京东白条被盗刷

发布时间：2018-06-27 18:34:29 来源：文档文库

小中大

字号：

手机查看

京东白条被盗刷

新年刚开始，我还沉浸在元旦的假日欢乐之中，这突如其来来的连续验证短信让我头脑发蒙。信息泄露，手机遭短信轰炸机攻击，这是我的第一直觉，可事实确远不止这些。果然，3日晚上10点58分，我的京东账户被人盗刷，更改了我的登录密码、支付密码和预留的手机号，购买了MAC笔记本电脑和价值4百元的话费充值卡共消费了8000多元（京东白条的额度就剩了这么多）。由于发现及时，所购实物被我联系京东客服截停取消，已经打包发货的MAC电脑也在第二天早上，在拿到货的快递员即将送货之前被截下了，算是避免了损失。

俗话说：苍蝇不叮无缝的蛋。究其主要原因还是平时对保护个人信息的重视程度不够。在此把我日常生活中的安全漏洞给大家暴露一下，甘做前车之鉴。

本人手机号多年未变，在各种签字、理财产品、电信注册、淘宝、京东、百度等等要求实名注册的网站都预留了手机号，像支付宝、京东金融以及我注册的各种P2P网贷平台的注册还需要身份证号，而且我也毫不考虑的情况下填写了身份证信息。于是乎，自己就裸奔在了互联网世界里，而自己将会在什么时候或是被采取什么手段遭受攻击、窃密、盗刷等不法行为就不得而知了，反正被对方掌握了，然后他开始了如下操作：

1、电信实名制的漏洞：目前电信手机号都要求实名+身份证原件登记，但是在修改用户密码时只需要提供身份证号。对方第一步就是打10000号以“找回密码”方式修改了我“电信营业厅”的登录密码，给我的手机开通了“超级信使”增值服务；“超级信使”的主要功能是在PC端同步接收短信和查询历史短信，这就是盗刷网银的关键节点；

2、双11，双12刚过，我的网上交易也比较多，从“超级信使”收到的短信中他发现了我在京东上操作的相关短信，他开始了进一步行动；先是通过不停地发短信验证码的手段，让我麻痹，1月2号晚上约有10分钟的时间我就收到了近100条短信验证的信息，多是我之前登录过得网站，有京东，交通银行，中国银行，中国银联，酒仙网等，也有没登过的网站，比如钱景，e路采鲜，智测云，鲁乐团购，宁兴优贝，国信证券，海航一账通，99返官网，萌码网等等，这种模式像极了遭到传说中“短信轰炸机”的攻击所产生的现象，以为只要不回复就没有问题，于是我关机了，大约1个小时后，开机又收到两条短信，在之后就没有收到了，也没有发现有什么损失。由于放松了警惕，以为就没事儿了，也没太在意。结果，3号晚上7点多，我又连续收到了同样的短信验证消息，持续20分钟左右，之后又没反应了，到10点多的时候又开始了对我的轰炸，我开始重视了，也咨询电信解决办法，无果，带短信消停之后，我开始打开邮箱加班，也多亏了加班我才发现京东白条发来的告知消费的邮件。之后我是这样做的：打电话告诉京东客服，“我的账号被盗了，刚刚的消费不是本人操作，必须终止发货”，客服人员简单确认信息后提交了终止交易申请，因为京东的备货时间一般在晚上十一点，我发现并打电话申请终止的时间已经过了这个点儿，显示的状态已经是货物已经打包完毕，并以发货，夜里值班的客服没有权限直接取消，只能等到第二天一早。我想犯罪分子也就是利用京东的这个配货规则才开始作案的吧，试想若是不看邮件，一晚上睡过去，第二天醒来这货就已经到了犯罪分子的手里了，心有余悸啊。

3、还没有最终确定他是如何更改了我预留在京东的手机号的，但通过与10000号和京东客服沟通，推测其是将我的手机号设置了“无条件呼叫转移”，更改了我预留在京东的手机号。因为，只要对方知道身份证号和手机号就能通过其他电话设置“无条件呼叫转移”，目的是当你手机丢失时可以用这个功能接听原号码电话；而且这个功能无法取消；但只能转移电话，不能转移短信。我突然明白了：对方修改京东预留手机号的时候，京东后台服务人员可能会通过回拨电话的方式确认身份，他用“无条件呼叫转移”代接了我的电话，同时又用“超级信使”同步接收了我的短信动态密码，让京东认为他就是我，成功地修改了我京东预留电话、登录密码和支付密码，进而使用我的京东白条开始消费。