正在阅读：长点心吧!骗子这样拿到了你的卡号与密码长点心吧!骗子这样拿到了你的卡号与密码

　　【PConline 杂谈】近日，连续有新闻报道称，发生多起因居民点击短信连接导致家产被骗光，或卡在身上钱却不翼而飞等安全事件发生，闹的人心惶惶。一时间，不要点击不明短信连接、不要随便连接公共Wi-Fi、注意POS机是否被改装等安全攻略，迅速流向民间。到底这些说法靠谱吗？骗子又是如何拿到你的卡号与密码？且听“黑客”说。

长点心吧!骗子这样拿到了你的卡号与密码

　　 或许你也曾或正在经历着QQ账号被提示异地登陆（排除另一半偷偷登陆的可能性），或是接到自称“银行客服”的电话告诉你，银行卡被误扣款需按指导进行操作，结果钱不翼而飞，又或者打开刚刚网购的店家邮件，一天后卡里的钱全部被转走的‘灵异’事件。恭喜你，你中了头奖！

　　 觉得匪夷所思？银行卡信息怎么就被盗了？受害者们大多会这样描述，自己先是收到了手机短信提示称开通了某某业务，随后是一则称回复”取消+校验码“可退订该业务，回复之后手机便无法联网和通话，最后发现自己银行卡中的存款已被转走。对于整个受骗过程，安全专家表示在实施犯罪之前，骗子就已获得受害人的银行卡号、身份证号、姓名、手机号等重要信息。

　　看到这里大家或许不禁要问，这些重要的个人信息骗子们是如何获得的？实际上，在网络空间存在着一个庞大的盗取银行卡的黑产，有着各自不同的分工。他们称这些个人信息为“料”，产业链中分下料人和洗料人。通常下料的手法有以下三种，一是我们熟悉的伪基站发送钓鱼短信，二是免费的公共Wi-Fi，三就是经过改装的POS机。

　　 通过上面三种方法得到的“料”，下一步就是将受害者银行卡中的钱进行转帐，也就是“洗料”。第一步就是想方设法要劫持你的手机验证码，最常用的就是向目标手机里发送木马，只要点击手机短信内容就会被拦截，然后将银行卡绑定在第三方支付平台把钱转走；再者就是干扰手机信号拦截验证码。谎称自己是送快递的套取目标的具体地址，在该地址的一定范围内，拦截其银行卡验证码。

　　 网络让生活变得越来越便捷，网上订餐、订票、洗车、网购、找工作等等，只需动动鼠标便能轻松搞定，但是不要忘了，这些服务都需要用户填写真实的姓名、电话、住址等真实信息，而这也使得各大电商、社区平台成为信息泄露的第一站。

　　黑客若要获得这些用户信息，就必须攻进网站的服务器，但首先他们要通过漏洞绕过网站自身的“保安”。然而同为漏洞，有的可以直达心脏，有的只能在金库外围徘徊，而有的则可以通吃所有网站。漏洞存在生命周期，即从发现到被修复，这段时间是黑产利用的黄金时期。

　　 数量庞大的个人信息被从各个站点拖出来汇集在一起，黑产中专门有人负责“撞库”，就是用已知的账号和密码去大量尝试其他网站和平台，因为便于记忆，大多数人都会在不同的网站使用相同的密码，就这样“漏洞—拖库—撞库”循环往复。据不完全统计，仅中国黑产流传的账号密码就已超过20亿。

　　 实际上，黑产内部的分工与协作已远远超出了我们的想象，就像工厂里的生产线：漏洞挖掘、拖库、撞库、洗库、实施犯罪，这些环节由不同的团伙负责，我们的个人信息就这样在不同的空间自由流转。为能让大家更直观些，我们以开篇所说的钓鱼陷阱为例，进行说明。

　　 可以说，“钓鱼”是一种受力面较大的攻击方式，待用户误入黑客构建的钓鱼网站，从而一步步的在诱骗下输入自己的敏感信息。重要的是，黑客为防止公安以及安全公司的追踪，就连钓鱼网站所使用的服务器都不是黑客自己注册的。黑产中，有专门的一批人申请服务器，以一个星期2000块的价格租给钓鱼网站的使用者，因此很难侦破。