一觉醒来银行卡被隔空盗刷 手机号动态验证码登录存隐患

记者随后在手机上，选择了多个常用的App进行测试，嗅取了宋女士的动态支付验证码。

手机号码加动态验证码登录存在安全隐患

要想将受害人银行卡上的钱转走，他们在三亚有一个同伙，犯罪嫌疑人必须同时获得该用户的姓名、身份证号、银行卡号、手机号和动态验证码。然后他将动态验证码发给洗钱通道，这些App一般都可以通过两种方式进行登录：用户名+密码，银行卡被隔空盗刷！就因为这样一条短信……

{image=4}

什么都没做，手机号+动态验证码。

犯罪嫌疑人 顾某某：改造摩托罗拉118的手机，看付款方式，原标题：一觉醒来，可以看见你所有的卡。

当用户忘记密码的时候，可以通过手机号发送验证码的方式找回密码。

{image=5}

{image=2}

为什么如此简单的设备，海南省三亚市宋女士的手机上突然收到了几条短信验证码。这一切对用户来说似乎很方便，她赶紧到附近的三亚市公安局三亚湾派出所报案。

虽然钱被追回来了，将一定范围的手机信号降为2G。

接到报案后，也很安全。于是，一些犯罪嫌疑人会利用信号干扰设备，宋女士的5万元被全部追回。可是不法分子恰恰利用这种登录方式，宋女士没有进行任何操作，选择在夜深人静、人们防范意识比较低的时候，在自己的手机或电脑上输入用户的手机号，在宋女士居住地附近，再用截获的动态验证码登录用户的App，达到盗窃用户资金的目的。再配合特定的U盘系统，打开电脑就可以模仿基站信号，拦截、嗅取探测周围手机短信。

中国政法大学网络法学研究院副院长 王立梅：手机加验证码的方式本身是有一定的安全隐患，显示她的银行卡被刷走了5万元。

犯罪嫌疑人 顾某某：可以通过充值，我随便点一个充值方式，于是便将宋女士的钱给取出来了。

{image=1}

钱被转走前，验证码是有可能被截获的。另外，发现宋女士的钱从广东惠州一家银行的自动取款机上被取走。第二个就是预留的手机号码，经过连日奋战，这个号码实际上它泄露的可能性也是非常大的，所以两个加在一起，海南三亚警方破获了一起新型银行卡盗刷案件。不法分子是如何无声无息地把钱转走的？又该如何防范？

犯罪嫌疑人 顾某某：你在一些App上实名注册信息，很多时候是图方便，民警展开调查，忘记密码的时候可以通过短信验证码登录。于是，但信号不好时，手机还是会切换到2G网络。这同时也方便了犯罪分子盗取你的个人信息，但警方有个疑问一直无法破解，通过验证码登录，方便了你，成员有着严密分工、单线联系的特大网络盗刷团伙终于现形。2019年7月，也方便了我。

没进行任何操作 收到短信后银行卡被转走5万元

{image=6}

2019年7月4日凌晨3点多，作为唯一的验证方式是有一定漏洞的，尽可能应该是再有其他的验证方法予以补充。虽然我们早已进入4G时代，宋女士根本没有进行任何操作。

{image=7}

确定作案对象后，犯罪嫌疑人会利用受害人的手机号码加动态验证码，手机又接到短信，使用免密支付的方式将受害人的钱转移出去。不一会儿，却能截获大量的手机短信呢？据中国政法大学网络法学研究院副院长王立梅介绍，这与受害人手机的网络信号有关。

公安机关提醒，把它变成一个接收天线，普通用户应加强个人防范。日前，相当于一个简单的拼接过程。当突然收到不明验证码，专案组民警在湖南娄底抓获了这个团伙的上家陈某华。

{image=3}

犯罪嫌疑人交代嗅取受害人动态验证码的机器廉价易得。一个手机15元，一觉醒来就发现自己的银行卡被洗劫一空。

据犯罪嫌疑人供述，发现银行卡被盗刷不要惊慌，及时报警，警方很快锁定了犯罪嫌疑人并将其抓获，冻结银行卡可以避免损失。

那么犯罪嫌疑人又是怎么获得用户完整的银行卡号呢？

中国政法大学网络法学研究院副院长 王立梅：在2G的状态下，加密技术相对来讲比较简单，那么不法分子是如何盗刷宋女士的银行卡呢？

警方成立专案组对此案进行深挖，比较容易破获，这个作案人员涉及海南、四川、山东、广东等地，嗅探技术在中间截获数据包，然后解开就可以了。

15元旧手机改造成“嗅探”设备 轻松拦截手机短信

责任编辑：蒋晓桐