不打电话不钓鱼，全新电信诈骗手法已经出现

　　丁小姐半夜收到的短信

　　上海年轻白领丁小姐早上7点起床，看见手机上有两条来自银行和手机运营商的短信，发送时间分别是凌晨3时43分和4时12分。

　　起初她以为是发错了并没有在意，保险起见丁小姐查了一下自己的账户，发现自己10万多元的余额在一夜间归零。

　　陈先生是国企高管，他也在一夜间被转走了28万元。

　　两人都表示，自己平时特别注意用卡安全，卡从不离身，密码也从未泄露，转账都用U盾，上网也都是专业版的网银。那么卡里的钱怎么会凭空消失呢？

　　简单粗暴的“撞库”

　　丁小姐的噩梦并没有完。在余额被盗之后，她还遭遇了信用卡被盗刷，甚至“被申请”了7万元的浦发银行万用金贷款，而这些债务，自然都算到了丁小姐的头上。

　　记者在一年多的跟踪采访和调查之后，终于搞懂了这种手法更隐蔽、危害性也更大的全新骗术——

　　犯罪分子找来一些黑客编写程序，用批量生成的电话号码去扫各类网站，把电话号码所对应的登录密码扫出来。这在业界被称为“撞（数据）库”。这种简单粗暴的方法，直接得到了用户最关键的登录信息，相当于偷取了用户的网络身份。撞库的速度也很快，每分钟就能跑1000个，成功率在50%以上。

　　利用撞库攻破密码登录了网银之后，要想转账，绕不过的还有一步——随机验证码。现在的金融机构采取的都是双因子认证，也就是说有两把钥匙，其中一把钥匙是用户自行设置的密码，这是只有用户自己知道的；第二把钥匙是银行随机发送到用户手机的验证码，这是用户和银行事先都不知道的。只有这两把钥匙同时开锁，才能顺利使用转账等金融业务。

　　要拿到验证码，自然需要再攻破你的手机，读到你的短信。于是犯罪分子登录用户的手机营业厅，开通短信过滤和短信保管，以此读到用户短信。这也就是为什么丁小姐深夜收到了那两条通知短信。

　　全新作案手法：“换卡”

　　在警方的提醒下，运营商发现安全漏洞，关闭了相关的短信过滤和保管功能。原本以为，犯罪分子这下可以偃旗息鼓了，但谁料到他们又“开发”了全新的作案手法：换卡。

　　犯罪分子攻破了受害人的网上营业厅之后，以受害人的“名义”申请了4G换卡业务。

　　运营商一般默认登录人就是持卡人本人，再加上随机动态码的验证，因而跳过更多身份验证的环节直接就可以把卡快递到指定的地址。新卡在持卡人毫不知情的情况下，被寄到了不法分子的手上。而当新卡一旦被激活，真正的持卡人手上的这张卡就自动失效了。

　　3.2亿条信息被攻破

　　采访中记者得知，此次警方从犯罪分子手中截获的已被破解的用户信息有3.2亿条。如果按照我国平均每人拥有一个手机号码来算，3.2亿条信息，意味着每四个人当中就有一个人的信息已经被泄露或者被攻破。

　　好在上海黄浦警方及时破案，阻止了这批数据的进一步泄露，否则后果不堪设想。警方从海南将本案的四名犯罪嫌疑人带到上海。据说抓捕的时候，有人还在“撞库”呢。

　　【防范提示】

　　各网站密码 不要相同

　　面对日益严峻的信息泄露形势，我们自己能做什么？警方建议：

　　1、保证密码足够复杂，并妥善保管，防止泄露；

　　2、各网站密码不要相同；

　　3、一旦发现手机不能用，立即将银行卡挂失；

　　4、设置转账限额，调低信用卡额度。