銀行卡被盜刷，這事挺可怕。海南三亞警方就破獲了這樣一起新型銀行卡盜刷案件，一位女士在傢什麼都沒做，一覺醒來，卻發現自己的銀行卡已經被洗劫一空。像這樣一類盜刷案件已經多次發生，引起了人們的關注。那麼，不法分子是怎麼無聲無息就把錢轉走了？這類案件為什麼會多次發生，我們又該如何防範呢？

2019年7月4日凌晨3點多，海南省三亞市宋女士的手機上突然收到了幾條簡訊驗證碼，不一會兒手機又接到簡訊，顯示她的銀行卡被刷走了5萬元。

在銀行卡上的錢被轉走之前，宋女士有沒有進行什麼操作呢，有沒有什麼可疑的事情發生呢？

受害人宋女士說：“沒有任何操作，問你的身份證，你的銀行卡密碼，根本就沒有，根本不用我操作。”

什麼都沒有操作錢就被轉走了，宋女士趕緊到附近的三亞市公安局三亞灣派出所進行報案。接到報案後，接案的民警也感到蹊蹺。

因為整個過程受害人沒有和盜刷銀行卡的人有過任何的溝通、接觸，無法提供盜刷銀行卡的人的任何資訊，於是三亞警方決定從資金流向入手展開調查。

三亞市公安局天涯分局三亞灣派出所副所長趙成良說：“宋女士的錢從銀行卡出來以後，我們查詢到這筆錢進入到了通聯支付公司，就是第三方支付公司。 這筆錢又從通聯支付，進入廣州冠勝，是一個第四方支付公司。”

最後這筆錢從廣東惠州一家銀行的自動取款機上被取走，三亞警方很快鎖定了犯罪嫌疑人，在廣東惠州將其抓獲，宋女士的5萬元錢被全部追回。錢被追回來了，這個案子或許到此已經可以結案了，但警方在偵破過程中有一個疑問卻一直無法破解。以前的一些案例，不法分子掌握了受害人的個人資訊後，會設法獲取受害人的銀行卡密碼進行轉款。而本案受害人宋女士的錢被轉走是因為與動態驗證碼被截獲有關，這個似乎更安全的動態驗證碼不法分子是怎麼獲取的呢？

三亞警方成立專案組對此案進行深挖，經過連日奮戰，這個作案人員涉及海南、四川、山東、廣東等地，成員有著嚴密分工、單線聯絡的特大網路盜刷團伙終於現形。2019年7月，專案組民警開始收網，在湖南婁底抓獲了這個團伙的上家陳某華，抓獲現場幾臺電腦還正在執行。

趙成良說：“當時我們就問他，這個動態驗證碼是怎麼獲得的？他說是在三亞有一個同夥，在被害人居住的範圍之內，嗅取了被害人宋女士動態支付驗證碼，嗅取到以後他將動態驗證碼發給洗錢通道，就將這個錢給支付出來了。”

什麼是嗅探？犯罪嫌疑人又是怎麼嗅取了受害人的動態驗證碼的呢？

犯罪嫌疑人顧某某說：“用摩托羅拉118的手機，透過一番改造，把它變成一個接受的天線，再配合上特定的隨身碟系統，在電腦開啟之後，就可以模仿基站的訊號，攔截、嗅取探測到的周圍手機簡訊。一個手機15塊錢，相當於一個簡單的拼接過程。”

為什麼如此廉價簡單的嗅探裝置，就能截獲大量的手機簡訊呢？

中國政法大學網路法學研究院副院長王立梅說：“在2G的狀態下，因為加密技術相對來講比較簡單，比較容易破獲，當到2G網路的時候，嗅探技術在中間截獲資料包，然後解開就可以了。”

雖然現在我們早已進入4G時代，有的地方甚至已經用上了5G，但在一些4G訊號不好的地方，手機會切換到2G網路。另外，一些犯罪嫌疑人利用訊號干擾裝置，專門對一定範圍的手機訊號進行干擾，這時這些使用者的手機訊號也會突然變成2G訊號。這些犯罪嫌疑人就會利用2G網路存在的漏洞，用嗅探裝置吸附到周圍一定範圍之內的手機訊號。吸附成功後，受害人的手機號碼和簡訊資訊會自動顯示在犯罪嫌疑人的電腦上，受害人不會有任何察覺，悄無聲息中就變成了犯罪嫌疑人的獵物。

要想將受害人銀行卡上的錢轉走，犯罪嫌疑人必須同時獲得該使用者的姓名、身份證號、銀行卡號、手機號和動態驗證碼。這5個條件就像5把鑰匙，一般情況下犯罪分子很難獲得，但因為有了受害人的手機號碼並能夠實時擷取動態驗證碼，犯罪嫌疑人就如同拿到了一把萬能鑰匙，他們會透過網路來獲得其他幾把鑰匙。

對於一些沒有買過保險，或者在淘寶沒有登記資訊的使用者，犯罪嫌疑人會同時登入這個使用者其他的多個App。最關鍵的是支付環節，不少App往往都會對使用者的銀行卡號刻意隱去幾位，那麼犯罪嫌疑人又是怎麼獲得完整的銀行卡號呢？

顧某某說：“可以透過充值，我隨便點一個充值的方式，立即充值，看付款方式，可以看見你所有的卡。我知道你有建設銀行的，我就可以去跑你的卡，像招商銀行的和工商銀行，我直接透過別的App就直接獲取了。”

犯罪嫌疑人獲得了受害人的姓名、身份證號、手機號、動態驗證碼、銀行卡號這些資訊之後，還會挑選作案物件，查驗使用者是否有作案價值。

確定了有價值的使用者之後，犯罪嫌疑人會再次利用受害人的手機號碼加動態驗證碼，使用免密支付的方式將受害人的錢轉移出去。

此時，受害人什麼都沒有操作，手機上會收到一堆驗證碼，之後銀行卡上的錢就被轉走了。這個案件當中，犯罪嫌疑人使用的嗅探裝置十分廉價，嗅探技術也不是什麼高深的技術，為什麼卻能屢屢得手呢？

顧某某說：“你在一些App上面去實名註冊資訊，很多時候是圖方便，當你忘記密碼的時候，就可以透過簡訊驗證碼去登入，這個時候你會感覺到很方便，同時也方便了我們這些犯罪分子去盜取你的個人資訊，透過驗證碼登入，方便了你，也方便了我。”

記者隨後在手機上，選擇了多個常用的App進行測試，這些App一般都可以透過使用者名稱加密碼和手機號加動態驗證碼兩種方式進行登入。當用戶忘記密碼的時候，可以透過手機號傳送驗證碼的方式找回密碼。這一切對使用者來說似乎很方便，也很安全。可是不法分子恰恰利用手機號加動態驗證碼也可以登入的便利，選擇在夜深人靜、人們防範意識比較低的時候，在自己的手機或電腦上輸入使用者的手機號，再用截獲的動態驗證碼登入使用者的App，達到盜竊使用者資金的目的。

王立梅說：“手機加驗證碼的方式可能是現在大多數的，尤其是在網路空間很多App所通行採用的方法，但是這種驗證方式本身它是有一定的安全隱患，也就是說驗證碼是有可能被截獲的，這是其中一個。第二個就是預留的手機號碼，這個號碼實際上它洩露的可能性也是非常大的，所以它們兩個加在一起，做一個唯一的驗證方式是有一定漏洞的，儘可能應該是再有其他的驗證方法予以補充。”

不僅如此，很多網際網路公司對使用者的個人資訊，保護也不到位。

王立梅說：“在我們登入很多App，使用很多移動服務的時候，每一個移動服務都要求我們提供一遍我們個人的一些資料，那麼當我們使用了這麼多的用途以後，幾乎我們所有的資訊，就在網際網路各個節點有非常多的備份，任何一個備份丟失、洩露等等，都會造成全部資料的遺失。”

因為犯罪嫌疑人能夠故意干擾手機訊號，這樣就會使4G、5G手機自動轉到2G網路。而2G網路的先天不足一時難以彌補，這就要求眾多網際網路公司和銀行，不能以手機加動態驗證碼作為唯一的身份驗證方式，應該儘可能再增加其他驗證方法予以補充。同時，普通使用者也要加強個人防範。

當用戶突然收到不明的驗證碼，然後發現銀行卡被盜刷了也不要驚慌。

趙成良說：“第一時間到公安機關報名，及時止付，把你的銀行卡掛失凍結，我們公安機關去追這筆錢。”

這個案件，雖然不大但反映出來的問題值得大家關注。我們的個人資訊就像水池裡的水，每使用一項網際網路服務就像給這個水池安裝了一個管道，增加了洩露的風險，更令人擔憂的是，很多管道用的都是同一種水龍頭，手機號碼加驗證碼。現在資訊網路技術犯罪越來越多，這些不法分子之所以能夠得逞，就是利用了網路技術上的各種漏洞。人們希望電信運營商、網際網路企業、銀行以及監管部門能多想辦法，保障人民群眾的財產安全。畢竟，沒有安全的方便是沒有意義的。