今年三月,安徽马鞍山市的赵小姐发现银行账户内的10万元钱被人莫名分三次转走,并且有人用她的信用卡申请了7万元的小额贷款,令人不解的是,赵小姐的手机并未中木马病毒,为何钱还会不翼而飞?警方经过调查发现,犯罪分子用了“撞库”的手法窃取了用户密码。何为“撞库”?直观的说就是犯罪分子用电脑软件自动运行不断尝试“撞大运”来获取密码。
手机没“中毒”钱却没了
今年3月的一天早上,马鞍山市的赵小姐发现手机上有两条短信,凌晨3点多发来的,分别是其在两家银行的关联手机被修改,以及手机被定制了短信过滤和保管业务。随后,赵小姐查询银行账户时,发现卡内的十万元已经被分三次转出。
然而事情远未结束,第二天赵小姐的浦发信用卡被盗刷近1000元,并且有人用她的另外一张信用卡申请了小额贷款,一共7万元。赵小姐很诧异,她没有进行过任何操作,银行卡和手机也在自己手里,没有收到过密码短信,而账户里的钱却被人转空了。
赵小姐马上报了警,据她回忆,自己并没有接到过诈骗电话,或点击带有链接的短信,更没有在工作电脑上操作过任何账户信息。民警通过对赵小姐手机的检查也验证了赵小姐所说,手机并未中毒。
随着调查的深入,民警很快掌握了犯罪分子的犯罪手法,这其实是一起典型“撞库”电信诈骗案件。
“撞库”是新型犯罪方式
当前,各家银行都支持用户以手机作为用户名登录网银,在转账时,用户的手机会收到一条银行发来的动态密码,用户输入动态密码后,钱才能转走。犯罪嫌疑人便利用网站的这个特点,雇人编写黑客软件,扫描用户登录服务型网站时的登录密码,而多数用户为了图方便,会使用相同的用户名和密码注册账号,黑客在互联网上搜集人们已经泄露的社交软件密码、各类网站账户密码建立起一套字典表,然后运用软件的自动登录功能,将搜集到的用户名和密码去不停地尝试登录各大银行的网银账户,最终“撞大运”地“试”出一些可以登录的用户名、密码。在获得相匹配的手机号码和登录之后,犯罪嫌疑人又用一个改号器,拨打电信运营商客服电话,以此获得银行发来的动态密码短信,最后再对被害人卡内的余额实施转账。
不同账户勿设置同样密码
如何防范“撞库”的诈骗手法?警方提醒广大市民不要怕麻烦,在不同类别的账户设置不同的密码,特别是网银密码要设置复杂一些;在多个网站和APP,特别是安全等级不高的网站注册账号时,尽量不要采用相同的密码;定期更换自己常用的银行卡和网银的密码;设置网银、手机银行单日转账额度上限;手机及电脑端进行转账时要安装正规支付平台的支付安全防护软件。