提示

　　平时需做好敏感私人信息保护

　　此外，据犯罪嫌疑人交待，他们利用设备可以登录一些防范能力较低的网站（一般只需要手机号+验证码）绰绰有余。但是他们的目的并不仅限于成功登录，而是要盗刷你名下的钱。所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息，他需要社工手段来确定这些信息。因此，用户平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护。

　　那么，骗子如何获取用户的这些信息呢？例如如何获知附近用户的手机号？据腾讯安全技术专家介绍，手段千奇百怪，比如骗子劫持到中国移动139邮箱发送来的短信“中国移动 139邮箱 狂欢来一波！100%有奖！点击查看邮件详情xx”后，复制其中的链接到浏览器，点击“进入掌上营业厅”，就可以直接看到手机号了。知道了手机号以后，再通过登录其他一些网站，利用社工手段就可以很轻松地知道这个人的银行卡账号、身份证号。

　　在获取了用户信息后，骗子就可以利用这些信息实施犯罪。其一，登录各种网站修改密码，如许多电商、旅游网站允许使用“手机号+验证码”的登录方式，而骗子又可以实时监控到验证码，所以很容易就可以登录。据测试，许多主流网站都可以顺利登录，可以查看商品订单、行程信息、支付信息等，而且还可以直接更改登录密码。其二，可以盗刷资金，许多App的安全策略较低，不少APP只要输入“姓名+银行卡账号+身份证号码+手机号码+动态验证码”，就默认是本人操作，骗子进入以后马上就会盗刷或者购买点卡类虚拟物品。其三，利用网站身份申请贷款等，有些嫌疑人刷完了银行卡中的钱，还会通过这些信息在一些小的贷款网站、平台申请小额贷款，让受害人不但积蓄全无，还会背负债务。通过非法获取和贩卖用户的隐私信息，黑产还可实施精准的电信网络诈骗、敲诈勒索、恶意推广营销等不法活动。

　　在此过程中，一些App会在必要时候启动风险措施，如支付宝在嫌疑人试图提现时启动了风控措施，从而中断了嫌疑人进一步实施犯罪的动作。据介绍，当天嫌疑人利用伪基站和嗅探设备于1时42分通过“姓名+短信验证码”的方式登录了支付宝账号；1时45分和1时48分通过社工到的信息对登录密码和支付密码进行了修改，并且绑定了银行卡；1时50分到2时12分别通过输入支付密码的方式进行网上购物932元，并提现7578元。3时21分，嫌疑人想通过提现到银行卡上的钱进行购物，支付宝风控措施启动，要求人脸校验，没有通过校验后嫌疑人便放弃。此时，在支付宝上的消费也就是932元。

　　安全专家表示，支付宝的安全等级算是高的，但从嫌疑人的交待中，还发现了许多网站的风控措施不严格，很容易被利用。比如每天最高限额定得过高（某银行每天限额达到5000元），比如更换设备登录、频繁登录没有人脸或密码校验等手段，再比如可以在网站上进行小额贷款等操作。