官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
#中南财大博士生被骗10万# 迅速成了互联网热议,不少网友针对受害人智商、学历进行人身攻击,在他们眼中,这么“简单”的骗局还被骗,受害人就是傻、就是蠢。
然而,作为安全研究人员,在与诈骗团伙斗争的过程中,我们深深的了解到,受害人在接到诈骗电话的那一刻,面对着是掌握你个人信息、熟背诈骗话术、熟悉犯罪心理学的职业化诈骗团伙。你的每一句回复、你的心态变化都在对方的话术册里,没有身处在诈骗场景中,很难识别出真假。
近期,360手机先赔也接到了用户举报,反馈其遭受了精准的注销贷款诈骗,被骗了十几万元!
案例经过
用户收到归属地为陕西西安、自称为支付宝工作人员的电话,电话中表示,根据国家二号文件规定,需要对支付宝的学生认证信息进行修改,并准确说出了用户的学校信息。
用户对来电号码的归属地产生怀疑,对方表示使用了虚拟归属地设置。为进一步打消用户的顾虑,表示可以给用户发送一条“支付宝”短信。用户收到短信后,便深信不疑。
按照对方要求添加了蚂蚁金服服务中心的QQ账号,群内自称为支付宝技术人员要求用户根据提示完成操作:
转账完成后并没有看到对方描述的银监会弹窗提示,用户有些质疑。对方表示由于用户信息被盗取,导致操作未完成,如果想提现,需要缴纳一笔保障金。用户按照要求,将63元转向对方指定的账户。
双方发生争执后,对方称经理人员接入,经理人员表示,证券会处理数据有时效性,为了返还操作失误的资金丢失,需要进行资金对冲,先后诱导用户通过微粒贷借贷13000元,花呗34240元、同学及家人借贷53000元并转向指定的账户。随后发现被骗,受害人被移出QQ群。
案例分析
为了让受害人完全相信自己,在此案例中骗子又使用了如下几种方式:
1、骗子是如何让用户相信自己是支付宝员工?
使用受害人的手机号登录支付宝,登录方式选择短信验证,此时受害人的手机会收到支付宝的登录校验短信。
2、为什么让用户拨打”**21*01066279113#”?
拨打号码”**21*01066279113#”的实质,是对手机设置了呼叫转移,来电会被转接到银监会的电话01066279113,这样的操作,既能让受害人相信自己,也能及时阻断反诈民警的来电提醒。
在此类身份冒充诈骗,骗子精准的掌握个人信息是关键。通过监控的黑灰产渠道贩卖的用户贷款信息资料表,可以看到十分详细的用户隐私信息。(以下图片信息有效性无法确认)
电商平台数据
包含订单号、下单时间、收货人、地址、手机号,掌握了这些信息,也就能准确的知道用户的网购行为。
包含来源网站、订花人姓名、电话、收花人姓名、电话、地址、送达时间、订单金额等。
大学生信息
包含学校、专业、学院、地区、姓名、学历、性别、出生日期、入学年份、毕业时间、准考证号、学号、家庭住址、家庭联系电话、手机、qq、邮箱。
网络贷款
姓名、手机号、申贷金额、还款周期。
安全课堂
此类身份冒充诈骗,就是掌握了用户精准的个人信息,实施的定向诈骗。不听、不信、不转账,其中的道理真的不是说说而已。就像赌场千术骗局,老千台下苦练多年,又钻研过你的生活习惯,赌桌也是特意定制,所有陷进都是为你量身定做的,就为了台上骗你的那一刻。