移动"短信保管箱"被疑存漏洞 用户银行卡被盗刷1万多元

10.08.2015  09:03

  据《劳动报》报道,近日,一则提醒上海市民取消手机“短信保管箱”业务的文章在微信朋友圈广传。事情起因为北京移动部分用户疑因被强制开通该业务而被陆续盗刷银行卡。记者了解到,目前,上海地区该业务仍能正常开通,但移动方面回应称,将在8月底前对该业务进行升级,不再保存金融企业下发的短信。

   用户被盗刷1万多元

  所谓“短信保险箱”的服务,是将用户手机收到的所有短信,即时自动同步到云服务器上进行备份。但这一便捷服务在被犯罪分子利用后,竟然变成了一个安全漏洞。北京移动用户梁先生就因此遭遇了盗刷———

  今年7月,梁先生手机收到了一条短消息,内容是:您已成功开通中国移动的短信保管箱业务。随后,他给10086打了一个电话询问此事,对于此功能,梁先生觉得没有任何必要,于是选择了退订。

  万万没想到,5天后,梁先生的手机上突然收到一条短信:您的银行卡正在转账金额为9990(元)。梁先生当即查询自己的银行账户,发现卡内的钱真的被转走了。随后,犯罪嫌疑人又利用同样的方式,从梁先生的两张银行卡里再次转走4000元,共计损失13990元。

  而与梁先生遭遇相似的其他几位用户也反应,自己的手机、银行卡、U盾都在身边,但是储蓄卡里的钱,却莫名其妙地被转走。

  对此,专家的解释是,犯罪分子是掌握了“短信保管箱”的登录信息和银行卡号,就可以在运营商的网站上直接查看手机上收到的各种消费和转账的“短信验证码”,从而完成盗刷。而不论用户怎么设置和修改银行卡的密码,都没有什么用。

  对于受害用户反映被迫开通该服务一说,中国移动北京公司事后发布声明称,经查证是由于客户的网站登录密码被不法分子盗取后,凭密码办理了短信保管箱业务。

   已关停历史短信查询功能

  昨天,记者拨打移动客服电话询问该业务办理情况,工作人员表示,目前,上海地区的“移动保管箱”业务仍可正常开通,费用为3元/月。

  中国移动相关负责人表示,此次银行卡被盗刷客户投诉后,客户虽然仍能开通此业务,但查询历史短信的功能已紧急关停。目前正在对业务进行优化,包括“不保存银行下发的短信”、“只能查询24小时前的短信”、“登录保管箱将需要动态密码验证”等,进一步提升该业务的安全等级。

  上述负责人还表示,目前该业务已实现只能查询24小时以前的企业短信,所有业务优化会在8月底完成。

  该负责人强调,如果手机号和密码不被窃取,他人不会获得客户的短信内容。