圖片為王先生被騙走2000元現(xiàn)金的那個短信

    現(xiàn)在如果需要團購你用什么支付？很多人使用手機，如果你急需要買機票使用什么？或者還是手機。近年來，隨著網(wǎng)絡(luò)購物、通信的業(yè)務(wù)擴展，手機快捷支付、找回丟失密碼等方式看似越發(fā)便捷，但背后隱藏著的巨大隱患卻開始顯現(xiàn)——3月23日下午，青島的王先生在進行網(wǎng)絡(luò)二手商品交易時，就因為被對方騙去了一則短信驗證碼，隨即自己的銀行卡在密碼保密的情況下短時間內(nèi)就被盜刷了2000元。而記者獲悉，其實就在上周，國內(nèi)知名網(wǎng)絡(luò)漏洞報告平臺烏云上也有人警告稱，互聯(lián)網(wǎng)時代由于賬戶體系控制不嚴(yán)，如果你丟了手機，很可能你的QQ號，支付寶、財付通或者銀行卡里的現(xiàn)金也會因為驗證碼而一去不復(fù)返。

    一條驗證碼泄露，被‘打劫’2000塊

    “親歷@ 支付寶快捷支付漏洞，被詐騙2000元……”3月23日下午4點多，網(wǎng)名為@Skyspire的青島新浪微博網(wǎng)友王先生發(fā)出了這樣一條消息“短信明明提示充值0.01元，不小心泄露了短信驗證碼 ，卻能將我的銀行卡綁定到他人賬戶并輕易轉(zhuǎn)走2000元。銀行卡密碼和支付密碼并未泄露。這讓我感覺銀行卡資金很不安全，只好迅速將銀行卡凍結(jié)并報警。請各位指教如何追回資金？”

    記者隨即聯(lián)系上了王先生，采訪中他道出了整個事情的始末——他曾經(jīng)在網(wǎng)上發(fā)帖要銷售一樣二手商品，就在23日上午，一位外地‘買家’主動聯(lián)系他表示想要，并以需要銀行轉(zhuǎn)賬為由要走了王先生的銀行卡號和身份證號碼?！半S后，對方說要驗證下我的手機號碼是不是正確的，讓我向一個支付寶賬號充了1分錢，對方還向我索取短信驗證碼?！蓖跸壬f，當(dāng)時本以為1分錢自己也沒在意，雖然短信上也注明了請勿將驗證碼告知他人，自己還是發(fā)了過去。沒想到的是，不到20分鐘，手機卻突然收到了一條開通光大銀行快捷支付的短信 ，然后就沒有然后了……倍感蹊蹺的他上網(wǎng)一查倒吸一口冷氣，短短時間內(nèi)自己的銀行卡被快捷支付硬生生分3筆劃走了2000元的現(xiàn)金，等發(fā)現(xiàn)時為時已晚。

    記者試驗，通過手機輕易修改QQ密碼

    國內(nèi)知名的網(wǎng)絡(luò)漏洞報告平臺“烏云”在20日時就通過其認(rèn)證微博警告說：“如果您的手機丟了 ，你覺得會損失什么？僅僅是一部手機、親友通訊錄與甜言蜜語的短信嗎？這事兒放到現(xiàn)在這個互聯(lián)網(wǎng)時代就沒那么簡單了?！痹谠敿?xì)的漏洞公布頁面中，漏洞作者直言“現(xiàn)在網(wǎng)上各種賬號一般都有跟手機綁定，而且手機的權(quán)限很高。對方表示，丟手機實際上是個大概率事件，對方不僅可以通過一條短信在未知原密碼的情況下直接改掉屬于你的QQ 密碼 ，還可以更換綁定密碼 。這還僅僅是個開頭，如果你的財付通也用手機綁定了……那么它也不屬于你的了。

    記者實驗，通過手機qq密碼輕易修改這一漏洞的可行性有多少？記者隨后還找到了一臺同事的手機，在并沒有實現(xiàn)告知目的的情況下進行了一次小小的試驗，結(jié)果驗證了這種可能性的存在：在輕易地找到了對方登陸QQ時留下的QQ號碼后，有了它，記者通過騰訊官方網(wǎng)站的密碼找回功能，輕易地找到了用綁定手機找回密碼的選項不說，根據(jù)提示更是可以再只支付1毛錢短信成本的情況下 ，直接編輯一條由固定字母和新密碼在內(nèi)的短信發(fā)送至指定號碼就能一步完成密碼修改……

    這僅僅是第一步，或許有人還說如今許多網(wǎng)銀會驗證用戶的銀行卡號和身份證信息，這些是拿不到的所以還安全。但真的是這樣嗎？根據(jù)漏洞提供網(wǎng)站上的另外一篇爆料，如果有人想利用通訊運營商的網(wǎng)站，也并非“不可完成”的任務(wù)，如利用手里的手機，得到手中手機號。然后查詢所在地，在對應(yīng)的運營商網(wǎng)站找回密碼，然后登錄移動網(wǎng)站。進入個人信息管理，需要手機驗證碼，輸入驗證碼，不難有機會看到部分或者全部身份證號了 。另外，記者獲悉，同樣的管理空白還存在許多銀行的手機客戶端上。而對方一旦擁有了身份證號、手機號、銀行卡號，隨即同王先生遇到的那位詐騙者一樣替用戶開通快捷支付套取現(xiàn)金不僅是有可能，而且可能性極大。有業(yè)內(nèi)人士做出預(yù)估，經(jīng)過粗略計算，在綁定銀行卡甚至開通快捷支付的條件下，丟一臺手機，在一個小時內(nèi)沒有察覺，大約會造成4000元～4500元的損失，這還沒有算手機。如果發(fā)卡行沒有設(shè)定限額，那么很可能血本無歸……對方評論認(rèn)為，實際上，出現(xiàn)這類情況并不是騰訊或者支付寶的問題，而是用戶在選擇和設(shè)計自己的安全系統(tǒng)時，無意中造成的問題。

    如何防范？難！

    就在記者開寫稿件前，記者還發(fā)現(xiàn)@ 烏云-漏洞報告平臺更是警告說“最近的一些案例證明，犯罪分子開始利用你泄露的姓名、手機與身份證號碼等信息，去營業(yè)廳用假身份證申請掛失并補發(fā)你的手機卡(一些偏遠(yuǎn)地區(qū)營業(yè)廳管理不嚴(yán)格)。再利用此卡對您的支付寶等進行各種轉(zhuǎn)賬。”以手機為根基的認(rèn)證體系并不可信。

    讀到這里，你對已經(jīng)在自己手機上進行過的那些支付行為是不是也捏了一把汗呢？消費者更關(guān)心的是如何解決，怎樣去規(guī)避這種情況的發(fā)生？對于這一問題，記者通過私信對新浪認(rèn)證的“騰訊QQ 安全中心”提出了疑問，隨即對方給出了手機一旦丟失后的應(yīng)急措施：1)補卡，舊手機卡即刻失效；2)到aq.qq.com/mb換綁手機；3)到aq.qq.com/ss申訴設(shè)置新手機。對方還表示 ，針對手機還可能綁定銀行卡等重要信息，建議手機丟失后立刻進行停卡。

    此外，業(yè)內(nèi)人士也給出了一些應(yīng)對方法——當(dāng)確實發(fā)生手機丟失時，應(yīng)當(dāng)首先立刻停機(因為停機速度快)，然后向銀行掛失(凡是綁定了手機的銀行都要)，然后以最快速度修改所有密碼。

    文/圖  記者 王川

（來源：半島網(wǎng)-城市信報）