移动支付时代的新骗局

甄知

提防“假冒银行官方电话号码+钓鱼网址”

一般情况下，消费者对于以“95XXX”开头的银行官方客服热线是比较信任的，接到这样的号码，大多数人都会降低甚至完全丧失警惕性。一般来说，诈骗分子会使用改号器将电话号码改为银行官方客服热线，打着“系统维护，更换密码令”、“某某商场大额消费”或者“积分兑换礼品”的幌子，利用伪基站技术向用户推送附有假冒银行官方网站链接的短信，而用户一旦点击短信中的“钓鱼”网址链接，极有可能泄露用户名、卡号、密码等关键信息，导致信用卡被盗刷。

信用卡专家表示，广大持卡者要特别留意短信或电话中提供的网站是否与银行对外公布的网站域名一致；不少网站域名会多出一些字母，如“gd”等后缀或前缀。若无法判断，建议拨打发卡行官方客服热线进行确认，切勿被假象所蒙蔽。

免费送礼不可信，警惕“天上掉馅饼”

近期，不少消费者投诉，他们大多都接到了看似各大银行官方的号码来电。电话中说，被抽中成为幸运用户之一，可以获得银行信用卡中心送出的“3D眼镜”、“高额礼包随身WIFI”等礼品，设备是免费的，但是物流费和检测费用需要190多元，邮包内会附赠200元电话充值卡，如果要的话需要提供收货地址等信息。

由于目前电话号码套号骗术层出不穷，在接到此类电话时，持卡人应保持头脑清醒，不妨挂断电话后及时拨打官方电话核实。同时，各家银行的优惠活动、增值服务等信息，用户都可以通过银行官网查询、辨别，要警惕“天上掉馅饼”，切勿贪图小便宜，防止上当受骗。

帮你提额非“好心”

据统计，以信用卡提额为由头的诈骗也占相当高的比例。信用卡专家表示，如果有“银行客服”来电主动要帮持卡人提高信用卡额度，先不要高兴得太早，电话那头很可能就是骗子。一般这类所谓的“银行客服”都会询问卡号、验证码及背面的校验码等资料，或让客户登录其所提供的假冒网站输入相关信息，从而成功实施盗刷。

“在任何情况下，银行或信用卡机构的服务人员都不会通过电话或短信等方式向客户索要密码或卡号。一旦对方提出这样的要求，即可判定是诈骗信息。”银行信用卡专家表示。

远离不明来源的“二维码”

黑白相间的小格子“入侵”到人们生活的各个角落，相信大家对现在随处可见的二维码并不陌生。但“有毒”的二维码有时也成为了骗子们的“新花招”，信用卡手机银行可能因此无故“被消费”。

据悉，不法分子在网上下载一款“二维码生成器”，再将病毒程序的网址粘贴到二维码生成器上，就可以生成一个“有毒”的二维码。一些消费者可能在网购时接触到类似二维码的图样，店主会告诉消费者扫描某某二维码可享受一些回馈。而诈骗分子正是利用这些二维码将手机木马植入被害人手机并自动提取相关信息。短短几秒钟的时间，手机号、卡号、密码等私人信息可能已经传到他人手中。

专家指出，市场对二维码的监管还是“一片空白”，制作二维码没有任何规定，发布二维码也没有任何限制，整个行业处在一种自由化的状态中。而二维码是否藏有病毒，从外观上是无法辨别的，用户一旦误扫“藏毒”二维码，很可能导致隐私泄露、账户被盗等情况的发生。广大用户应加强防范意识，在扫二维码前，应核实其来源，选择正规的途径及商家发布的二维码，不要扫来源不明的二维码。

网络沟通还需多个“心眼”

网购已然成为人们日常生活中不可或缺的一部分，骗子们在这一领域也推出了新型诈骗手段。诈骗分子通过利用消费者的真实购物信息，充当客服人员“退款”，随后引诱消费者进入钓鱼网站，这也是近期热门的一大骗局。

消费者杨女士就遭遇过这样的骗局。杨女士喜欢网购，有一天她在网站拍下一件大衣。就在此时，她接到“店主”打来的电话，声称该商品断货，需要她提供信用卡卡号、有效期、卡片背面的校验码等信息进行退款。杨女士信以为真，便提供了信用卡相关信息，直到收到银行发来的交易短信才知道落入了骗子的圈套，但此时已经来不及了，她的信用卡已经被盗刷。

在享受网购的方便与快捷的同时，请持卡人对陌生客服来电、克隆网站、陌生网址链接等保持警惕，千万不要泄露自己的银行卡卡号、密码、身份证、校验码等核心数据。

免费WiFi暗藏陷阱

随着我国公共场所免费WiFi的不断增多，蹭网、转账、淘宝等成为不少网民的习惯。然而，由于免费WiFi存在路由器和网络漏洞，往往成为黑客攻击的对象。根据2014年某机构对全国8万个公共WiFi热点进行的抽样调查，有21%的公共热点存在风险，其中绝大多数WiFi热点加密方式不安全。

据某移动安全实验室工程师陈湘玲介绍，在公共场所接入免费WiFi的安全风险包括：用户的社交软件账号、密码被劫持和恶意利用；手机或电脑中的文件及照片等个人信息泄露；用户网银和支付宝等移动支付的资金被盗刷等。艾媒咨询CEO张毅说，餐饮店、酒店、咖啡厅等商家是WiFi的高风险区，“一根网线加一台无线路由器组成的免费WiFi，往往‘后门大开，没有安全防范设置，为黑客打开了方便之门。”

不久前，市民陈小姐在某五星级酒店参加一个工作会议。闲暇之余她拿出手机，随手便搜出了一个以酒店名称拼音为缩写的WiFi，没想到很顺利地登了上去。随后，她打开QQ和淘宝开始了购物。大约过了5分钟，陈小姐的QQ就开始自动下线，提示有人在异地登录。几分钟内，那名看不见的黑客和她展开了登录拉锯战。她的QQ图标也变得忽明忽暗。

登录间隙，陈小姐清楚地看到，那名黑客在以她的名义，不停向QQ好友发送一个链接，大意是“请查看一下我的QQ空间相片变化”。一名警惕性较高的同事打来电话，称该链接是一个伪装的钓鱼网站，必须输入访问者的QQ账号和密码才能继续。陈小姐随后向腾讯公司说明了情况，才顺利收复了QQ的掌控权。为了以防万一，当天她将自己的淘宝、京东等密码全部进行了修改。

黑客的三大“花招”

在某通信公司的WiFi风险实验室，陈湘玲向记者演示了黑客的“花招”。

1.域名劫持。在实验室，记者用手机连上了一个不设密码的WiFi后，输入正确的工商银行网站，跳出的网页却是个与之相似度很高的山寨钓鱼网站。

陈湘玲说，在当前的WiFi环境下，她可以进入无线路由器的管理后台，并对域名系统进行修改。当记者输入工行网址时，服务器直接把IP地址跳到她设置的工行钓鱼网站。

2.钓鱼WiFi。陈湘玲说，黑客往往选择在繁华商业区构建一个不加密的WiFi，并把WiFi的名字起为“CMCC”、“KFC”等众所周知的热点名称，引诱网民“上钩”。

值得关注的是，架设一个钓鱼虚假WiFi毫不费力，黑客只要把一个3G网卡插入到便携迷你无线路由器，就能释放WiFi信号。设置好无线路由和网络共享后，黑客“就能喝着咖啡守株待兔了”。

3.ARP（地址解析协议）欺骗。陈湘玲和记者各自用手机连接了同一个WiFi，记者登陆了自己的新浪微博开始浏览，陈湘玲则在其手机上打开了一款黑客软件。记者看到，该黑客软件很快就进入路由器的WEB管理界面，并将记者的手机信息读取出来。

陈湘玲在其手机上发出一条微博进行测试，不到5秒钟，记者手机上就显示了这条“新微博”。“这意味着，你在手机上的所有操作我都能一览无余。这样的会话劫持软件在网上可以轻易下载。”陈湘玲说。

北京市朝阳区检察院检察官张剑提醒，可以直接连接且不需要验证或密码的公共WiFi风险较高，背后有可能是钓鱼陷阱，尽量不要使用。此外，在使用公共场所的WiFi热点时，尽量不要进行网络购物和网银的操作，避免个人敏感信息遭到泄露，甚至被黑客银行转账。

张剑还提醒，由于手机会把使用过的WiFi热点都记录下来，如果WiFi开关处于打开状态，手机就会不断向周边进行搜寻，一旦遇到同名的热点就会自动进行连接，存在被钓鱼风险。“当进入公共区域后，尽量不要打开WiFi开关，或者把WiFi调成锁屏后不再自动连接，避免在自己不知道的情况下连接到恶意WiFi。”此外，对于家里路由器的后台管理所涉及的登录账户、密码，也尽量不要使用默认的admin，可改为字母加数字的高强度密码，大大提高黑客破解的难度。