回復(fù)短信導(dǎo)致銀行卡被盜刷12次？技術(shù)專家揭秘玄機

　　這年頭回復(fù)短信都不安全了?近日有媒體報道稱，在徐州做生意的耿先生接到一條短信，回復(fù)一句“你是誰”。結(jié)果他的兩張銀行卡先后有12筆轉(zhuǎn)賬，總金額共計5760元慘遭盜刷。在這起案件中，最令人不解和不安的是，難道回復(fù)一條三個字的短信就銀行卡就會可以被盜刷嗎?如果這是真的那該如何面對洶涌而來的詐騙短信?

　　耿先生夫婦是山東人，現(xiàn)在徐州做門窗生意。而12次轉(zhuǎn)賬事件發(fā)生在12月19日。沒有辦理網(wǎng)銀的銀行卡被被連續(xù)轉(zhuǎn)賬，擱誰都得心頭一緊。耿先生一邊看著手機上一條條的轉(zhuǎn)賬信息，一邊跑到銀行去查賬，發(fā)現(xiàn)每次轉(zhuǎn)賬480元，12次共轉(zhuǎn)走5760元?？吹竭@個結(jié)果，耿先生不禁眼前一黑，趕忙把卡內(nèi)剩下的錢取出，并在銀行工作人員的指導(dǎo)下聯(lián)系到客服，將整個事件說了一遍，之后報警處理。

　　在警方展開調(diào)查后，案件很快出現(xiàn)了幾個疑點：耿先生的妻子范女士稱，被轉(zhuǎn)賬的兩張銀行卡一直貼身攜帶，從沒離開過身不說，密碼更不可能外泄。但她懷疑會不會是名片上印著的銀行卡號被人盯上，被別有用心的人拿去克隆?而耿先生則回憶起在某一天，他曾接到了一個陌生號碼發(fā)來的短信。

　　耿先生回憶稱，這條短信的內(nèi)容是“耿某某老同學(xué)，你的照片”后面是一個網(wǎng)址，發(fā)送時間是12月19日21：40。因為對方叫出了自己的名字，耿先生擔(dān)心是熟人，因此回復(fù)了一句“你是?”，當(dāng)時時間是22：25。之后他也沒太放在心上，放下手機就睡了。結(jié)果在短短30分鐘內(nèi)，12次轉(zhuǎn)賬的離奇事件就發(fā)生了。

　　手機智能時代一條短信能刷空銀行卡？

　　銀行工作人員表示，錢是被用手機銀行轉(zhuǎn)走的，用的是某商城的一種支付方式。而警方在調(diào)查后認為此次案件應(yīng)該與耿先生之前接到的詐騙短信有關(guān)，因為耿先生的手機中多了一個陌生APP，無法正常刪除，很有可能是木馬程序。因為耿先生稱沒有點擊短信內(nèi)的網(wǎng)址，因此警方只能暫時推斷木馬程序是在耿先生回復(fù)短信后被植入手機中。

　　難道現(xiàn)在真的存在回復(fù)短信就能入侵手機的木馬?并不是所有人都這樣認為。知名警務(wù)微博“江寧公安在線”就對這一觀點“不敢茍同”。他發(fā)微博稱：“只回復(fù)短信不可能中毒，要么是點了鏈接訪問了釣魚網(wǎng)站填了卡號密碼，要么就是點了鏈接下載了木馬導(dǎo)致銀行卡信息被盜取。”因此耿先生很可能是無意中誤點了短信內(nèi)容中的鏈接，下載了木馬程序，最終導(dǎo)致手機木馬裝入手機，盜走了銀行卡的關(guān)鍵信息。

　　記者專訪360手機安全專家，短信在智能手機平臺中的存在形式更為復(fù)雜，例如在某種狀態(tài)下，接收和發(fā)送短信都可以做到在手機用戶毫不知情的情況下，無形之中在后臺偷偷完成。那到底是不是回復(fù)一條“你是?”的短信，就可以將錢轉(zhuǎn)走呢?

　　“一般來講，銀行轉(zhuǎn)賬或者網(wǎng)絡(luò)支付，至少需要支付者手動回復(fù)短信驗證碼才可以完成，此外，還有商場所用賬號密碼、銀行卡號、身份證號等一系列驗證信息”，360手機安全專家認為，在盜刷背后，騙子肯定掌握了受害者大量的隱私信息。而信息又是如何得到的呢?

　　眾所周知，隱私泄露的渠道多種多樣，有可能是網(wǎng)絡(luò)商城被“撞庫”導(dǎo)致信息泄露，也有可能是個人隱私信息被倒賣，更有可能是手機中了木馬隱私被在手機上直接竊取。不過，最大的疑點在于，騙子是如何半夜控制竊取到需要實時認證的手機驗證碼呢?

　　360手機安全專家分析，回復(fù)短信就被安裝木馬的事件，從技術(shù)分析來看是不可能發(fā)生的。而耿先生遭遇的短信與此前微信上的“相冊炸彈”手機木馬非常相似，只是作案場景從微信變換到了手機上。而“回復(fù)短信被盜刷”的報道中，或許忽略了一些關(guān)鍵細節(jié)，才讓讀者產(chǎn)生了“回復(fù)詐騙電話就中會手機木馬病毒”的感覺。

　　專家指出，如果手機中了毒，包括支付驗證碼等一切隱私信息就可以隨時被竊取。在回復(fù)短信，手機早已變成“嗜錢僵尸”，回復(fù)“你是”短信過程中，手機不知道已在后臺悄悄與騙子往來了多少條短信。

　　360手機安全專家告訴記者，為防止類似案件的發(fā)生，民眾不要點擊短信中的未知鏈接，以免進入釣魚網(wǎng)站被套取關(guān)鍵信息，或者下載到手機木馬導(dǎo)致銀行卡信息泄露。雖然回復(fù)短信不會中木馬，但也不鼓勵回復(fù)短信調(diào)戲騙子。此外還可使用360手機衛(wèi)士等手機安全軟件，對此類短信進行攔截，同時還可加強手機木馬和釣魚網(wǎng)站的查殺攔截幾率，極大的提高了手機安全系數(shù)。