电子商务、移动支付、网络金融越加发达的今天，我们的信息安全存在越加可怕的风险。别说技术无罪，要用到正道上才无罪。一个个看似毫无关联的小漏洞，被不法分子利用起来，也可以成为巨大黑洞，一个简单的绑卡业务，就能让用户损失数万元。

　　事件回复：

2017年2月3日凌晨，深圳市民何先生发现手机屏幕显示被锁定，不能从事任何操作。因为还在睡梦中，何先生便没有理会。

倒霉的事接踵而至，先是不法分子异地登录了何先生的手机360OS云服务，更改账号密码。

何先生的手机360OS云服务被登陆多次，账号密码已被更改。

然后盗取京东账号，并产生了13笔购物订单，全部用京东白条进行支付，白条总金额为20000元左右，用来购买手机、电脑和手机充值等，收获地址显示的是异地。

再利用京东金融金条贷款32000元，贷款转至何先生的中国银行卡内。然而这笔钱并不安全，由于何先生没有及时挂失，这笔3万多的贷款加上不法分子后面转入的深圳一家消费金融公司26000元的贷款，两分钟内就被通过手机银行转走，不久，何先生的银行卡又被通过ATM取走2000元。

　　对此，我们一件件梳理一下造成此次事件的原因：

　　骗子通过什么途径盗取了密码？

何先生表示使用的是360手机，没有点过陌生链接和二维码，确保手机没有遭受木马病毒，遂怀疑是骗子通过云服务盗取了其账号密码。360公司给出的回应是：何先生的360云服务备份类型仅设置了“普遍短信”，因此银行类以及通知类（接受验证码）短信并不会备份到360云服务，不存在骗子通过备份短信盗刷受害者京东账户的可能性。

何先生表示事发当天收到一条12583发来的信息，信息内容为一北京的主号（也是13笔京东订单的收件人电话）取消接管其号码，随后几天，又收到一条12583发来的取消主副卡绑定的短信：

至此，大概是这样了：360云平台被黑，骗子通过云平台远程锁定了何先生的手机，并销毁资料。何先生的号被绑定成了副号，骗子接管了其手机号，从而劫持了其短信验证码，绑定了银行卡，在掌握何先生的身份证和银行卡的前提下，购物、贷款、转账等操作都无障碍了。

从何先生提供的12583发来的短信信息来看，这是移动公司推出的增值业务。

　　骗子为什么要绑定何先生的手机为副号？

首先我们看看何为副号？副号是由运营商提供的“一卡多号”业务，在不换手机、不换SIM卡的基础上，用户可以增加最多3个真实手机作为副号。在某些地区，这个业务被称为“和多号”：

很明显，何先生被办理的是实体副号。据10086客服表示，原本两个独立的手机号绑定为主副号，副号使用过程中产生的通信费用由主号支付，但副号是独立的，主号无法接收副号的短信。

由于“绑定副号”，何先生的所有“通讯权”都被完全接管，自然包含了接收短信验证码，这个时候还需要什么木马？

　　如何绑定手机为副号？

绑定为副号有三种方式：

一是由主号在官网上申请，输入副号接收到的验证码；二是由主号在APP上申请，输入副号接收到的验证码。而这两种方式在没有中木马病毒的情况下无法实现。

因此，推出骗子使用了第三种方式：主号向12583发送“KT”短信，开奖，副号回复“Y”进行确认绑定。

　　很明显，骗子使用了第三种方式，回复Y办理了副号。

而这里又出现了新的问题，何先生手机被锁定，无法回复Y，再回想被攻破的360云平台，因为骗子劫持了验证码，就能修改账号密码。同时，360云服务提供了“接收短信”这一功能，骗子大概就是利用这一功能回复了Y。

这个事件至此也大概明白了，这里有几点值得探讨：

1、手机验证码并不是绝对的安全；不要以为账户没钱就能躲过，不法分子还可以办理网络金融贷款；

2、手机的云服务虽然给我们带来很多便捷，但是赋予的权限是否过大？

3、何先生的云服务账号是怎么被盗的？各大网站能否保护个人隐私不被泄露？

4、网络金融公司的贷款审核是否太快太简单了？

5、超级网银能否加强转账的安全保护措施？