生活报3月31日讯 没点钓鱼网站、没有短信验证码,这样银行卡就不会被盗刷吗?30日,记者从省反诈骗中心了解到,即使没有这两样,骗子盗取手机号和登录密码后,利用“撞库”法仍可以登录网银进行转账。日前,哈市孙女士就因此被骗了近万元。

  近日,正在睡梦中的孙女士突然接到两条短信,一条显示她在银行预留的手机号被修改了,另一条短信是运营商发来的短信过滤和短信保管业务提示。收到短信的时间她正在睡觉,根本不可能登录银行账户修改手机号,也不可能打电话给运营商定制业务。于是,她赶紧查询自己的银行账户,发现卡里的9000余元分四次被转走了,便赶紧报警。

  孙女士很纳闷,自己从没回复过任何钓鱼链接,也没在电脑上操作过任何账户信息,更不曾收到过短信验证码,钱是如何时被转走的?

  省反诈骗中心民警张睿告诉记者,其实这是可以实现的,骗子的诈骗过程可分为三步。

  第一步先雇人编写黑客程序,对手机运营商的网上营业厅进行扫描,获取用户的登录密码,这样就得到了手机号和登录密码的一套组合。

  第二步用“撞库”手法,编写专门的软件,把这些手机号和相匹配的密码逐一登录各家银行的网站。如果受害人的网上银行登录密码和服务网站登录密码是一个,那么就可以成功登录被害人的网银,并且知道了里面的余额。

  第三步这时离转走卡里的钱只差动态密码一步。骗子利用改号器,拨打手机运营商的客服热线,运营商那里显示的就是受害人本人的手机号。然后以被害人身份,开通短信过滤和短信保管这两项业务,就可以保证被害人收不到银行发来的动态密码,而骗子却可以通过手机营业厅提取到被保管的含有银行动态密码的短信,最终实现盗刷。

  不要为了方便登录,使用手机号和密码的组合登录各个网站,特别是安全等级不高的服务型网站。按照账户的重要性最好设置不同的密码,千万不要“一套密码走天下”!

  链接:

  何为撞库?

  是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。