一短信诈干90后三银行卡 运营商银行称不赔偿(图)

　　4月8日，因退订一短信资讯服务，90后merci的三张银行卡数万元存款三小时内陆续被转走。专家分析，这是一起典型的电信诈骗案件。问题的焦点在于——骗子可能提前利用漏洞获得了当事人身份证、银行卡号和手机号等的核心身份信息。

　　如果个人身份信息泄露而造成损失，谁来担责？电信运营商、银行和第三方支付平台等各方态度不一。

　　一条短信，三卡皆空

　　一条看似鸡肋的“资讯订阅短信”背后，实际暗藏蹊跷。

　　4月8日17点54分，在下班回家的地铁上，Merci的手机收到一条短信，来源为“1065800”的号码发来了一条短信杂志。Merci很快回复退订，收到提醒：“指令不正确”。

　　1分钟后，显示为“10086”的号码短信提醒merci开通某信息服务的半年包业务，并发来余额不足的通知。

　　8分钟后，显示“10658139013816280086”的号码给 merci发来短信，通知他已经订阅该资讯服务，如果退订，需发送‘取消+校验码’至本条短信。”

　　短信署名为中国移动。merci没有多想便按要求进行了退订。

　　同时，之前“10086”的号码再次发来短信：“尊敬的客户，您的USIM卡6位验证码为******”。merci并不知道USIM卡验证码是什么，于是回复“取消+*******”。

　　半小时后，merci发现自己手机的SIM卡已无服务。

　　他很快便发现，手机支付宝开始将他余额宝的钱转入绑定的招商银行卡。意识可能遭遇诈骗，为避免遭受更大的损失，他将余额宝中剩余的钱转到了另一张工商银行卡（也绑定了支付宝）中。

　　但是工行的钱不久也通过支付宝转入了招商银行。

　　他立即解绑支付宝所有关联的银行卡，此时支付宝已发生6笔转账。更令他心慌的是，自己中国银行、招商银行的网银已无法登陆，密码被篡改。仅能登陆的工商银行网银，也现实正在转账。

　　而Merci许久未用的百度钱包，竟然也被绑定了三张银行卡并损失部分资金。

　　若这是短信诈骗，为何Merci仅回复一条短信，没有透露身份证、银行卡号等核心信息，却眼睁睁看着钱被转走了？

　　专家：身份信息或遭泄露被骗子获取

　　360反诈骗专家刘洋称，这是一起典型的综合利用“个人信息+ USIM补换卡+伪基站短信（或改号软件短信）”的电信诈骗案件。

　　中国移动北京分公司于4月12日公布的调查显示，受骗者号码通过客户自设的密码，登陆了北京移动官方网站，办理了某资讯服务包，并登陆网站更换 4G USIM卡业务。系统向客户本机下发换卡二次确认验证码（6位USIM验证码），该验证码当时被merci输入后，完成了换卡。

　　该号码的IP地址显示登陆地点为海南海口，但Merci此时正在北京的地铁上。

　　刘洋称，骗子给受害者订购手机报增值业务，干扰用户判断，以为被强制订购业务。实际上这是骗子在办理usim补换卡业务，使得受害者收到中国移动发送的短信验证码。

　　Merci得知，自己百度钱包里有两张银行卡是4月8日关联的。被问及需要哪些信息才能进行关联时，百度钱包客服回复：“银行卡信息，姓名，身份证号，手机号，验证码。”

　　“这意味着，罪犯掌握了以上这些信息。也意味着，我在罪犯面前是一个信息完全暴露的裸点。” Merci不明白，骗子是如何搞定这些信息的。

　　“（很可能）诈骗实施之前，骗子已经获取了受害人的银行卡号、身份证号、姓名、手机号等个人信息。”刘洋说。

　　刘洋解释，获得受害人的个人信息后，在窃取手机卡且骗子可以轻易获取任何转账支付需要的验证码，通过支付宝转账、盗取银行卡资金、开通百度钱包等这些行为很容易实现。

　　骗子为什么能获取到Merci的个人信息，哪个环节出现了漏洞？谁应该为为此担责？

　　中国移动：不会做任何赔偿

　　事发后，merci向警方报警，两天收到警方的立案回执，但无更多回复。

　　银行柜台工作人员告诉他，只能打印交易详情，客服则回应说会把信息汇总，积极配合警方调查。

　　各方求助无门后，merci在微博上记录自己的遭遇。随着事件关注度的提升，支付宝和百度钱包作出了回应。

　　4月12日中午，支付宝已经把通过支付宝平台流失的资金赔付给了merci，占总额近一半。“客服一直在跟进情况，前后打过不下40个电话。”

　　支付宝蚂蚁金服相关技术人员回复搜狐新闻记者称，根据用户的反映，我们判断的确是账户被盗刷，基于消费者保护的原则，所以对他进行了赔付。

　　支付宝做出赔付之后，百度钱包也表态要赔付。

　　但merci称，另一个关键环节——作为电信运营商方面的中国移动相关人员在电话里明确告知，不会做任何赔偿。

　　Merci提出质疑：1、他已很久不登陆移动官网，甚至忘记上次登陆的时间，骗子为何如此简单便破解密码？2、为何换卡的流程过于简单，只有一个验证码就能复制走号码？

　　对此，腾讯安全专家陆兆华分析认为，用户常用的密码很可能多个平台重复使用，某一个网络平台的资料和密码丢失之后，诈骗分子很可能会采取撞库的形式通杀其他平台的帐号密码，除此之外，一些黑产非法交易、第三方网络平台存在漏洞都有可能泄露，即个人信息的泄漏是有很多种可能性的，不一定就是移动官网自身泄露的。

　　对于merci提出的第二点质疑，陆兆华称，卡与卡之间通过验证码复制的安全性是依赖一定的条件，因为卡与卡之间是属于死物，在营业厅面对面的换卡下是相对安全的。如果是远程空中复制，鉴于发案的严重性，运营商的确需要思考如何加强这方面的验证门槛。

　　到底谁应为此事负责？一切还有待于警方的调查结果。