今天，央视新闻微信公众号发布一则关于银行卡诈骗的新闻，一位女士在家什么事都没做，醒来后发现银行卡被盗刷了。刷卡案件屡屡发生，引发广泛关注。

警方深挖案件后发现，犯罪分子来自海南、四川、山东、广东等地，成员分工严格，单线通讯，这个大规模网络信用卡诈骗团伙终于浮出水面，原来，犯罪分子利用廉价、简单的嗅探设备拦截手机短信，短信中自然含有支付验证码。

支付视界注意到，本案中被盗资金流向通联支付，而支付请求是由通联支付旗下一家名为广州冠盛的第四方公司发起的。提供支付通道是一个老问题，审核太严，市场就丢了，审核不严，又容易成为不法分子的工具。很多支付机构都深受此类问题的牵连，而这次轮到通联支付了。

通联支付成立于2008年10月16日，2011年5月3日取得支付牌照，2016年5月3日牌照续期时合并了通联商业服务有限公司支付业务，目前业务范围为互联网支付、银行卡收单（全国）、固网支付、预付卡发行（上海、北京、江苏、广东、山西）、预付卡受理（全国）。被誉为银联之父的万建华，是通联支付的创始人。

以下为中央电视台《焦点访谈》报道原文：

2019年7月4日凌晨3点左右，海南省三亚市宋女士手机突然收到数条短信验证码，不久后，她的手机又收到一条短信，显示她的银行卡被刷了5万元。

宋女士在银行卡里的钱被转走之前，有做什么事情吗？有没有发生什么可疑的事情？

受害人宋女士称：“没什么操作，他们要你的身份证、银行卡密码，但是都没有，我根本就不需要做任何事。”

钱未经任何操作就被转走了，宋女士赶紧到附近的三亚市公安局三亚湾派出所报案，接案的警员接到报案后也感觉到不对劲。

由于受害人整个过程中与盗卡者没有任何沟通、联系，无法提供任何盗卡者的信息，三亚警方决定从资金流向入手展开调查。

三亚市公安局天涯分局三亚湾派出所副所长赵成良介绍说：“宋女士的钱从银行卡里出来后，我们发现钱到了第三方支付公司通联支付公司的账户，而通联支付旗下的第四方公司广州冠盛有支付服务，并发起了支付请求。”

最后，钱是在广东惠州某银行的ATM机上被取走的。三亚警方很快锁定了犯罪嫌疑人，并在广东惠州将其抓获，宋女士的5万元全部被追回。回到案发地，这起案件或许已经结案，但警方在侦查过程中一直无法破解一个疑问，在以往的一些案件中，犯罪分子在得到受害人的个人信息后，会试图通过截获动态验证码的方式，将受害人的钱转走。本案中的受害人宋女士的钱，就是因为动态验证码被截获，犯罪分子是如何获得这个看似比较安全的动态验证码的呢？

三亚警方成立专案组对该案进行深挖。经过连日攻坚，犯罪分子涉案范围遍布海南、四川、山东、广东等地，成员分工严格、单线联络，最终将这个大规模网络信用卡诈骗团伙浮出水面。2019年7月，专案组民警开始收网，在湖南娄底将该团伙老大陈某华抓获。抓捕现场的几台电脑仍在运行。

赵成良称：“当时我们问他是怎么得到动态验证码的，他说他在三亚有一个同伙，在受害人居住地范围内嗅探到受害人宋女士的动态支付验证码，拿到钱后，把动态验证码发到洗钱通道，然后把钱付了出去。”

什么是嗅探？犯罪嫌疑人是如何嗅探到受害者的动态验证码的？

犯罪嫌疑人顾某称：“我用了一部摩托罗拉118手机，把它改造成接收天线，然后用特定的USB系统模拟基站信号，截取电脑发出的信号，相当于嗅探、探测周围手机发来的短信。一部手机15元，相当于做了一个简单的拼接过程。”

如此廉价、简单的嗅探设备为何能拦截大量手机短信？

中国政法大学网络法律研究所副所长王丽梅表示：“在2G的情况下，因为加密技术比较简单，所以比较容易被破解或者解密。所以在2G网络的情况下，嗅探技术就是在中途截取数据包，然后进行解密。”

虽然我们已经进入了4G时代，有的地方甚至已经用上了5G，但是在一些4G信号较差的地方，手机就会切换到2G网络，另外，有些犯罪嫌疑人利用信号屏蔽器专门针对一定范围内的用户，这些用户的手机信号就会突然变成2G信号，这些犯罪嫌疑人就会利用2G网络的漏洞，利用嗅探设备吸收一定范围内的手机信号，如果成功的话，受害者的手机号码和短信就会自动出现在嫌疑人的电脑上，受害者对此毫不知情，默默地成为了嫌疑人的猎物。

为了将受害人银行卡里的钱转走，犯罪嫌疑人必须同时获得用户姓名、身份证号、银行卡号、手机号、动态验证码，这五个条件就好比五把钥匙，犯罪分子想要获得钥匙很难，但因为掌握了受害人的手机号，又能实时截取动态验证码，犯罪嫌疑人就如同掌握了一把“万能钥匙”，通过网络还会获得另外几把钥匙。

对于一些从未购买过保险、没有在淘宝登记过信息的用户，犯罪嫌疑人会同时登录该用户的其他多个应用程序。

最关键的是支付环节，很多APP往往会故意隐藏用户银行卡号的几位数字，那么犯罪嫌疑人是如何获取完整的银行卡号的呢？

顾先生说：“你可以充值。我只需点击一个充值方式，就可以立即充值并付款。我可以看到你所有的卡。我知道你有一张中国建设银行的卡，所以我可以运行你的卡。只要写个脚本就可以了。我可以使用其他应用程序来获取你的卡，比如招商银行和中国工商银行。你不必感到惊讶，这不是我发明的，只是它的工作原理。”

犯罪嫌疑人获取受害人的姓名、身份证号、手机号、动态验证码、银行卡号等信息后，还会选定作案目标，检查用户是否具备作案价值。

在确定有价值的用户后，犯罪嫌疑人会再次利用受害人的手机号加动态验证码，通过免密码支付方式将受害人的钱款转走。

此时，受害人并没有采取任何行动，只是在手机上收到了一堆验证码，随后银行卡上的钱就被转走了。本案中，犯罪嫌疑人使用的嗅探设备非常便宜，嗅探技术也非常简单，并不是什么高深的技术，为何能屡屡得手呢？

顾说：“你在一些APP上注册实名，很多时候是为了方便，当你忘记密码的时候，可以通过短信验证码登录，这个很方便，也很方便，方便我们这些不法分子盗取你的个人信息。用验证码登录，对你方便，对我方便。”

记者随后选取了自己手机上几个常用的APP进行测试。这些APP一般都允许用户使用用户名密码或者手机号和动态验证码两种方式登录，当用户忘记密码时，可以使用手机号登录。这一切对于用户来说，似乎都非常方便、安全。然而，不法分子却利用手机号和动态验证码登录的便利性，选择在人们防范意识较弱的夜间登录，在自己的手机或者电脑上输入用户的手机号，然后利用截获的动态验证码登录用户的APP，以此窃取用户的资金。

王丽梅说：“在手机上添加验证码的方法可能是现在最常见的一种，特别是在网络空间很多APP都用到它，并不是只有一两种验证方式，这种验证方式本身就存在一定的安全风险。首先验证码可能被截取，这是其中之一。第二就是预留手机号码，其实这个号码泄露的可能性也很大。当把这两者结合起来作为唯一的验证方式时，就存在一定的漏洞，应该尽可能用其他验证方式来补充。”

不仅如此，不少互联网公司也未能充分保护用户的个人信息。

王丽梅说：“当我们登录很多APP、使用很多移动服务的时候，每个移动服务都需要我们提供一些个人数据。所以当我们进入这么多APP、使用这么多用途的时候，几乎都是我们用到的。我们所有的信息都备份在互联网上的很多地方，所以如果任何一个备份丢失或者泄露，所有的数据都会丢失。”

因为犯罪嫌疑人可以故意干扰手机信号，导致4G、5G手机自动切换到2G网络。2G网络的先天不足暂时难以弥补，这就要求很多互联网公司、银行不能把手机加动态验证码作为身份认证的唯一方式，而应该尽可能以其他验证方式作为身份认证方式的补充。同时，普通用户也应加强个人防范。

犯罪嫌疑人陈某称：“最好的办法是，比如你要在第三方平台绑定银行卡，尽量不要往里面存太多钱。”

如果你突然收到未知的验证码，然后发现你的银行卡被盗了，不要慌张。

赵成良说：“尽快到公安机关登记，及时止付，银行卡挂失冻结，我们公安机关会追钱的。”

虽然这起案件不算大案，但其中反映的问题值得我们关注。我们的个人信息就像是游泳池里的水，我们每使用一次互联网服务，就好比在游泳池里装了一条管道，增加了泄漏的风险，更加危险。让人担心的是，很多管道都用的是同一个水龙头、手机号加验证码。如今，信息网络技术犯罪越来越多，而这些犯罪分子之所以能得逞，就是利用了网络技术的各种漏洞。人们希望电信运营商、互联网公司、银行和监管部门能想出更多办法，保障老百姓的财产安全，毕竟没有安全的便利是没有意义的。