近日，猎网平台及360互联网安全中心接到大量用户因网银账户贵金属交易被恶意操纵而引起的网络诈骗案件举报。目前已知的全国各地受害者至少有上千人，损失从几千元到几万元不等。

　　诈骗过程解析

　　根据多位受害者的描述，我们大致可以把手机用户的被骗过程分解为如下几个步骤：

　　1）手机用户首先收到银行短信通知，显示其账户有资金支出，一般为几千元，支出原因为用户不熟悉的某项网银金融业务，如“积金积存”“如意积存”等。而这些业务实际上是网银开设的贵金属交易业务。

　　2）用户接到自称是电商、银行及其他各种公司客服人员的电话，称受害者使用银行卡进行了消费，因金额较大，需要电话确认是否为本人操作，若非本人操作，则可以将钱款退还给用户。

　　3）用户表示消费并非本人操作后，账户真的会收到一定金额的退款。

　　4）随后，“客服”会告知用户，其网银账户可能已经被盗刷，为保证全部资金能够退还到受害者网银中，需要用户提供验证码，并要求用户不要挂断电话。

　　5）这时，用户手机会收到一个验证码短信，这个短信实际上是一个转账支付验证码通知短信或开通各种快捷支付的验证码短信。

　　6）用户将验证码通过电话告诉“客服”后不久，就收到了银行卡被扣款的短信，并发现自己网银被盗刷。

　　以下是部分用户提供给我们的相关网银支出与收入的短信记录截屏。

　　诈骗手段分析

　　从犯罪手法上看“骗子实际上是首先通过其他渠道或方式盗取了用户的网银账号、密码和手机号码，之后登陆用户网银，开通相关贵金属（黄金、白银、铂金等）交易业务，并实施线上买卖操作。由于线上买卖的贵金属仍然属于网银用户自己名下的金融资产，并不会转移给其他账户，所以银行方面一般不要求用户使用优盾或其他验证方式进行验证，但会以短信方式通知用户账户的资金变动情况。这就是用户会收到银行卡支出短信的原因所在。

　　而骗子之所以能够取信于受害者的关键在于，当受害者要求退还资金时，用户真的会收到资金收入的短信。这是因为骗子同时在用户网银账户上进行操作，卖出了刚刚卖入的贵金属产品，从而导致有资金进入网银账户。但实际上，这些钱都只是在用户个人账户内部转移，用户损失的是买入卖出之间的差价（手续费），钱并没有真正被骗子取走。

　　而诈骗的最后一步，就是从受害者那里骗取验证码。骗子首先在用户网银上执行转账操作，或者是开通各种快捷支付操作（开通快捷支付后，小额转账将不再需要验证码或U盾）。这样，用户手机就会收到验证码短信。之后骗子再以全部返还资金需要验证码为由，向用户询问验证码。尽管银行的短信中非常明确地写明了验证码的用途，但由于用户焦急的心理以及骗子的恐吓——如“2分钟内不输入就失效了”等，使得绝大多数用户往往不会认真看验证码短信的全部内容，而是直接将验证码告诉了骗子。

　　到此为止，骗子就已经完全获取了用户的银行卡号、密码和验证码，从而能够成功转走用户账户中资金；或者是开通快捷支付并绑定骗子手机，再用快捷支付转走用户账户中的资金。

　　银行安全建议

　　很多人质疑：银行在用户进行贵金属交易业务时，为什么不进行二次验证？是不是银行的业务流程存在漏洞？

　　但实际上，这种观点并不太正确。因为在银行的业务逻辑中，贵金属交易是银行与用户之间的交易，银行与用户互为买卖对象，所以无论用户进行怎样买卖操作，资金或贵金属货物都不会流转到第三方手中。也就是说，银行方面并没有对第三方的资金流出，所以不使用U盾或验证码进行验证是合理的。如果用户不将验证码泄漏给骗子的话，最多也就是损失一些买入、卖出过程中的差价费。

　　此类诈骗发生的根本原因，实际上还是用户的网银账号和密码已经泄漏。如果骗子不能登陆用户的网银账号，这种诈骗方法就不能成立。而造成用户网银账号密码泄漏的原因有很多种，其中最主要的原因往往是用户设置的密码过于简单，或者是在不同的网站使用了相同的账号和密码，从而导致账号密码被窃取。

　　所以，在此类诈骗案中，银行方面的主要责任，或者说可以改进的问题主要有两个方面：

　　1）对用户密码进行安全性检验，如果用户设置的密码过于简单，应当强制要求用户设置足够复杂的密码；

　　2）当用户账户出现异地登陆，或者是使用了新的上网设备（如新的手机、新的电脑）进行登陆时，应当进行必要的预警或安全验证——如向用户手机发送异地通知或验证码，并提示用户账号可能被盗，应及时修改网银密码。

　　目前，如微博、微信、支付宝等互联网产品都早已经在使用类似的登陆安全性鉴定技术，但很多银行系统的登陆机制还不够健全。

　　用户防骗建议

　　用户遭遇类似情况，应立即采取以下措施保护自己的账户和资金安全。

　　1）立即修改自己的网银密码，或者是冻结或挂失银行卡，以免自己的网银账户发生更多损失。

　　2）拨打银行或者是电商网站的官方客服电话进行咨询，以确认事情的真伪，切切不可相信陌生的电话号码，尤其是陌生的手机号码。

　　3）任何时候都不要将账号、密码或验证码等敏感信息告诉陌生人。

　　另外，用户也应当在日常生活中，建立良好的上网习惯，特别是不要使用过于简单的密码——这往往是造成此类诈骗的根本原因。具体建议如下：

　　1）网银、支付、社交、邮箱等常用账号，一定要单独设置密码，并且保证密码足够复杂，建议为数字+字母+特殊符号组合的15位以上密码。

　　2）定期修改自己的网银账号和密码，建议每3个月或半年主动更换一次。

　　3）千万不要一套账号密码走天下，不要无论什么网站都使用相同的账号和密码。