騙子扮"客服"騙得驗證碼 快捷支付成盜刷通道

柏成/漫畫

海峽網8月13日訊(海峽都市報記者 鄭靚)  將銀行卡上的資金轉入同銀行的理財賬戶內，相當于自己給自己轉錢，部分銀行為方便儲戶，在該“轉賬”過程中取消了輸入支付密碼的步驟。然而，這一舉措卻被騙子利用作盜刷儲戶資金。

近日，福州市民林先生就遭遇如此騙術。騙子事先掌握林先生被泄露的身份、賬戶信息，利用銀行的貴金屬產品投資賬戶，制造網購“扣款”和“退款”假象；騙得手機短信驗證碼后，開通了林先生賬戶的快捷支付功能；新設小額支付密碼后，瘋狂盜刷多筆，共近萬元。

明 “客服”厚道退單 仍致萬元被盜刷

環節1：

10日晚，林先生收到一條銀行扣款短信提示，稱其一賬戶內支出14000元，被用于投資了一款貴金屬理財產品。林先生頗感詫異，自己并未從事該交易。

環節2：

林先生接到了一名“網店電子產品客服”的電話，“系統顯示，我們店里剛接到一個1.4萬元的訂單，是您下單的嗎？”林先生連忙告知對方，該交易并非本人操作，“客服”隨即表示，最近常有人遭惡意刷單，林先生的賬戶和密碼應是被犯罪分子掌握后，進行盜刷交易。

“對方說，若非本人操作，可申請退單以挽回損失。”林先生說，“客服”讓他把手機稍后收到的短信驗證碼發給她，以完成“退單確認”。對方雖然如此“厚道”，但林先生仍有懷疑，可“客服”催促說，交易將于幾分鐘后自動鎖定，屆時將無法退單。

林先生將驗證碼發給“客服”后，賬戶里真的退回了1.4萬元。

環節3：

沒多久，林先生又接到一條短信，稱其儲蓄卡被開通了快捷支付功能。他連忙撥打該行熱線，要求凍結賬戶，但在這期間，他已連續收到了9筆、每筆扣款498.5元的通知短信。

環節4：

此時，“客服”再度來電，稱此前操作有誤，林先生需再報一次驗證碼，將錢退回。由于此前1.4萬元的“失而復得”，林先生對該“客服”頗為信任，便依樣照做。不料，賬戶內又被劃走5000元，林先生前后共損失了9486.5元。

暗

退單為騙取信任 驗證碼是漏洞關鍵

實際上，林先生遭遇的騙術，根本就是那名“客服”演的雙簧戲。

該行電子銀行部負責人介紹，經初步調查，日前，某金融機構的網絡平臺遭黑客攻擊，包括賬戶、網銀登錄密碼、手機號等儲戶個人信息泄露，被騙子所掌握。但因騙子未掌握賬戶支付密碼，故還需設下騙局，以將資金從儲戶賬戶中轉入。

環節1：

林先生最初接到的扣款短信中，14000元其實并未流入所謂“網店”。騙子掌握了林先生的賬戶名和登錄密碼，將卡上資金轉入理財投資賬戶，賬面上雖然顯示卡上資金支出，但部分儲戶不知，資金實際上仍在自己名下賬戶中。

環節2：

騙子偽裝成“客服”等人員來電，稱儲戶遭遇盜刷，但能幫助退款。儲戶此時或許對此說法將信將疑，但將驗證碼發給“客服”后，對方將儲戶資金從理財投資賬戶轉回銀行卡上，短信通知顯示卡上“收入”資金，儲戶即對退款成功信以為真，對“客服”有了信任感。

環節3：

儲戶此前發給“客服”的第一條驗證碼，實際是對方開通儲戶銀行卡快捷支付功能，并設置小額（500元以下）快捷支付靜態密碼時，系統所產生的驗證碼。騙子收到后，通過成功設置該密碼，繞開了原支付密碼以及每次交易都需驗證碼的保險機制，通過連續小額交易，盜刷資金。

環節4：

連續小額支付9筆耗時較長，交易完成后，騙子料定連接扣款通知的儲戶已發覺異樣，遂利用已騙得信任的“客服”身份，謊稱此前的盜刷系“操作失誤”，再次向儲戶索要驗證碼，以用于“退款”。

但實際上，這第二條驗證碼，是騙子使用快捷支付欲將儲戶卡內余額轉走所產生的。獲得儲戶發來的驗證碼后，騙子成功實施了大筆金額的資金盜刷。

此外，騙子還考慮到，開通快捷支付功能和通過快捷支付進行大額交易都會產生驗證碼，行騙之初就實施大額盜刷，儲戶會連續收到2條驗證碼，并因此產生懷疑，故采取“先小額后大額”的盜刷策略。

□儲戶質疑

一條驗證碼就能證明“我”是我？

記者所進入的一個盜刷維權群內的網友反映，上述騙局近日在全國各地頻頻發生。涉事銀行于本月10日在官網發布《關于防范通過電子渠道貴金屬產品實施欺詐的安全提示》，也間接坐實了網友的說法。

“僅憑一個驗證碼，就能證明實施交易的‘我’是真的我嗎？”一位福州受害儲戶王先生說，騙子之所以能得逞，除了打贏了和儲戶的“心理戰”，更是因為銀行的安全門檻設置太低。在盜刷群中，多位受害者表示，存款丟了，找銀行維權非常困難，“銀行總說，是儲戶沒有妥善保管驗證碼才會被盜刷。”王先生認為，快捷支付功能本是方便儲戶，但其中卻存在安全隱患，“作為交易憑證的驗證碼，木馬病毒能攔截，不法分子也能騙取，這個‘鎖’實在太脆弱了。”