在回复了一条短信后，一夜之间，许先生的积蓄几乎全部被人转走。银行卡、支付宝和百度钱包的钱在几个小时内被骗子轻易转出去，自己眼睁睁看着，却无能为力。

网络安全专家分析，根据许先生提供的信息，骗子在实施诈骗前已经获取了受害人的银行卡号、身份证号、姓名、手机号等个人信息。只需要获得验证码即可实施盗窃。

据新京报记者采访获悉，在买卖身份证、银行卡、手机号等个人信息的“黑市”中，在QQ上3-5毛钱就可以买到一条。网络安全专家表示，不法分子获取个人信息主要的途径包括无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和新型黑客技术窃取等。

【事件】

　　将验证码回复过去 几小时内钱被盗

北京的许先生因根据提示回复了一条短信，几个小时内积蓄几乎被悉数盗走，涉及三张银行卡及支付宝、百度钱包。

一周来北京市的许先生过得很糟心，一直在为自己被盗的积蓄奔波。许先生告诉新京报记者，自己一直在创业，好不容易有了点积蓄，却在几个小时内几乎被悉数盗走。涉及三张银行卡，以及支付宝和百度钱包。事情的起因是自己根据提示回复了一条短信。

4月8日，许先生在下班回家的地铁上收到一条10086的短信，提示他手机开通了一项名为“中广财经半年包”的业务；接着又收到一条“10658+手机号”发来的短信，称回复“取消+校验码”可退订业务；与此同时，许先生收到10086发来的“USIM卡6位验证码”。正想退订业务的许先生就根据提示将验证码发送过去。之后“灾难”就开始了。

半个小时后，许先生的手机无法上网和通话，此时他还以为是中国移动开通业务后导致手机停机；不过一个小时后，许先生发现事情并非如同他的猜测，自己的支付宝开始向绑定的银行卡转账，而银行卡的网银密码也被修改了，他本人无法登录。除了用支付宝转账外，他的百度钱包也被人绑定关联了银行卡，参与了转账。最终许先生银行卡和支付宝里的钱都被转走了。

在此期间，许先生采取了不少措施，比如尝试将钱转到其他的银行卡上，解除银行卡与支付宝的绑定等，但都没能挽回损失。许先生说：“我是同一时间在和TA抢钱，而最后，我啥也没抢回来。”

【探因】

　　被盗刷前银行卡身份证等信息已泄露

网络安全专家表示，这是一起典型的综合利用“个人信息+USIM卡+改号软件发送诈骗短信”的案件。

许先生的钱究竟是如何被盗走的呢？新京报记者就此采访了360互联网安全中心网络安全专家刘洋，刘洋表示，按照许先生的描述，这是一起典型的综合利用“个人信息+USIM卡+改号软件发送诈骗短信”的案件。

“根据已有的信息判断，在实施诈骗之前，骗子掌握了大量受害者的个人信息，包括姓名、手机号、身份证号、网银账户和密码，银行预留的验证手机号。”刘洋说，在这种情况下，骗子只需要得到许先生的短信验证码，即可进行转账操作。于是，骗子选择利用移动的USIM补换卡业务，直接窃取用户手机卡，并由此可以掌握该用户的全部手机短信，包括转账必需的“验证码短信”内容。

根据刘洋的解释，骗子先获取了许先生移动网上营业厅账号密码，给许先生订购手机报增值业务，以便干扰他的判断，认为被强制订购业务；实际上，这时骗子通过网上营业厅办理USIM换补卡业务，使得许先生收到中国移动发送的短信验证码；骗子再利用改号软件定向给许先生发送短信，提示他退订增值业务需回复短信“取消+验证码”，诱骗许先生把“USIM卡补换卡验证码”当成“取消订购业务验证码”发送过去，交给骗子。

办理USIM卡补换卡业务后，原手机上的卡就不能用了，骗子利用了这个漏洞窃取了许先生的手机号，在具备许先生的个人信息后，骗子可以轻易获取任何转账支付需要的验证码，进行支付宝、网银等转账支付。

新京报记者4月18日登录移动官网查看发现，移动这项业务已进行了安全机制上的更新，用户如果没有申请备卡就不能办理该业务。而且移动会提醒：即将在中国移动北京公司办理补卡。

据上述涉事银行内部人士分析，该客户身份信息、银行卡号、网银登录密码、手机号均泄露，特别是手机号及手机接收到的信息被犯罪分子控制。客户在支付机构通过“姓名、银行卡号、证件类型和证件号、手机号、手机验证码”绑定银行卡，支付过程中，验证客户在支付机构设置的密码。

上述银行人士表示，在与支付机构合作快捷支付业务中，银行一般会建立相应的风控机制，例如客户签约的手机号码应在银行柜面或通过网银U盾验证，以防不法分子利用。同时，对支付机构的快捷业务设置了相应限额，分为单笔累计、日累计和月累计，如出现资金盗刷，可降低被盗资金额度风险。后续，该行将与客户一起尽快解决问题，减少客户损失。提示广大客户，妥善保护好个人信息，防止个人信息泄露。

(责任编辑：安博涛)