一条短信盗走积蓄 谁来为被盗刷“埋单”？
个人信息泄露 一条短信盗走积蓄
银行卡、支付宝和百度钱包中的资金悉数被盗；
利用“个人信息＋USIM卡＋发送短信”作案
　　在回复了一条短信后，一夜之间，许先生的积蓄几乎全部被人转走。银行卡、支付宝和百度钱包的钱在几个小时内被骗子轻易转出去，自己眼睁睁看着，却无能为力。
　　网络安全专家分析，根据许先生提供的信息，骗子在实施诈骗前已经获取了受害人的银行卡号、身份证号、姓名、手机号等个人信息。只需要获得验证码即可实施盗窃。
　　据新京报记者采访获悉，在买卖身份证、银行卡、手机号等个人信息的“黑市”中，在QQ上3-5毛钱就可以买到一条。网络安全专家表示，不法分子获取个人信息主要的途径包括无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和新型黑客技术窃取等。
　　【事件】
　　将验证码回复过去 几小时内钱被盗
　　北京的许先生因根据提示回复了一条短信，几个小时内积蓄几乎被悉数盗走，涉及三张银行卡及支付宝、百度钱包。
　　一周来北京市的许先生过得很糟心，一直在为自己被盗的积蓄奔波。许先生告诉新京报记者，自己一直在创业，好不容易有了点积蓄，却在几个小时内几乎被悉数盗走。涉及三张银行卡，以及支付宝和百度钱包。事情的起因是自己根据提示回复了一条短信。
　　4月8日，许先生在下班回家的地铁上收到一条10086的短信，提示他手机开通了一项名为“中广财经半年包”的业务；接着又收到一条“10658＋手机号”发来的短信，称回复“取消＋校验码”可退订业务；与此同时，许先生收到10086发来的“USIM卡6位验证码”。正想退订业务的许先生就根据提示将验证码发送过去。之后“灾难”就开始了。
　　半个小时后，许先生的手机无法上网和通话，此时他还以为是中国移动开通业务后导致手机停机；不过一个小时后，许先生发现事情并非如同他的猜测，自己的支付宝开始向绑定的银行卡转账，而银行卡的网银密码也被修改了，他本人无法登录。除了用支付宝转账外，他的百度钱包也被人绑定关联了银行卡，参与了转账。最终许先生银行卡和支付宝里的钱都被转走了。
　　在此期间，许先生采取了不少措施，比如尝试将钱转到其他的银行卡上，解除银行卡与支付宝的绑定等，但都没能挽回损失。许先生说：“我是同一时间在和TA抢钱，而最后，我啥也没抢回来。”
　　【探因】
　　被盗刷前银行卡身份证等信息已泄露
　　网络安全专家表示，这是一起典型的综合利用“个人信息＋USIM卡＋改号软件发送诈骗短信”的案件。
　　许先生的钱究竟是如何被盗走的呢？新京报记者就此采访了360互联网安全中心网络安全专家刘洋，刘洋表示，按照许先生的描述，这是一起典型的综合利用“个人信息＋USIM卡＋改号软件发送诈骗短信”的案件。
　　“根据已有的信息判断，在实施诈骗之前，骗子掌握了大量受害者的个人信息，包括姓名、手机号、身份证号、网银账户和密码，银行预留的验证手机号。”刘洋说，在这种情况下，骗子只需要得到许先生的短信验证码，即可进行转账操作。于是，骗子选择利用移动的USIM补换卡业务，直接窃取用户手机卡，并由此可以掌握该用户的全部手机短信，包括转账必需的“验证码短信”内容。
　　根据刘洋的解释，骗子先获取了许先生移动网上营业厅账号密码，给许先生订购手机报增值业务，以便干扰他的判断，认为被强制订购业务；实际上，这时骗子通过网上营业厅办理USIM换补卡业务，使得许先生收到中国移动发送的短信验证码；骗子再利用改号软件定向给许先生发送短信，提示他退订增值业务需回复短信“取消＋验证码”，诱骗许先生把“USIM卡补换卡验证码”当成“取消订购业务验证码”发送过去，交给骗子。
　　办理USIM卡补换卡业务后，原手机上的卡就不能用了，骗子利用了这个漏洞窃取了许先生的手机号，在具备许先生的个人信息后，骗子可以轻易获取任何转账支付需要的验证码，进行支付宝、网银等转账支付。
　　新京报记者4月18日登录移动官网查看发现，移动这项业务已进行了安全机制上的更新，用户如果没有申请备卡就不能办理该业务。而且移动会提醒：即将在中国移动北京公司办理补卡。
　　据上述涉事银行内部人士分析，该客户身份信息、银行卡号、网银登录密码、手机号均泄露，特别是手机号及手机接收到的信息被犯罪分子控制。客户在支付机构通过“姓名、银行卡号、证件类型和证件号、手机号、手机验证码”绑定银行卡，支付过程中，验证客户在支付机构设置的密码。
　　上述银行人士表示，在与支付机构合作快捷支付业务中，银行一般会建立相应的风控机制，例如客户签约的手机号码应在银行柜面或通过网银U盾验证，以防不法分子利用。同时，对支付机构的快捷业务设置了相应限额，分为单笔累计、日累计和月累计，如出现资金盗刷，可降低被盗资金额度风险。后续，该行将与客户一起尽快解决问题，减少客户损失。提示广大客户，妥善保护好个人信息，防止个人信息泄露。
　　【调查】
　　个人信息“黑市”交易3毛一条
　　目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。
　　个人信息被当成商品在“黑市”交易已不是秘密。
　　新京报记者通过调查发现，网上有不少出售个人信息的QQ群，在一个名为“出售个人信息数据”的QQ群里，不少人在群里咨询“求购车主信息”“有没有身份证银行卡加密码信息”……
　　新京报记者以需要个人信息的名义联系名为“客服3”的管理员，在提供从城市、具体要求之后，该管理员发来一份“样例”，并声称资料靠谱。
　　据其描述，不同要求的资料价格也不同。其中只有姓名、身份证号、手机号等信息的话，一手资料2元/条，二手资料0.3元/条。“银行的贵，带密不做，风险高。”该管理员称，一般加上银行卡号后，一手信息会升到一条5元，二手信息也升到0.5元一条。
　　此后，记者又试图添加其他QQ群，大部分都没有审核通过。其中有一位自称“网络大咖”的出售人员表示，“1万数据2800元，服务器提取一手数据”，并称统一先收费再操作。当记者询问能否提供“试用”，遭到对方的拒绝。
　　“目前非法获取消费者个人信息的形式主要有无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和信息黑客技术窃取等。”刘洋说。
　　据刘洋介绍，无良商家倒卖主要是某些掌握大量用户个人信息的商业机构由于管理不善，内部员工盗卖用户个人信息的事件时有发生；木马病毒窃取个人信息主要是针对上网账号，统计显示，超过一半的流行木马病毒与网络盗号相关。而且盗号木马主要针对的用户的游戏账号、社交账号、网银账号和其他支付账号；二手手机泄密是指用户出售自己二手手机时，即便将通讯录、短信、通话记录等信息全部删除，但如果没有对手机中存储的信息进行彻底的销毁，则有可能被不法分子恶意恢复数据并用于不法目的。
　　2015年，关于网站被拖库、撞库的新闻时常见诸各类媒体。在网站数据窃取方面，刘洋表示，统计显示，仅补天平台在2015年收录了可造成个人信息泄露的漏洞就多达1410个，涉及网站1282个，可导致泄露的个人信息量高达55.3亿条，这一数字较2014年的23.6亿条翻了一倍多。如果按照中国网民总数为6.5亿计算，这一数字也就意味着，仅仅在2015年这一年，平均每个中国网民至少可能泄露了8条以上的个人信息。
　　除此之外，还有新型“黑客”技术窃取，刘洋介绍，目前一些新型的黑客攻击技术也在被越来越多地用于窃取消费者个人信息。比如伪基站可以伪装成任意号码向用户发送诈骗短信，并诱骗手机用户登录钓鱼网站；钓鱼WiFi则可以直接监听接入该WiFi网络用户的所有上网行为。
　　【追问】
　　谁来为被盗刷“埋单”？
　　支付宝“先行赔付”许先生一万多元损失，百度钱包承诺赔付，北京移动称业务流程办理正常，涉事银行称客户“泄密”导致资金受损。
　　“事情发生后，都不知道该找谁负责。”许先生说，他先后找了移动、银行、支付宝和百度钱包，支付宝和百度钱包答应赔偿部分损失。移动和各家银行都没有赔偿的说法。
　　北京移动10086热线4月12日在微博上公布了调查结果称，4月8日17时54分，有人用许先生的手机号码和他自设的密码登录了北京移动官方网站，经网站弹屏二次确认后，办理“中广财经半年包”业务，IP地址显示登录地点在海南海口；18时13分，有人用同样的方式登录该网站办理了更换4G USIM卡业务，系统向客户本机下发换卡二次确认验证码，也就是6位USIM验证码，该密码被输入后，换卡成功。北京移动称，以上业务流程办理正常。
　　另外，4月18日后，中移动的USIM卡换卡业务已进行了安全机制上的更新，用户如果没有申请备卡就不能办理该业务。
　　支付宝相关负责人向新京报记者表示，已经在4月11日中午赔付当事人一万多元损失。“按理来说只能赔偿在支付宝平台上损失的资金，这个用户的很多资金是通过银行卡转调的。”据该负责人介绍，因为案例比较特殊，当事人也比较紧张，所以就走了特殊的先行赔付流程。
　　在当事人的描述中，其手机号码出现问题后，支付宝就发生了非本人的转账操作。而据上述负责人介绍，支付宝要是忘记密码后进行密码更改，至少需要两重验证，包括“手机+身份证”及“身份证+安全问题”。但她同时表示，该案例的特殊性在于，当事人的手机卡被人用几条短信就复制并掌握，同时当事人本身的身份证号、银行卡号，甚至交易密码都可能泄露了。
　　百度钱包的相关负责人也向新京报记者表示，在全程跟进该事件，并已经请用户提供相关材料，承诺赔付。“之前的问题在于回复了短信导致他的个人信息被盗，然后有人在我们平台上进行一系列动作。”该负责人表示，要是身份信息被别人拿走的话，这些操作都是可做的，不管在哪个支付平台。
　　新京报记者也就此事采访了上述三家涉事银行。对于许先生所称的期间“网银根本登不上”，其中一家银行相关负责人表示：“通过该客户的描述，推断客户可能已泄露包括银行卡密码在内的相关信息。”据银行方面介绍，客户转账时需验证银行卡卡号、取款密码和短信验证码等多个要素均正确后才可转账成功。
　　“该客户的网上银行转账功能在此之前已由本人开通，后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称，已回电客户，目前资金实时转出银行确实无法进一步处理，关于资金问题还需客户催促警方尽快侦破案件，银行会全力配合警方处理。
　　“经营者若有安全漏洞须承担一定责任”
　　刘洋表示，就目前掌握的情况初步推断，之前运营商存在备卡激活太简单的问题，只要登录营业厅，就可以如描述中办理了，目前运营商已经升级了安全的防护，说明对此前这个短板进行了填补。
　　刘洋认为，目前第三方支付和银行，无论是修改密码和转账，都需要短信验证码，此案中嫌疑人已经有了受害者手机号，接收验证码等于完全没有问题，因此容易“作案”。如果更严格，比如必须网银“U盾”登录、转账等，用户在使用上可能会觉得不方便。建议利用大数据加入一些更加隐秘的验证方式，比如在新登录时须有朋友验证，即使被盗取了验证码，还需要选择认识的朋友才可以使用。
　　中国通信业知名观察家项立刚表示，事件中有一点是许先生将USIM换卡业务验证码当做退订业务验证码，发到骗子用改号软件修改过的号码上，用户在这方面有些疏忽大意。
　　北京汇佳律师事务所邱宝昌认为，最终责任人是盗取信息和实施诈骗的犯罪嫌疑人。从中国移动、银行和第三方支付来看，如果这些经营者有安全漏洞或者瑕疵就要承担一定的责任，要先行赔付客户，加大安全等级设置。
　　■ 建议
　　对于如何保护好个人信息，防止账户被盗刷，360互联网安全中心网络安全专家刘洋给出了建议。
　　●如何保护好个人信息？
　　1、银行账户、支付账户、普通网站会员账号需要区别使用账号名和密码，每3个月修改一次密码，密码组合尽量采用大写字母、小写字母、数字等组合。
　　2、对于需要填写身份证号、银行卡号、银行密码等信息时，需要认真检查网站合法性，如查询备案信息，使用360浏览器的照妖镜功能等进行网站鉴定。
　　3、不随意登录不明WIFI，打开不明短信中的链接，下载不明软件，PC和电脑中安装安全软件，及时查杀木马病毒软件，拦截钓鱼链接。
　　4、处理旧手机、电脑等带有个人信息的电子产品时，利用专业软件将个人信息删除并保证不可恢复状态。
　　●如何防止账户被盗刷？
　　1、办理网银业务时，申请U顿功能，防止被盗后被轻易修改网银设置。
　　2、设置日常转账、购物额度，防止大额金额被直接盗刷。
　　3、手机银行采用最高的安全设置，如绑定手机设备，转账汇款等采用短信验证码和取款密码等组合。
　　4、大额闲置资金存为定期，每3个月修改一次银行卡取款密码、网银登录密码。
　　●怎么提高防骗意识？
　　1、收到熟人发来的转账、代付款等信息后，需要电话当面确认是否属实。
　　2、收到银行、运营商等商业机构发来的短信，如有链接不要轻易点击，不要轻易安装链接中的软件。接到电话，可以采用回拨官方客服的方式进行确认，不要轻信电话中所说的内容。
　　3、警惕冒充公检法等政府机构的短信、电话，如若收到，可以咨询亲友意见、到当地相关机构进行核实。
　　B10-11版采写/新京报记者 苏曼丽 李蕾 陈鹏 魏微
[责任编辑:公司的短信接口每天都被人刷几千条，这个怎么解决_百度知道
公司的短信接口每天都被人刷几千条，这个怎么解决
我有更好的答案
短信接口存在隐患吧 用安全点的 凌凯
建议在发短信之前加一个图片验证，或者绑定一下IP看能否解决。
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。当事人点击手机短信被盗刷千万元，怎么维护自己的权益？--在线法律咨询|律师365(64365.com)
大家都在搜：
微信扫一扫 免费问律师
手机扫一扫 法律兜里装
当事人点击手机短信被盗刷千万元，怎么维护自己的权益？
1分钟提交法律咨询 2000多位 信得过的好律师 为您提供专业解答
（咨询请说明来自律师365）
地区：云南 |解答问题：40803条
你好，对方的行为涉嫌，建议报警维权。
相关法律咨询
是百付宝和苏宁易购我都没有注册过，他们怎么绑定我的银行卡的，我也没有收到他们所说的验证码，我想起诉银行对我的存款安全没有负责，未通过本人同意允许百付宝和苏宁易购绑定我的银行卡账户，我也想起诉百付宝和苏宁易购未经银行卡账户主人允许绑定了我的银行卡账户，致使我损失25000元人民币，这样能行吗，需要什么证据
你好，被盗刷可能不是商家所为，有可能是犯罪份子获取你的信息后盗刷你的银行卡，目前这类犯罪频发，建议立即报警处理。
地黑龙江，盗刷地：天津，深圳，起诉银行找回损失的话该起诉哪里，都需要什么费用，大概多少钱？还有，我报警的话一定要回开户行当地报警还是在被刷卡地报警，有什么区别呢？因为我现在在盗刷卡的地方，如果回开户地来回很远！还有如果案件不侦破，我是要一直等还是可以在立案期间直接起诉银行，律师费大概是多少？
就你说的情况建议报警处理，当然如果案件不能侦破，你可以起诉银行，可以跟协商
取完，8点半到银行进行换卡修改密码操作，并查询到是在昆明被取的（我是成都的），当天到派出所报了案。请问我能否起诉银行对我的损失进行赔偿？
你好，可以报警处理，确定你现在的所在地及卡所在地，然后起诉银行
关注此问题的人还看了
相关法律知识
周边专业律师
扫描二维码
更多惊喜等着您！
立即提问、免费短信回复
律师365，优质法律服务平台
400-64365-60服务时间：周一至周六8：00~22:00服务指南平台保障律师入驻常见问题
Copyright(C) 成都六四三六五科技有限公司 版权所有 蜀ICP备号 增值电信业务经营许可证(川B2-)
1062律师在线
4070今日解答骗术再升级，为何回条短信就被盗刷金额5760元
前几天有这么一个新闻是看的人心惶惶，这条新闻大意是，有一位倒霉的耿先生收到了一条短信，短信内容是“某某老同学，你的照片”，后面跟着一个网址。耿先生留了个心眼没有点开网址，却又怕这个人真是自己熟知的老同学，所以回了个信息问“你是？”，之后就不得了了，在短短的30分钟之内，银行卡频繁被转账12次，共计5760元。
随后，这位倒霉的耿先生到银行网点一查，发现钱是用手机银行转走的，用的是京东商城的一种支付方式。这耿先生就傻眼了，自己的银行卡一直随身携带，也没有开通网银之类的功能，就这么莫名其妙的钱就被转走了？
这消息一出，用户们可惊慌了。回了条短信就被刷了钱？这也太不可思议了，可是这事情还就真真实实的存在了。但凡有点常识都会觉得这件事情不可思议，从技术的角度上看回短信是不可能造成用户银行卡被盗刷的。那么原因只有一个，就是手机中毒了！
可是手机怎么会中毒呢？
专家解释称，其实银行卡被盗刷和回短信是没有关系的。根本的原因在于短信内的那条网址链接有“毒”。也就是说，被盗刷的原因是手机中毒了。但是仅仅回一条短信没有打开链接都能造成中毒确实匪夷所思，因为回复短信是在运营商的系统里面。
其实，这样的案例之前也发生过很多例了。小伙伴在不知情的情况下，打开了陌生人短信里面发来的链接之后，进入到钓鱼网站，或安装了有木马的软件，导致手机被不法分子“劫持”，银行卡密码账号被盗，最后导致钱财损失。
虽然病毒来源还是不可得知，但是在日常生活中，一定要给手机带好“防毒面具”。要切记，不要轻易点击别人短信中的链接，一旦点击就可能进入不法分子设置的钓鱼网站；不要随便打开别人发来的彩信；不要轻易在一些网站、论坛下载和安装手机应用，特别是一些游戏软件；在下载手机应用之后，要先使用手机杀毒软件对这些应用进行检测，再进行安装。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。因未收到短信通知资金被盗刷 应由谁担责？
　　曹 娟:某银行一借记卡客户在银行办理了“短信通”业务，之后每办理一笔存、取、转业务都能收到实时通知。可日前该客户连续3次被人从借记卡提取现金6000元，客户声称由于没有及时收到短信提醒而遭受损失，逐认为是银行之过，向法院起诉要求赔偿。而银行认为“短信通”是基于与某信息服务公司的业务合作产品，如果有过错也应由该公司来担责，所以提请法院将其列为共同被告。请问银行采取这样的方式可行吗？对于类似业务合作方的诉求，银行是否可以此作为一个基本的法律原则来使用？　　杨世军（农行法律专家组成员）:此问题涉及三个层面的法律关系：一是客户与银行签署相关的借记卡章程协议，在银行开立账户或银行卡，并存入资金时，依法成立储蓄合同关系；二是客户提出申请，与银行签署相关的现金管理业务信息服务协议，开通账户变动提醒通知业务，与银行依法成立金融服务合同关系；三是银行与信息服务公司签署相关合作协议，银行通过网络线路将客户账户变动数据信息发送给信息服务公司，信息服务公司依约负责将账户变动信息发送给客户，双方依法成立委托合同关系。因此，从法律关系层面来看，客户与信息服务公司间并无关于“短信通”的法定或约定的法律关系。从客户角度来看，与客户签署“短信通”服务协议、负有及时发送账户变动通知的义务主体是银行，至于哪个信息服务公司受银行委托负责实际发送信息，涉及的是银行与信息服务公司之间的法律关系，与客户无关。因此，银行以“短信通”是与信息服务公司的业务合作产品，有过错应该由该公司来承担客户损失为由，提请法院将其列为共同被告的抗辩主张缺乏法律依据。　　实际上，该问题的实质是：客户开通“短信通”服务后，账户内资金被盗取但客户未能及时收到账户变动短消息，导致客户未能采取措施防止损失扩大，银行是否要对客户损失承担赔偿责任的问题。一般来说，客户存放在银行的资金被非法盗取，往往有三方面原因：一是犯罪分子的盗窃行为，与客户资金损失有直接因果关系；二是客户没有妥善保管和慎重使用银行卡及密码，这是犯罪分子的侵权行为得以顺利进行的重要因素；三是客户未能及时收到账户变动信息，导致未能及时采取相应措施，是客户损失扩大的重要原因。因此，在犯罪分子未能抓获或虽已抓获但无偿还能力的前提下，客户选择向银行索赔时，银行可从以下几个思路争取免除或减轻责任：　　在举证及时向信息服务公司提供了客户账户变动数据信息后，依据客户与银行签署的现金管理业务信息服务协议条款，主张免责。同时，可申请将信息服务公司列为第三人，查证未能收到变动信息的责任是否属客户自身原因，手机没有任何故障且正常开机、短信有效期内处于通讯网络覆盖区域等。　　在无法举证银行履行了约定义务情况下，从分析引发客户资金损失的原因来减轻或免除责任。银行应要求客户以银行卡资金被盗取为由向银行索赔时，应证明非本人或非本人授权操作，还应证明自己已尽到妥善保管银行卡以及账户信息、交易密码的义务。否则，客户自身保管银行卡或密码不善导致的资金损失，全部或主要责任应由客户承担。银行的账户变动信息通知只是提供一种预防损害结果发生的可能性而非必然性，账户变动通知未能及时发送是资金损失的次要原因，应当承担次要责任。对于个案，还应进一步具体分析：如果盗取行为是单笔或间隔时间很短的多次行为，客户以没有及时收到短信通知为由主张权利的，应以免责抗辩为主；盗取行为持续多次发生，且金额不断扩大的，应以负次要责任抗辩为主。确因信息发送不及时导致承担了赔偿责任的，如属信息服务公司原因导致，银行承担赔偿责任后，可依据委托合作协议向信息服务公司进行追索。
（责任编辑: 和讯网站）
分享文章到
财经新闻 你总比别人先知道