近日，獵網(wǎng)平臺及360互聯(lián)網(wǎng)安全中心接到大量用戶因網(wǎng)銀賬戶貴金屬交易被惡意操縱而引起的網(wǎng)絡詐騙案件舉報。目前已知的全國各地受害者至少有上千人，損失從幾千元到幾萬元不等。

　　詐騙過程解析

　　根據(jù)多位受害者的描述，我們大致可以把手機用戶的被騙過程分解為如下幾個步驟：

　　1）手機用戶首先收到銀行短信通知，顯示其賬戶有資金支出，一般為幾千元，支出原因為用戶不熟悉的某項網(wǎng)銀金融業(yè)務，如“積金積存”“如意積存”等。而這些業(yè)務實際上是網(wǎng)銀開設的貴金屬交易業(yè)務。

　　2）用戶接到自稱是電商、銀行及其他各種公司客服人員的電話，稱受害者使用銀行卡進行了消費，因金額較大，需要電話確認是否為本人操作，若非本人操作，則可以將錢款退還給用戶。

　　3）用戶表示消費并非本人操作后，賬戶真的會收到一定金額的退款。

　　4）隨后，“客服”會告知用戶，其網(wǎng)銀賬戶可能已經(jīng)被盜刷，為保證全部資金能夠退還到受害者網(wǎng)銀中，需要用戶提供驗證碼，并要求用戶不要掛斷電話。

　　5）這時，用戶手機會收到一個驗證碼短信，這個短信實際上是一個轉(zhuǎn)賬支付驗證碼通知短信或開通各種快捷支付的驗證碼短信。

　　6）用戶將驗證碼通過電話告訴“客服”后不久，就收到了銀行卡被扣款的短信，并發(fā)現(xiàn)自己網(wǎng)銀被盜刷。

　　以下是部分用戶提供給我們的相關(guān)網(wǎng)銀支出與收入的短信記錄截屏。

　　詐騙手段分析

　　從犯罪手法上看“騙子實際上是首先通過其他渠道或方式盜取了用戶的網(wǎng)銀賬號、密碼和手機號碼，之后登陸用戶網(wǎng)銀，開通相關(guān)貴金屬（黃金、白銀、鉑金等）交易業(yè)務，并實施線上買賣操作。由于線上買賣的貴金屬仍然屬于網(wǎng)銀用戶自己名下的金融資產(chǎn)，并不會轉(zhuǎn)移給其他賬戶，所以銀行方面一般不要求用戶使用優(yōu)盾或其他驗證方式進行驗證，但會以短信方式通知用戶賬戶的資金變動情況。這就是用戶會收到銀行卡支出短信的原因所在。

　　而騙子之所以能夠取信于受害者的關(guān)鍵在于，當受害者要求退還資金時，用戶真的會收到資金收入的短信。這是因為騙子同時在用戶網(wǎng)銀賬戶上進行操作，賣出了剛剛賣入的貴金屬產(chǎn)品，從而導致有資金進入網(wǎng)銀賬戶。但實際上，這些錢都只是在用戶個人賬戶內(nèi)部轉(zhuǎn)移，用戶損失的是買入賣出之間的差價（手續(xù)費），錢并沒有真正被騙子取走。

　　而詐騙的最后一步，就是從受害者那里騙取驗證碼。騙子首先在用戶網(wǎng)銀上執(zhí)行轉(zhuǎn)賬操作，或者是開通各種快捷支付操作（開通快捷支付后，小額轉(zhuǎn)賬將不再需要驗證碼或U盾）。這樣，用戶手機就會收到驗證碼短信。之后騙子再以全部返還資金需要驗證碼為由，向用戶詢問驗證碼。盡管銀行的短信中非常明確地寫明了驗證碼的用途，但由于用戶焦急的心理以及騙子的恐嚇——如“2分鐘內(nèi)不輸入就失效了”等，使得絕大多數(shù)用戶往往不會認真看驗證碼短信的全部內(nèi)容，而是直接將驗證碼告訴了騙子。

　　到此為止，騙子就已經(jīng)完全獲取了用戶的銀行卡號、密碼和驗證碼，從而能夠成功轉(zhuǎn)走用戶賬戶中資金；或者是開通快捷支付并綁定騙子手機，再用快捷支付轉(zhuǎn)走用戶賬戶中的資金。

　　銀行安全建議

　　很多人質(zhì)疑：銀行在用戶進行貴金屬交易業(yè)務時，為什么不進行二次驗證？是不是銀行的業(yè)務流程存在漏洞？

　　但實際上，這種觀點并不太正確。因為在銀行的業(yè)務邏輯中，貴金屬交易是銀行與用戶之間的交易，銀行與用戶互為買賣對象，所以無論用戶進行怎樣買賣操作，資金或貴金屬貨物都不會流轉(zhuǎn)到第三方手中。也就是說，銀行方面并沒有對第三方的資金流出，所以不使用U盾或驗證碼進行驗證是合理的。如果用戶不將驗證碼泄漏給騙子的話，最多也就是損失一些買入、賣出過程中的差價費。

　　此類詐騙發(fā)生的根本原因，實際上還是用戶的網(wǎng)銀賬號和密碼已經(jīng)泄漏。如果騙子不能登陸用戶的網(wǎng)銀賬號，這種詐騙方法就不能成立。而造成用戶網(wǎng)銀賬號密碼泄漏的原因有很多種，其中最主要的原因往往是用戶設置的密碼過于簡單，或者是在不同的網(wǎng)站使用了相同的賬號和密碼，從而導致賬號密碼被竊取。

　　所以，在此類詐騙案中，銀行方面的主要責任，或者說可以改進的問題主要有兩個方面：

　　1）對用戶密碼進行安全性檢驗，如果用戶設置的密碼過于簡單，應當強制要求用戶設置足夠復雜的密碼；

　　2）當用戶賬戶出現(xiàn)異地登陸，或者是使用了新的上網(wǎng)設備（如新的手機、新的電腦）進行登陸時，應當進行必要的預警或安全驗證——如向用戶手機發(fā)送異地通知或驗證碼，并提示用戶賬號可能被盜，應及時修改網(wǎng)銀密碼。

　　目前，如微博、微信、支付寶等互聯(lián)網(wǎng)產(chǎn)品都早已經(jīng)在使用類似的登陸安全性鑒定技術(shù)，但很多銀行系統(tǒng)的登陸機制還不夠健全。

　　用戶防騙建議

　　用戶遭遇類似情況，應立即采取以下措施保護自己的賬戶和資金安全。

　　1）立即修改自己的網(wǎng)銀密碼，或者是凍結(jié)或掛失銀行卡，以免自己的網(wǎng)銀賬戶發(fā)生更多損失。

　　2）撥打銀行或者是電商網(wǎng)站的官方客服電話進行咨詢，以確認事情的真?zhèn)危星胁豢上嘈拍吧碾娫捥柎a，尤其是陌生的手機號碼。

　　3）任何時候都不要將賬號、密碼或驗證碼等敏感信息告訴陌生人。

　　另外，用戶也應當在日常生活中，建立良好的上網(wǎng)習慣，特別是不要使用過于簡單的密碼——這往往是造成此類詐騙的根本原因。具體建議如下：

　　1）網(wǎng)銀、支付、社交、郵箱等常用賬號，一定要單獨設置密碼，并且保證密碼足夠復雜，建議為數(shù)字+字母+特殊符號組合的15位以上密碼。

　　2）定期修改自己的網(wǎng)銀賬號和密碼，建議每3個月或半年主動更換一次。

　　3）千萬不要一套賬號密碼走天下，不要無論什么網(wǎng)站都使用相同的賬號和密碼。