2 月 3 日，深圳何先生的手機(jī)被遠(yuǎn)程鎖定，某電商賬戶在凌晨被盜刷。不法分子利用白條消費(fèi)和信用貸款，把錢款通過銀行卡轉(zhuǎn)賬和 ATM 機(jī)無卡提現(xiàn)竊取，造成何先生損失 52000 元。

3 月 21 日，這樁離奇案件終于被揭開……

離奇：一夜損失 52000元

2 月 2 號，大年初六，何先生從湖南老家開車到深圳，到家之后就洗洗睡了。

2 月 2 日晚上，睡夢中。凌晨四點(diǎn)驚醒了，何先生想看一眼手機(jī)上的時(shí)間，屏幕怎么都點(diǎn)不亮。他下意識覺得沒電了，又扔在一邊，倒頭又睡過去了。

早晨九點(diǎn)起床，何先生發(fā)現(xiàn)屏幕又亮了。發(fā)生什么事了？他一拿手機(jī)，發(fā)現(xiàn)手機(jī)里安裝的所有程序，微博微信App，通訊錄和短信都不見了，他的手機(jī)被人恢復(fù)了出廠設(shè)置！

然后，他發(fā)現(xiàn)手機(jī)登陸了360的云服務(wù)，密碼也被修改了。他努力找回密碼后彈出了歷史記錄。記錄顯示：在凌晨一兩點(diǎn)時(shí)，他的手機(jī)神秘地進(jìn)行了多次“銷毀資料”的操作。不僅資料被銷毀，凌晨三點(diǎn)左右，他的京東賬號也被登陸了，登陸地點(diǎn)是大連。

更恐怖的事情發(fā)生了！何先生又發(fā)現(xiàn)，在凌晨四點(diǎn)左右，也就是他驚醒時(shí)，他的京東賬戶產(chǎn)生了十三筆購物訂單，總額兩萬左右，買了手機(jī)電腦和手機(jī)充值卡，收件地址是大連某商場王先生。

何先生馬上打電話給電商客服，平臺把貨扣押在了平臺上，停止了發(fā)貨。但是，客服表示，就在不久前，還有人催付客服為這些訂單發(fā)貨。

何先生頓感大事不好，他又登陸了京東金融上的金條賬戶，因?yàn)槔锩嬗腥f多的貸款額度，結(jié)果發(fā)現(xiàn)有人用了他的金條貸了 32000 元的款，轉(zhuǎn)到了何先生的中國銀行卡里，但這張銀行卡是他去年辦的社保金融卡，卡片一直保存在妻子身上。

那么，卡上的錢還會被取走嗎？

何先生匆匆趕到深圳公安局南山派出所報(bào)案，出來之后已經(jīng)到了中午。何先生此時(shí)冷汗淋漓，趕緊跑到附近的 ATM 機(jī)看查看卡內(nèi)余額，結(jié)果余額只剩下 6000 元！

何先生立刻把6000元取出來，并辦理了銀行卡掛失。他查閱銀行卡記錄，又發(fā)現(xiàn)了一個(gè)幾乎要讓他暈厥的消息：還有一筆貸款發(fā)生在凌晨1點(diǎn)20，是在另一個(gè)金融平臺上申請的消費(fèi)貸款——26000 元！

犯罪分子在半夜，分兩筆轉(zhuǎn)了 50000 元到了一個(gè)戶名為“王艷”的工商銀行賬戶，然后又有人通過無卡取款，轉(zhuǎn)走了何先生中國銀行上的 2000 元，最終何先生只剩下6000元。

一夜之間，何先生損失了 52000 元！

真相初現(xiàn)

在警方、中國移動(dòng)和360公司的聯(lián)合排查中，罪魁禍?zhǔn)字赶蚝蜗壬謾C(jī)中的一條“開通手機(jī)副號”的短信。

這和“副號”有什么關(guān)系？

主號只要編輯短信“KT手機(jī)號碼”發(fā)送給運(yùn)營商，該手機(jī)號碼會受到一條來自運(yùn)營商的確認(rèn)短信，回復(fù)“Y”就會成為副號。當(dāng)主號關(guān)機(jī)時(shí)，電話和短信就會被副號接管。

2 月10 日，360 官方通過新浪微博簡單解釋了何先生被詐騙一事背后的技術(shù)思路。

1 月 30 日，上海一個(gè)IP設(shè)備利用弱密碼和社工庫密碼，頻繁嘗試破解何先生的 360OS 云服務(wù)賬號，試錯(cuò)密碼的間隔時(shí)間最短為 3 秒鐘，最長為 10 分鐘。由于何先生的 360OS 密碼較簡單，最終被成功登陸賬號。

2 月 3 日凌晨，IP 位于遼寧的犯罪嫌疑人登陸何先生的 360OS 云服務(wù)賬號，利用“回復(fù)短信”接口把何先生號碼綁定。犯罪分子又利用云服務(wù)“找手機(jī)—銷毀資料”功能，每隔 5、6 分鐘就發(fā)出一次“銷毀資料”指令，使何先生的手機(jī)持續(xù)處于離網(wǎng)狀態(tài)。為了讓受害者難以察覺，犯罪分子專挑深夜作案，整個(gè)過程不需要與受害者有任何接觸，受害者也無需回復(fù)任何短信，防范十分困難。

在何先生手機(jī)被“銷毀資料”期間，犯罪嫌疑人接收了何先生的短信驗(yàn)證碼，入侵其京東賬號用白條消費(fèi)，造成實(shí)際損失 1000 元；再用金條貸款 52000 元，轉(zhuǎn)入何先生名下的中國銀行卡中，隨后轉(zhuǎn)賬 50000 元到犯罪嫌疑人賬戶，又用ATM機(jī)無卡取款 2000 元。何先生的損失總計(jì)達(dá)到 53000 元。

在此事件中，何先生的銀行卡號、取款密碼、預(yù)留手機(jī)號及身份證號（在網(wǎng)絡(luò)個(gè)人信息交易黑市中俗稱為“網(wǎng)銀四大件”）已通過其他途徑泄漏并被犯罪嫌疑人所掌握，再利用短信驗(yàn)證碼，犯罪嫌疑人竊取了何先生銀行卡資金。種種跡象表明，這是一種由團(tuán)伙作案、分工嚴(yán)密的新型詐騙手段。

在何先生的案件發(fā)生后，他第一時(shí)間報(bào)警并通知了 360 公司。事發(fā)后，360 第一時(shí)間向何先生全額賠付損失，并立即對 360 OS 云服務(wù)進(jìn)行安全升級，關(guān)閉“短信回復(fù)”功能，為“遠(yuǎn)程銷毀資料”功能開啟密碼和短信驗(yàn)證碼雙重驗(yàn)證機(jī)制，徹底杜絕了風(fēng)險(xiǎn)隱患。

【360媒體溝通會上闡述的該網(wǎng)絡(luò)詐騙流程】

一波三折的追捕

該案件引起了深圳警方的高度重視。警方、360安全工程師等多方開始了摸排、走訪、聯(lián)動(dòng)。

在 3 月 21 日 360 的媒體溝通會中，雷鋒網(wǎng)了解到，該犯罪團(tuán)伙反偵察意識很強(qiáng)，在大連市區(qū)多地轉(zhuǎn)移，作案也不是在固定住所，而是在酒店、民居等不需要登記身份證的場所。

這大大加大了偵破難度。

在警方抓捕的過程中，警方接到舉報(bào)，嫌疑人將入住一個(gè)家庭旅館，警方在下午就和房東確認(rèn)了信息。但就在確認(rèn)時(shí)，嫌疑人發(fā)來信息說，今晚不住了，你把定金退給我吧。

于是，這次抓捕失敗了，又拖了好幾天。

后來，警方在犯罪嫌疑人小區(qū)收集證據(jù)的時(shí)候，主犯正好開一輛寶馬車經(jīng)過，打開車窗，詢問便衣警察：“你們在干什么？”警方當(dāng)時(shí)很緊張，以為被犯罪嫌疑人識破了。還好，嫌疑人只是在做反偵察，并沒有識破警方的抓捕行動(dòng)。

事不宜遲，趕緊抓捕方為上策。

2 月 26 日晚，警方抓捕當(dāng)天，主犯看到有人上來，意識到不對，馬上往另一個(gè)樓梯口跑，但是警方已在另一側(cè)的樓梯口布防。終于，警方抓獲了犯罪嫌疑人韓某（1978年、男、新加坡）、陳某（1990年、男、中國廣西）、楊某（1975年、男、中國廣西）。繳獲筆記本電腦一臺、作案手機(jī)若干部、20余張作案銀行卡。

毒品、黑客、情婦交織的幕后

這三名男子究竟如何分工？雷鋒網(wǎng)發(fā)現(xiàn)，電視劇編劇都不敢這么寫……

經(jīng)查，新加坡籍犯罪嫌疑人韓某是該團(tuán)伙頭目，常年在中國大陸活動(dòng)，他通過網(wǎng)絡(luò)社交群獲取大量公民銀行卡、交易密碼、身份證號、預(yù)留手機(jī)號等信息。據(jù)韓某交代，他常年在大連生活，并包養(yǎng)著一名情婦，生意失敗后開始從事詐騙，從廣西找來陳某和楊某做幫手。

犯罪團(tuán)伙中，陳某主要負(fù)責(zé)實(shí)施銀行卡盜刷，研究各品牌智能手機(jī)和運(yùn)營商業(yè)務(wù)；楊某則負(fù)責(zé)去ATM機(jī)取款，每次從取得的現(xiàn)金中分取 20 %的利益。

“陳某是一名 90 后黑客，技術(shù)很強(qiáng)，盜刷能否成功他起著至關(guān)重要的作用?！本酵嘎叮n某為讓陳某心甘情愿為他賣命，長期用毒品對其進(jìn)行控制。年紀(jì)尚輕的陳某被捕時(shí)，已被毒品侵蝕得無法自拔。

巧合的是，360 公司派出給警方做技術(shù)支援的工程師也是一位 90 后！

去年 11 月起，陳某著手研究 360 OS 云服務(wù)。

深圳市公安局福田分局刑警大隊(duì)副大隊(duì)長羅成鋼向雷鋒網(wǎng)介紹，黑客陳某還交代，當(dāng)老板交給陳某研究 360 手機(jī)的任務(wù)時(shí)，陳某是崩潰的。他說，跟 360 作對肯定是死路一條。他分文沒有得到，只得到白粉。

陳某抵擋不住白粉的誘惑，他結(jié)合已掌握的網(wǎng)銀四大件信息，企圖尋找作案機(jī)會，經(jīng)過 2 個(gè)多月的研究和測試后才開始作案。

犯罪團(tuán)伙選擇作案目標(biāo)非常謹(jǐn)慎，實(shí)施盜刷前，對每個(gè)作案目標(biāo)各種信息的梳理研究時(shí)間平均達(dá)到7小時(shí)。一旦他們研究透徹，確定了下手目標(biāo)，整個(gè)作案過程不過深夜兩三個(gè)小時(shí)的工夫。

不僅如此，該犯罪團(tuán)伙對各種運(yùn)營商業(yè)務(wù)、銀行轉(zhuǎn)賬系統(tǒng)進(jìn)行了深入研究。就在作案前，陳某還多次致電運(yùn)營商，對副號綁定無法生效的各種情況進(jìn)行咨詢。

他們甚至還會“挑銀行”！

據(jù)陳某交代，由于農(nóng)行、建行的轉(zhuǎn)賬系統(tǒng)安全性相對較高，如遇行騙目標(biāo)使用這兩家銀行卡就會放棄作案。

警惕！沒錢也會被詐騙

該犯罪團(tuán)伙針對的不是 360 一家。

從案件詳情可以發(fā)現(xiàn)，這個(gè)詐騙團(tuán)伙是不簡單，玩的都是高科技、高智商、跨境、跨平臺的新型電信網(wǎng)絡(luò)詐騙，而且緊跟時(shí)代潮流，不僅搞起詐騙跨境化，還會對詐騙目標(biāo)定制騙局。為了盜刷成功，團(tuán)伙作案前耗時(shí)數(shù)月對各手機(jī)品牌云服務(wù)、各運(yùn)營商業(yè)務(wù)、各銀行轉(zhuǎn)賬系統(tǒng)進(jìn)行深入研究，幾乎能做到對這些平臺功能如數(shù)家珍。

360 信息安全部負(fù)責(zé)人高雪峰告訴雷鋒網(wǎng)，該犯罪團(tuán)伙上游應(yīng)該還有一個(gè)專門的團(tuán)隊(duì)負(fù)責(zé)對各大云平臺進(jìn)行破解。而據(jù)警方透露，犯罪團(tuán)伙被抓時(shí)，正在研究破解一部國產(chǎn)前三的手機(jī) OS 系統(tǒng)，已經(jīng)研究了兩個(gè)星期，進(jìn)入了測試階段，基本取得了成功。

你也能發(fā)現(xiàn)，這種新型詐騙瞄準(zhǔn)的也不只是有錢人，一個(gè)新的趨勢是——沒錢也能被騙，比如，在何先生的這起案件中，詐騙團(tuán)伙并沒有利用何先生的已有存款，而是利用貸款和一些金融渠道盜取資金。

在這種“就怕流氓有文化”的防不勝防的電信詐騙中，我們?nèi)绾尾拍堋皟e幸”逃過一劫？

高雪峰表示，手機(jī)云服務(wù)已經(jīng)是各種智能手機(jī)的標(biāo)配功能，本身是一種便民服務(wù)，可以由用戶選擇備份哪些資料，另外一旦手機(jī)丟失，還可以幫助用戶遠(yuǎn)程鎖定并銷毀資料，避免個(gè)人信息泄露。但沒有百分之百的安全，用戶使用時(shí)，也務(wù)必要提高安全意識。

• 手機(jī)云服務(wù)賬號要與銀行賬號、社交工具賬號分開，避免使用相同密碼。在本次案件中，何先生的所有賬戶、密碼都是一樣的，都是弱密碼。

• 云服務(wù)賬號的密碼長度至少要達(dá)到10位，最好是大小寫字母、數(shù)字和特殊符號的組合，并定期修改密碼。

• 盡量不要把個(gè)人敏感照片、數(shù)據(jù)上傳到云端。

• 不要在網(wǎng)上公開發(fā)布個(gè)人手機(jī)號、身份證號、銀行卡號等重要的隱私信息。另外，銀行卡的取款密碼也需要定期修改，防止有些機(jī)構(gòu)“內(nèi)鬼”把銀行卡信息泄露到“網(wǎng)銀四大件”的不法交易中。

• 處理舊手機(jī)、舊電腦等個(gè)人電子產(chǎn)品時(shí)，利用專業(yè)軟件將個(gè)人信息刪除并確保是不可恢復(fù)狀態(tài)。

不是雷鋒網(wǎng)烏鴉嘴，萬一遇到詐騙，怎樣才能減少損失？

• 遇到被盜刷后，及時(shí)與相關(guān)金融機(jī)構(gòu)溝通，以便盡快止付，減少損失。

• 保留手機(jī)等設(shè)備的一切相關(guān)信息，向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案。

• 使用獵網(wǎng)平臺，線索串并，全國取證。為什么要使用獵網(wǎng)平臺？互聯(lián)網(wǎng)犯罪，受害者提供給警方的信息少，可能講不清楚。獵網(wǎng)平臺通過后臺匹配，把金額比較小的、說不清楚的多個(gè)案件做一下串聯(lián)，小的案子可能變成大的案子，這就可能大大提高破案的幾率。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。