遇《中国移动，请你告诉我，为什么一条短信就能骗走我所有的财产？》在网上引起轩然大波，中国移动、中国银行、中国工商银行、招商银行、支付宝、百度钱包、网易邮箱纷纷牵扯其中。&　　当记者通过许先生描述的被骗经过，试着重走幕后黑手攻击之路后才发现，这根链条风谲云诡、环环紧扣，国内地下数据交易市场的猖獗使用户信息严重泄露；银行批量发卡、办卡审核不严的同时，网银系统在线验证身份信息薄弱；第三方支付在方便人们生活的同时也被攻击者大肆利用……当银行、第三方支付、互联网企业越来越依赖手机短信来验证“你是你”时，一个精通各项业务环节的骗子粉墨登场，利用运营商网上自助换卡，把自己变成用户，开始一场肆无忌惮的掠夺。&　　复盘一：远程可自助换卡 备卡或从内部流出&　　4月8日，许先生在下班路上收到一条10086发来的短信，提示他开通了某杂志半年的手机报服务，在许先生回复退订无效后，又收到一条类似于官方号码发来的退订需输入“取消＋验证码”的短信和10086发来的USIM验证码短信。为了退订业务，许先生没多想就回复了6位验证码。之后，手机的SIM卡就一直处于无服务状态。&　　许先生哪里会想到，这是骗子精心设下的局，自己的号码订了增值业务是真的，10086第一次发来的退订信息和验证码也是真的，但都是骗子进入自己网厅后提出的请求。那条输入“取消＋验证码”的短信是假的，这时骗子正在远程申请SIM卡业务的“备卡激活”，短信验证码就是确认换卡的关键步骤。&　　在接下来的几个小时里，骗子用许先生的SIM卡接收短信验证码，相继攻破他的网易邮箱、支付宝及网银，并为用户绑定了百度钱包，盗取其资金。&　　在这场连环骗术中，除了骗子对中国移动网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等业务精通程度令人咋舌外，中国移动网上自助换卡业务流程设计也成为众矢之的。&　　“在整个骗局中，骗子利用了正当的业务规则，外加受害人对相关业务不熟悉骗取验证码，行骗手段具有可复制性，但如果运营商对业务规则进行修改，加强认证，骗子无法获取验证码，则攻击就会失败。”360天眼实验室的工作人员告诉记者。&　　如何才能异地自助换卡？中国移动北京公司的客服人员告诉记者，办理人需在网站上申请一张备卡，登记邮寄地址后送卡到家，但地址仅限于北京，外省市不可享受此项服务。但据记者了解，此次事件中，骗子的IP地址在海南海口，而且网上申请备卡除需填写申请姓名、手机号、收货地址外，依然需要短信验证码，既然此前许先生并未收到过申请备卡的短信验证码，那骗子的备卡是从哪来的呢？&　　“骗子可能通过内部渠道拿到了备卡，也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露，在手机卡未严格执行实名制前，不用本人的身份证也可以领卡。&　　记者在淘宝页面中输入“USIM卡”，出现了浙江移动、上海移动等地的4G USIM卡，这些备卡均可用于短信自助换卡，店主告诉记者：“虽是短信换卡的备卡，异地网上自助换卡也可以试试，但不保证成功。”&　　复盘二：手机验证码可修改网银密码&　　“这是社会工程学诈骗的一种，也是欺骗性攻击，利用补卡换卡，骗子在与许先生做心理上的较量，此外，骗子对许先生做过调查，已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息，只缺最关键的一步，就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。&　　短信验证码有多重要？以登录支付宝为例，正常情况下，若有人在用户不常用设备上登录支付宝，用户会收到短信提醒。即使不知道登录密码，但已经给用户换卡成功的骗子，可以通过短信验证码、证件号码来重置密码。&　　在此次事件中，因为已经拥有许先生的SIM卡，收到异常登录短信提醒的是骗子自己，另从许先生的手机支付宝依然与骗子保持同步登录状态来看，骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码，这也就说明，许先生的支付宝号及密码可能早已泄露，被骗子掌握。&　　记者又尝试以找回登录密码的方式登录银行网银，虽然有些银行要求找回登录密码必须拿银行卡和身份证至银行柜台办理，但有的银行的网银依然可以通过追加网银账号(在网银中添加的银行卡号)、身份证号码、查询密码和手机验证码进行网银重置。还有的银行会提示用户密码是6至8位的数字、字母和数字字母组合，并可以连续尝试输入10次。在这样的验证机制下，骗子完全有机会根据用户泄露的信息和技术手段对网银登录密码进行重置。&　　值得注意的是，对各项业务了如指掌的骗子还利用手机接收短信验证码的方式攻破了许先生的163邮箱，用163邮箱关联支付宝并下载支付宝的数字证书。这是用于用户在新电脑上使用支付宝而安装的证书，安装过程依然需要输入随机验证码及短信验证码，而被骗子关联的百度钱包，有2小时内转账的超级转账功能且转账不收手续费。&　　在百度钱包里添加银行卡，需要的依然是银行卡信息、姓名、身份证号、手机号、验证码。如果登录密码忘记，还可以通过短信验证码找回。短短几个小时里，对各项业务流程都掌握得炉火纯青的骗子在与许先生抢钱，到最后，许先生什么也没抢回来。&　　复盘三：余额1000元的支付宝账号密码可卖80元&　　“这个案例的关键点不仅在于用户如何在骗子的诱导下泄露关键信息，还有一些地下黑库信息的推波助澜。”360天眼实验室的工作人员向记者介绍，日常生活中，用户信息泄露的渠道很多。比如订酒店提供的姓名、身份证号、手机号，如果该酒店管理不严或系统存在漏洞，用户会在一瞬间泄露三个关键信息。此外，某省市的社保及新生儿信息也会被黑产人员通过论坛、贴吧、QQ群等进行贩卖、收购，形成隐蔽而庞大的市场，这早已不是秘密。&　　菠菜、面单、料主包养、拦截马、大小额通道这些表面上看起来与信息买卖无关的名称，实际均是用于信息买卖的QQ群，为了增加隐蔽性，群头像有时是一堆美女、有时则会标注隐晦的“稳赚计划”、“注册有礼”等。&　　在记者加进的一个QQ群中，信息被称为“料”，相较于售价几毛钱的身份证、手机信息，兜售支付宝余额“料”和各大银行“料”的人是群里的“大户”。比如支付宝“料”，就包括了用户的登录密码、支付密码、手机号、身份证号和快捷账号，余额1000元以下的支付宝售价80元、元售价150元，额度越高，售价越高，大家均默契地先付款后拿“料”，拒绝做数据测试。当被记者追问为什么不自己操作时，一个卖主回答：“风险太高，一个IP操作多了会被查。”&　　在这个讲究“十年打工一场梦，人无横财不富裕，马无夜草不肥”的群里，快递面单信息、手机改号软件、边境背包人员接取款、黑钱还信用卡等服务一应俱全，大家都等着靠做偏门生意成富翁。&　　“换卡攻击没有什么技术难度，关键就是要拿到用户大量个人信息。”吕礼胜说。据吕礼胜介绍，黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头，免费WiFi窃取、木马钓鱼盗号、通过伪基站发送钓鱼短信等方式则可以作为不法分子盗取用户信息的手段。&　　在《2015中国网站安全报告》中，据补天平台统计显示，补天平台中的泄露信息漏洞，共有4个漏洞可以造成1亿条以上的个人信息泄露，可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。&　　2015年共有1410个漏洞可能造成网站上的个人信息泄露，这些漏洞共涉及网站1282个，可能或已造成泄露的个人信息量高达55.3亿条。&　　行业对比方面，从平均每个漏洞泄露的信息量来看，医疗卫生行业排在首位，平均每个泄露信息漏洞可能导致961万条个人信息泄露，但医疗卫生和教育培训类网站的泄露信息漏洞修复率却极低。&　　记者观察：不能把安全只建立在手机验证码上&　　“经济发达地区往往会成为通信网络诈骗的重灾区，但通讯诈骗不是单方面某一人的责任，现在市面上依然有未实名的手机卡，银行业务员为了业绩批量发卡、违规办卡都为破案增加了难度。”&　　某市公安局反通信网络诈骗中心的工作人员告诉记者。2015年，该市通信网络诈骗案件2万余起，涉案金额近4亿元，同比上升达21%。为打击电信诈骗，该市成立了反通信网络诈骗中心，三大运营商及六大商业银行均参与其中，每单位派驻3人在公安局值班。&　　除了谁该为通讯诈骗负责外，建立在手机验证码沙滩上的互联网安全大厦的安全性也成为讨论的焦点。“人们一听到通讯诈骗，总是会把矛头对准运营商。许先生的遭遇，中国移动确实存在管理及业务流程设计上的疏忽，但银行的实名制要比手机卡实名更具天然优势，也能控制得更好，在这种情况下，用比自己安全性低的短信验证码来作为保障用户资金安全的关键屏障，实际是在降低安全性。” 独立电信分析师付亮说。&　　如今，因为手机卡实名制、手机多属于个人使用等因素促使越来越多的互联网企业将手机短信验证码作为自己的安全屏障，可当手机短信验证码可以登录、修改密码等操作出现在直接或间接与资金相关联的应用时，大家似乎忽略了，操作手机甚至是使用SIM卡接收验证码的人不一定就是用户本人。&　　“各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证，确实是依赖于手机卡实名制，能大大降低非法注册，但我们也曾遇到有人持假身份证成功办卡的情况。在我们的设备识出假身份证向后台发布‘身份错误’指令时，有黑客攻击系统，将错误指令改成正确指令，这个人就成功利用假身份证完成实名登记并办理了相关业务。”某虚拟运营商的高管告诉记者。&　　但对于手机验证码成为与资金相关联应用的安全性问题，该高管颇为无奈地说：“目前，除了短信验证码，你认为还有什么其他可以大范围应用的验证方式吗？”&　　据了解，截至4月13日，支付宝已先行赔付了许先生在其平台上流失的一万多元资金，百度钱包承诺赔付但仍需提交材料走流程，被涉及的招商银行、中国工商银行、中国银行依然没有任何进展。其中一家银行相关负责人在接受媒体采访时表示：“该用户的网上银行转账功能在此之前已由本人开通，后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称会全力配合警方处理。&　　中国移动的调查结果则显示，自助换卡业务办理流程正常，会积极配合相关部门，提供相关证据，进行后续查证。
责任编辑：曾少林
中国共产党第十九次全国代表大会18日至24日召开。
48小时点击排行榜