银行卡余额“不翼而飞”的背后：“撞库”早已不是电影桥段了(2)

登陆网银后，想要转账成功，还需要成功输入短信验证码。因此第二步便是再次通过“撞库”成功登陆手机网上营业厅。随后，假借持卡人的名义开通短信过滤和短信保管，并关掉相关的业务通知功能。这样的话，不但持卡人收不到银行短信提示，动态验证码也被犯罪分子在电脑端轻松获取了。

在警方的提示下，手机运营商目前已关闭了有漏洞的短信过滤和保管功能。

然而，犯罪分子立即升级了诈骗手段——换卡。利用网上营业厅4G换卡的功能，接受持卡人的手机短信验证码，以及各种网站的动态验证码。

犯罪分子利用受害者的手机号和密码登陆营业厅，并以其名义申请升级更换4G卡业务。当营业厅无法识别是否是本人申请时，只要在填写随机动态验证码后，即可以跳过身份验证环节，还可以把卡快递到犯罪分子填写的地址。

至此，新卡在持卡人毫不知情的情况下就会被寄到不法分子的手上，当新卡一旦被激活，真正的持卡人手上的这张卡就自动失效，各种动态验证码都会被犯罪分子所接收。最终，持卡人卡中的余额便会“不翼而飞”。

使用相同密码造成撞库频发

除了盗取银行卡和手机卡的账户密码，“撞库”适用于所有网络客户端的账号密码盗取。而用户为了方便记忆，习惯于在各种场合设置相同的密码，为“撞库”提供了极大的便利。

“现在很多用户会把自己的银行卡、手机网银、手机网上营业厅的密码和自己常用的其他网站论坛登陆密码设成一样的，这也大大降低了犯罪分子“撞库”的难度，还提高了他们的成功率，” 一位征信业内人士对记者表示。

据腾讯发布的《2016移动支付网络黑色产业链研究报告》显示，目前手机用户往往都拥有多个网络帐号，有7成以上用户所有帐号都使用同样的用户名与密码，65%的用户很少更换密码，仅有不足20%的用户会定期更换密码。一旦不法分子盗取一组帐号信息，就很有可能成功盗用该用户的其他帐号，包括移动支付帐号。

上述业内人士同时表示，“现在很多网站都可以使用手机号来注册登陆，如果这些网站安全防护措施不够完备，一旦被黑客攻入后台，那么很多手机号和密码信息就会泄露”。

因此，对于用户来说，切勿一个密码用很多年，并且同时在网上支付和常用网站使用同样的登陆密码，同时在有条件的情况下设置保密措施或开通二次验证。如果发现手机异常不能正常使用时，需注意立即将银行卡冻结或者挂失。

而对于金融机构来说，则可使用大数据风控技术多维度认证用户身份，比如定位信息、设备指纹、行为规律等。根据不同的应用场景，建立分层次、多维度的身份识别体系，从而精准地实现客户身份识别和认证。