在我上一篇文章《我妈妈被电信诈骗95万元的全过程》发布后,很多网友留言对于如此大金额的银行转账为什么没有触发银行的风险控制感到疑惑,我一开始也百思不得其解,我于是在另一台手机上安装并登录了中国银行的手机银行APP,通过对手机银行日志的分析,我才终于明白——骗子并不是“暴力盗钱”,而是在几天的时间里,精确地绕过了银行的风险控制机制。
一、时间线回顾
7月底,骗子冒充警察打我妈妈的电话,声称她的身份证被人冒用,涉嫌一宗300万元的诈骗大案,要求她配合“资金核查”,并套取了支付宝密码、银行卡号和密码。
7月30日,骗子以“配合公安调查、进行视频签到”为由,让我妈妈购买了一部新手机——华为畅享80S。他们说:“这是专用机”,实际上,这台手机的唯一作用,就是让骗子更方便地远程控制她那部装有支付宝和手机银行的小米手机。
8月4日早上9点,骗子“陈科长 ”和我妈妈用华为手机进行视频通话,骗子一步一步指导我妈妈解开小米手机上的禁止安装第三方应用的设置,然后在小米手机上安装了一个名为 “银监局 9.06” 的木马软件(8月4日9时45分安装)。那一刻,骗子彻底接管了她的小米手机。
8月6日和7日,我妈妈在支付宝里的三笔理财资金被赎回到我妈妈的银行卡。
8月11日和13日,骗子将我妈妈银行卡的95万元分三笔转到骗子的银行卡。
二、骗子到底是怎么绕过银行风控的?
骗子在8月4日成功安装木马软件之后,可以说是已经成功控制了我妈妈,那时候骗子已经从我妈妈口中套取了所有的关键密码:支付宝支付密码、中国银行的银行卡交易密码、中国银行手机APP的登录密码等等,剩下的唯一障碍,是银行的风险控制机制。
我后来在中国银行手机银行操作记录里查看,骗子于8月4日登录小米手机上的中国银行手机银行,做了几个关键操作:1、申请手机盾、2、安全因子设定、3、关闭动账消息推送服务。
我一开始对于骗子申请手机盾感到迷惑不解,仔细研究了一下才恍然大悟。
“手机盾”是中国银行的高等级安全因子,相当于“数字U盾”。
未绑定手机盾时,中国银行APP的单日转账限额为5万元;绑定后,可直接提升至100万元。这对骗子而言,意味着——可以一口气转走全部存款。
骗子进行安全因子设定,将默认安全工具设置为:手机交易码(短信验证码)+手机盾,避免触发其他验证机制,骗子关闭动账消息推送服务的原因是,中国银行的动账消息推送服务支持微信通知,骗子需要防止我妈从微信上看到转账信息。
由于骗子安装的木马软件能拦截短信验证码,手机盾又在骗子控制之中,因此骗子即使进行100万级别的大额转账,也不触发银行的风险控制策略,而受害人毫无察觉,没有看到任何风险提示的信息。
可以说:8月4日那天,骗子不是在盗钱,而是在“拿钥匙”;8月11日和13日才是真正“开门取钱”的阶段。
从这里可以看出骗子的操作节奏之精准,令人不寒而栗。
8月6日和7日,骗子操作支付宝赎回理财资金到银行卡,支付宝的资金赎回银行卡通常需要好几天的时间才能到账。
之后几天,骗子天天登录手机银行查询是否资金到账。
8月11日和8月13日,资金到账之后,骗子立刻操作手机银行进行转账,将银行卡的95万元分三笔转到骗子的银行卡,转账使用的安全工具是:手机交易码+手机盾,一气呵成。
整个过程逻辑严密、步骤精准、时间差控制到天。从“获取信任”到“技术入侵”再到“资金转移”,几乎可以说是一次非常专业的电信诈骗攻击。
三、总结教训
看过手机银行日志之后,带给我最大的教训,就是一句话:永远不要在老年人的手机上安装手机银行。
App、验证码、U盾,这些工具防的是黑客攻击,但防不了心理操控。骗子不是强行入侵系统,而是入侵了人的信任结构:他们假借权威、制造恐惧、剥夺判断力,让受害人在不知不觉中上当受骗。
我写下这些,不只是为了追问“银行的风控在哪里”,更希望所有人能从中看到——真正的防线,从来不是App、不是验证码,而是家人之间的理解与信任。
看到这里我真的深有感触,我妈去年被骗了三十多万,说是被骗很大一部分原因是出于对儿子的不信任,再加上自己认知上的偏差,如果瞒着你私底下给别人转钱,而且是你去柜台转钱的那种,你哪怕是再强技术流也解决不了的。