神刀安全网

电信诈骗背后,并没有你想得那么简单

雷锋网注:各种诈骗案不断出现,到底什么是电信诈骗案件,运营商负哪些责任,银行又有哪些责任,作为消费者该如何处理?文章将解答以上问题。本文由@中国好4G首发雷锋网,转载请联系雷锋网 (搜索“雷锋网”公众号关注) 授权并保留完整信息,不得删减内容。

电信诈骗背后,并没有你想得那么简单

本篇文章不是为运营商洗地,仅是写写关于涉及银行安全责任的几个容易混淆的常识问题。欢迎留言探讨。

一、到底哪些是电信诈骗?

通信诈骗这个提法原来叫电信诈骗,由于使用了电信这个词,中国电信每次听到都赶到要起浑身鸡皮疙瘩,担心老百姓直接望文生义,将电信诈骗的责任直接与电信公司联系起来,有损电信公司形象,因此多次行文呼吁将电信诈骗的称呼改成通信诈骗。其实老百姓也从没将电信诈骗就是电信公司直接关联起来,在这方面电信公司多虑了。

但是大部分民众却对电信诈骗基本概念都缺乏了解,这才是对运营商误解的根源。 犯罪分子往往利用人们趋利避害的心理通过编造虚假电话、短信地毯式地给群众发布虚假信息。

从诈骗借口来讲,从最原始的中奖诈骗、消费信息发展到绑架、勒索、电话欠费、汽车退税等等,犯罪分子总是能想出五花八门的各式各样的骗术。就像"你猜猜我是谁",有的甚至直接汇款诈骗,大家可能都接到过这种诈骗。 这种刚开始大家也觉得很奇怪这种骗术能骗到钱吗?确实能骗到钱。 因为中国人很多人在做生意,互相之间有钱款的来往,咱们俩做生意说好了我给你打款过去,正好接到这个短信了,我就把钱打过去了。甚至还有冒充电信人员、公安人员说你涉及贩毒、洗钱等等,通过这种办法说公安机关要追究你等等各种借口。有一个犯罪分子花了两、三万块钱买了一个短信群发器,在短短一个多月时间就骗了好几万块钱,十几个省的老百姓都上当受骗了。这个,老百姓都很熟悉。

那么什么是电信诈骗? 电信诈骗的定义是这样的:

电信诈骗是指犯罪分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给犯罪分子打款或转账的犯罪行为。

重要的问题说三遍:通过电信手段诱使给人打款,通过电信手段诱使给人打款,通过电信手段诱使给人打款。

这里说几个案例:

1)上海警方抓获了犯罪嫌疑人朱凯华,他交代通过几名银行的工作人员,掌握了大量上海市机动车车主的个人信息,包括最关键的银行卡卡号和余额,获得了受害人的卡号和余额后,他就开始编制6位数的密码,尝试进入受害人的网银账号,他所依据的正是受害人的身份证号等个人信息;

2)近日,张先生收到朋友发来的信息,称自己孩子在参加某项网上评选,请其为孩子点赞投上一票,随后还附有一网址链接。张先生想都没想立即点击,并根据提示下载了某软件。很快,张先生就收到数条购物支付信息。经查询,他发现自己的2张招商银行卡和2张建设银行卡被盗刷,随即报警。民警调查后发现,张先生点击的链接地址其实是一个钓鱼网站。骗子诱使他下载的软件中含有针对手机银行的木马病毒,当张先生操作手机银行时,相关银行卡信息就会被盗取。更有媒体曝出,只要获取银行卡的考好卡号和密码,就能复制银行卡进行盗取。这类就不属于电信诈骗的范畴了,为了便于理解,法律界一般称为:信用卡犯罪。

3)最近,一位移动用户,被骗事件就比较复杂了,更是超出了电信诈骗范畴,归为信用卡犯罪更为准确。首先被害者首先是手机收到短信,提示开通了一种名为“中广财经半年包”的业务;接着又收到一条短信,称回复“取消+校验码”可退订该业务;之后他果然收到了10086发来的“USIM卡6位验证码”,按照前一条短信的要求回复之后,他的手机就无法上网和通话了;再之后,他发现自己的支付宝在向绑定的银行卡里转账,而银行卡的网银密码被修改了,他本人无法登录;最终结果就是支付宝和银行卡里的钱都没了。

此案例中,北京移动公布是由海南IP提出更换北京卡的请求,从逻辑上应该是很容易判定为虚假或者异常请求。 如异常接着向本卡发送一条确认短信指令,如不确认就终止换卡指令,安全性就会翻倍。

现有的换卡流程看似效率高,但是是以牺牲安全为代价的,安全与效率之间厚德的企业应该选择后者。运营商希望提供更多的增值服务,从而形成长尾效应,创造更高的附加值,本无可厚非,但是效率与安全发生冲突的时候,就应该反思是不是步子迈的太大了?

如果说电信诈骗是犯罪分子利用了运营商的管道,实施诈骗,运营商在改号软件、发送日志查询、实名等方面有一定责任的话,银行卡被盗刷或者银行卡密码被盗取等信用卡犯罪的责任也要让运营商承担就是无妄之罪了。

二、电信运营商做了什么?

刚刚论述了不是所有诈骗都是电信诈骗,只有诱惑受害人自己转账的才叫电信诈骗,密码被盗取,银行卡被盗刷应属于信用卡犯罪。

其实,运营商在这方面的投入确实也是蛮大的。最大的城墙莫过于实名制验证。

首先,实名制入网有利于遏制短信发送通道。现行的入网必须现场通过实名制终端查验身份证,而相比笔者此前在银行办理贷记卡,提供身份证复印件后,并没有实行身份证的实名扫描严验证。这一方面如运营商能够严厉执行的话,在实名制方面的要求要高于银行。要知道实名制终端的价格不菲,800元一台,还要和国政通联网付费验证,而运营商的渠道数量也不是一个小数目,付出的成本确实不小。

其次,实名制实行在时间进度上也是在加速。信部网络安全管理局发布通知,要求各基础电信企业确保在2016年12月31日前本企业全部电话用户实名率达到95%以上,2017年6月30日前全部电话用户实现实名登记。对在规定时间内未补办登记手续的用户,暂停其通信服务,并再次催告其补登记。在催告期满仍未补办登记手续的,依法停止通信服务。被称为“史上最严电话实名制”。

另外,在实际执行当中,实名制实质上结束了运营商的批卡模式,也就是批量销售通信卡。从原先的主流销售渠道,到消亡,原有的销售代理商改变原有的销售模式,在开始阶段遇到的阻力很大,也就存在执行实名制初期还有打擦边球的情况,仍有少量卡流向了不当渠道。随着实名制执行的越来越严格,这条路基本也就消失了。 不过,新进的虚拟运营商成了实名制管控的空白点,一度成了垃圾或者诈骗短信卡的主要提供者,目前大约有三分之一的垃圾短信卡是来自于170、171号段 。运营商和虚拟运营商只有严格执行实名制才能真正切断不良短信卡的供应源头。这个道理就是和实名制买刀、买枪一个道理。

当然,手机实名制其实也是为了弥补上阶段网络实名制造成的后遗症。目前网络上有大量公司可以获取到公民的个人信息,部分有社会责任感的企业会保护信息,但是还是有很多缺乏责任感的企业主动出售此类信息。诈骗团伙在得知此类信息后,会根据受害人不同特点进行诈骗,造成公民个人财产损失。网络实名制的实施带来了公民隐私信息泄露的副作用,网络实名注册只是用户网络身份由原来的“虚拟身份”变为了“真实身份”,但由于技术和管理上的缺陷,“真名”的背后并不一定是操作者本人。”

实施手机实名制不但有利于抑制通信犯罪,让受侵害用户通过法律手段维护自身权益,同时能保障通信安全,让金融、移动支付能安全开展。手机实名制的推行有一个前提,就是公民的个人信息安全应当得到保障。众所周知,由于我国缺乏类似于《隐私权保护法》或《个人信息保护法》这样的法规,因此不少公司或个人将收集到的他人信息资料拿到市场上贩卖获利。那些个人信息资料被泄露的公民,往往为商业推销所苦,在遍地开花的代理商处购买手机卡时,用户的个人信息基本上难以得到保密。而且,由于监管的缺失,也完全无法排除掌握着大量个人信息的运营商泄密的可能。而且,推行手机实名制对手机支付推广意义重大,推动实名制工程浩大烦琐,同时由于假身份证及流动人口庞大等原因,短期难以取得预定的效果。

除了实名制,运营商在预防电信诈骗也采取了一些其他措施。

比如联通手机用户发送短信KT至10655587,免费开通防骚扰、防诈骗提醒功能!这是用户在接通前,系统将来电信息送至全国防骚扰诈骗数据中心比对,做出对用户提醒的通知,不消耗用户流量。

其他的措施比如短信、链接关键词过滤等措施,甚至一个号码连续发送次数超出正常关闭短信功能等手段也已经部署,不过效果一般。

这是运营商应对电信诈骗采取的措施,但是针对信用卡犯罪,运营商其实是无能为力的。

三、银行在这个过程中又有哪些责任?

“电信”诈骗的责任和电信公司没关系。就像醉酒撞车不是造车的责任,持刀杀人不是造刀的罪过,亏钱时让运营商做管道,出了问题简单归咎于已没有电信法保护的通信运营商身上,也是不对的。用户的话费存在运营商那里,如果话费被转账了,运营商应当承担责任,但钱存在银行,钱被转走了,银行应当承担保管责任。所以,如果在遇到银行卡被盗刷时,我们要第一时间联系银行冻结相关帐户,而不是花时间和运营商讨论。

现在公安说运营商、银行、支付宝该对安全负责,运营商银行支付宝说这是公安打击犯罪的天职,其实都没错。

最近的几个犯罪案例分为三类:

一类电信诈骗,就是犯罪分子诱惑用户给他转账;

一类是获取银行卡号和密码,通过网银或者支付宝进行转账支付;

三类是获取银行卡和密码,复制银行卡进行盗刷。

除了第一类,运营商可以通过对发送的通道和源头采取管理措施外,其他的基本都应归为信用卡犯罪,都要靠银行去实施保管责任了。这里不展开论述,比如:磁条银行卡漏洞,防盗手段亟待升级;银行使用短信这种不可靠的方式来进行用户身份认证是不妥的;紧靠密码就实现转账支付在方便的同时安全性降低就是最大的漏洞。

如果我们单纯地信任银行,怀疑运营商,其实都是错误的。钱是保管在银行的,银行应对财产的安全性承担第一责任,而且应该将交易的安全放在第一位。现实可能不是如此,笔者经常刷贷记卡消费,按照规则应该凭密码和签字进行刷卡消费,但实际上却没有一次碰到核对签名的。

四、用户怎么办?

2015年全国电信诈骗发案59万余起,涉案222亿元,100多亿赃款被卷入台湾,形势严峻。做好自身防护,提高防护意识是每个人的必须要做的。

在使用银行业务的时候要注意这几点:

1、用户启用银行的网上支付、网上交易功能时应该仔细阅读风险提示,并做好帐户的隔离,例如用一张金额较低的卡来专门进行网上交易,而存放金额较高的卡则关闭所有网络支付、交易功能。或者把大额的活期放在货币基金或者定期存款里,但是这样要多一次定期/货基转活期的操作。

2、不要使用弱密码,注意定期更换密码,也不要把密码存放在电脑或者手机里面,不同的卡尽可能采用不同的密码。

3、一旦我们的银行卡被异地盗刷了,首先我们要证明卡在自己身上,比如说你可以立即去银行存取一百块钱,然后保存好存取的凭证,这样可以证明该银行卡的确在你的身上,钱是异地盗刷的。2015年6月30日,安阳的徐先生银行卡被盗刷17笔,共计10691元。就是采用这样的方法,让他在起诉银行时胜诉,法院判决银行赔偿他70%的损失。

4、在遇到银行卡被盗刷时,我们要第一时间联系银行冻结相关帐户,而不是花时间和运营商讨论。

在使用手机的时候注意以下几点:

  1. 不要轻易越狱或者ROOT,这会使手机安全性大大降低;

  2. 不要轻易下载使用不明软件;在为朋友点赞前最好先跟朋友沟通。正常的朋友圈点赞是不需要下载软件的,因此不要随便安装来历不明的软件,不要随便打开未知网页,以防感染病毒造成财产损失。

  3. 提高防范意识:要始终坚持做到六个"一律"(

1)接电话,不管你是谁,除非是银行官方电话,只要一谈到银行卡,一律挂掉。

2)只要一谈到中奖了,一律挂掉。

3)只要一谈到是公检法税务或领导干部的一律挂掉。

4)所有短信,但凡让我点击链接的,一律删掉。

5)微信不认识的人发来的链接,一律不点。

6)所有170开头的电话,一律要警惕: 170、171号段是虚拟运营商专属号段 ,通信诈骗有三分之一来自170,失控的背后是虚拟运营商急于要业绩, 还没有严格执行实名制有关 。见到170要警惕,不盲信,确认本人再谈钱。

电信诈骗演进下的支付安全问题,越来越严重,所有的被骗都不只是哪一家的责任,移动互联网的飞速发展让各方联系更加紧密,联防体系的建立也是急迫需要。 当然,现在的银行犯罪层出不穷,手段不断翻新,涉及到环节越来越多,每个案件也不是一般人就能操作的,任何一项再安全的环境,也抵挡不住别有用心的人处心积虑。

懂得了技术,钻德了空子,破解得了密码,这些本身就是一个个主观的犯罪行为,运营商有责任去防范,更有责任在出现问题后加大安全意识,也需要警察去打击新形势下的犯罪。

拿移动的案例来做个结论吧:中国移动因一条短信造成一用户被骗所有财产事件比较蹊跷,从细节分析看应该不是手机中病毒,也不是简单的伪基站诈骗,似乎是移动自助换卡的USIM注册码泄露有关。目前工信部也叫停了中移动的网上自助换卡业务。虽然这个案子,目前还没有定论,但希望这个案子能促成运营商、银行、支付宝、各种第三方支付安全验证的联防体系的健全。

【作者介绍】@中国好4G,通信类分析师、艾瑞核心专家,专注通信业务研究,有态度的原创。有兴趣的可移步其微信公号:“中国3G”(china_3g)。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 电信诈骗背后,并没有你想得那么简单

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址