【盘点】2016年的那些骗局和漏洞,后来怎样了

转眼之间,2016年即将结束,又到了各行各业年终盘点的重要时刻。
在这一年里,终结诈骗(微信号:antifraud2)每天忙于发现各种漏洞、隐患,和各大行业巨头撕逼,变着法揭露各类骗子的嘴脸……
那么我们揭露过的漏洞和骗局,后来到底怎样了?今天咱们就好好盘点盘点。
1
那些漏洞补上了吗?
话费卡充零钱功能可能会被黑客利用12月7日,本号发布“微信和支付宝的这个功能99%的人没用过,为何还要保留?”(点击蓝字阅读),指出微信和支付宝都有一个话费卡充零钱功能,功能入口不易发现,普通人难以用到,很有可能会成为骗子洗钱的途径。
(微信、支付宝当时的充值 / 转让界面)
企业内部员工,是众多信息安全事故的焦点。实际上,信息安全保障的第一道防线就是企业员工的信息安全意识。
该文发布不到一周,微信便对该功能重新做了调整:由原来的“每日最高充值1000元”调整为“当日限额下调到500元,月累计限额5000元”,并欢迎我们继续提供类似的行业风险情报。而支付宝并未有所改变,每天的最高限额仍高达5000元,这个入口很有可能成为骗子洗钱的渠道。
(微信充值界面已对限额进行了大幅调低)
ETC通行卡盗刷风险12月13日下午,一个POS机能盗刷ETC卡的视频在朋友圈疯狂流传。
(当时传得很火的视频)
本号及时联系银行、交委等领域专家,经多方查证,于当晚19时许发布“【最新预警】各位车主请注意,ETC卡存在盗刷风险!”(点击蓝字阅读),指出具有闪付功能的ETC银行联名卡存在被盗刷风险,但又不必完全恐慌,只要从三个方面做好防范即可。
12月14日,交通运输部路网监测与应急处置中心下发《关于应对ETC银行联名卡存在被盗刷风险的紧急通知》,要求:暂停或取消发行“二合一”的ETC联名卡。经认真研究确有必要发行的,应要求合作银行默认关闭“闪付”功能和“小额免密面签”服务。
该风险及时得到了控制。
(交通运输部通知要求的新闻报道)
银行卡短信提醒漏洞11月23日,本号发布“最新骗局警示:银行短信提醒系统漏洞正在被骗子利用!(点击蓝字阅读)”,指出现在各大银行的短信提醒系统存在漏洞:当在网上银行界面输入转账金额和收款方电话时,无论电话号码填写是否正确,银行后台都会给该号码发送一条转账提醒,而提醒的内容只显示账号后四位和转账金额等信息。
该漏洞已被多地骗子利用,诈骗金额数以千万计。而至今尚未看到任何一家银行对这个有点“耿直”、“二逼”的功能进行稍微的调整,无数不清楚此类骗局的人仍然在前赴后继的上当受骗。
(媒体不断有关于此种骗局的报道)
支付宝转账漏洞5月30日,本号发布“【互相转告】支付宝转账漏洞已被骗子利用!”(点击蓝字阅读),指出支付宝APP转账漏洞:通过支付宝转账,即使输错账号,退款到原有账户,转账处理页面也会显示“付款成功”字样。这其实和上面的银行短信提醒漏洞有相似之处。
过后不久,支付宝便弥补了这个漏洞。在发起转账后,将原来界面的“付款成功”改为“申请已提交”,将“银行处理中”修改为“等待银行处理”,同时又在下方添加了显著的温馨提示:本页不作为转账成功凭据,实际以银行入账为准。
为此,本号在6月8日专门发布“微信和支付宝,你更看好哪一个?”(点击蓝字阅读),对支付宝这种迅速弥补漏洞的行为点赞。
(支付宝转账界面更改前后对比。
左|更改前;右|更改后)
微信付款二维码截图漏洞5月18日,本号发布“【最新骗术揭秘】微信支付,你对得起7亿用户吗?”(点击蓝字阅读),指出微信付款二维码截图后,发给其他人也可以扫码收款,存在极大安全风险,而支付宝却不存在这个问题。
(漏洞弥补前的微信(左)与支付宝(右)
付款截图对比)
此后不久,微信也及时弥补上了这个漏洞,只要你及时更新微信版本,付款二维码在截图时就会弹出一个大大的提醒,基本避免了这一漏洞,但前提时你要更新微信的版本。
(漏洞弥补后付款码截图时便会出现此界面)

博兴县加强文化旅游系统安全生产培训

2
那些黄、赌、骗整治了吗?
黄、赌、骗、公众号8月5日,本号发布“扒一扒,那些躲在微信公众号背后的黄、赌、骗”(点击蓝字阅读),指出“17岁少A女街头卖初V夜裸视b频”、“有钱人”等公众号存在黄赌骗行为。目前,这些公众号已经全部被关闭。
7月20日本号发布“广而告之:微信也有“约炮神器”啦!(多图/18岁以下禁入)”(点击蓝字阅读),指出“谈爱”等一批公众号,以公司名义实名注册后,通过虚构美女用户的方式骗取用户缴纳会员费。
(以正规公司名注册的“谈爱”公众号)

文章发出第二天,该公众号便被微信暂停使用功能,目前,在微信上已搜索不到“谈爱”公众号,但是以“约爱”等其他词语来搜索,有同样功能的诈骗公众号仍然非常之多,微信应该是没有技术做这样的分析吧……
(上图是以“约爱”为名搜到的公众号第一页内容,打开后除“秒约爱”外,其他基本都在以同样的方式搞诈骗)
约炮APP4月7日,本号发布“99%的人不知道的约炮骗局,快告诉你身边的骚年们!”(点击蓝字阅读),指出“激情恋爱”等APP通过虚构美女账号等形式诱骗人充值成为会员进行诈骗(与上面讲的“约爱”公众号骗术相似)。
(该APP的充值界面,只要充值即被骗)
现在,“激情约爱”公众号已经从appstore下架,但通过“激情约爱”去搜索,还会搜索到“激情约爱吧”、“夜色速约”、“同城夜约爱”等一系列APP,到底真的可以通过这些APP约到陌生人,还是会被骗,大家一测便知,小编在这里只想告诉你一句话:美女都很忙,没空在这些不知名的app上面耗费时间……
3
我们关注的官方关注吗?
提供决策4月13日起,本号重磅推出“神秘X区”及番外篇系列,每周一期揭露诈骗重灾区,直到7月8日告一段落。
在这个系列中,除了对公安部发布的电白、儋州、余干、双峰、丰宁、新罗、宾阳等7个诈骗重灾区进行深度揭秘,还对天门、上蔡、安溪、丽江、盐津、五河、孝昌等7个群众反映强烈但当时尚未被公安部“挂牌”的诈骗重灾区进行了揭秘。【进入“终结诈骗”公众号,点击下方“翻翻”菜单,可阅读神秘X区所有内容】
(2016.7 江苏南京会议会场)
2016年7月,国务院在江苏南京召开全国打击治理电信网络新型违法犯罪专项行动推进会,明确指出上蔡等5个县市的地域性诈骗较为突出,要坚持打早打小,防止形成新的案件高发区和犯罪输出地。
支撑实战6月29日,本号推出“揭秘“天仙局”——为企业老板、政府高官私人订制的高端骗局”(点击蓝字阅读),揭露广东籍(以河源籍为主)嫌疑人冒充港商将内地公司老板和政府官员骗到境外进行诈骗的骗局,后来广西警方根据此推文,将怀疑对象进一步缩小到河源市,最终锁定河源市紫金县籍嫌疑人团伙,一举将其抓获。
提供宣传素材据不完全统计,“终结诈骗”的文章已经被包括人民日报、公安部刑侦局等大V在内的1200余家各级公安机关、1000余家银行机构和若干自媒体转载,在“新榜”(一家专注微信、微博内容排行的网站)排行中,一直稳居“反诈骗”类第一名。
顺便,我们也想提醒各大自媒体,我们所有的作品都欢迎转载,这也正是这些作品的价值之所在。但请在转载时注明来源,尊重他人的劳动成果。
(新榜公众号反诈骗类公众号12月26日排名)
回望过去的2016年,终结诈骗(微信号:antifraud2)一共推出了320余篇原创文章,不敢说篇篇精品,但都是用心之作。以上这些漏洞的弥补,涉黄赌骗公众号、APP的关停,新的诈骗重灾区的圈定,不敢说是本公众号一家的功劳,但我们和无数的自媒体、粉丝一起,为揭露这些骗局出了一份力。
感谢官方的认可、粉丝的厚爱,让我们更加坚定与一切诈骗、灰黑产决战下去的决心,也呼吁那些还对已经揭露出的各种漏洞、黑灰产视而不见的企业尽快捡起你的良心,承担起你应该担当的社会责任,尽快改进!
2017年,终结诈骗,我们继续一路同行!
今日互动:

吴尊家世显赫很有商业头脑 和林丽莹秘密结婚后为爱息影

你有什么话想对我们说?

电信诈骗|外地"公安"来电 甘肃白银女子险被骗走40万元

企业安全歌,唱红中国,唱响全球
明年想让我们主要揭露哪些诈骗手法?
你还知道哪些黑灰产?
快到下面留言吧!
内容转载自公众号
微信扫一扫关注该公众号

通过白色恐怖来恫吓员工,员工的工作激情会受到打击,协同合作的氛围、员工及部门之间的信任关系也会受到重创,提升员工的信息安全意识才是正道。

猜您喜欢

回看2016国际信息安全大事件
智能穿戴设备的安全议题探讨及建议
支持中国创新!快速了解EHS意识在线教育方案
最佳的健身前加餐是这样的!
AFSTAND-BEREKENEN GUIDE8
信息安全小游戏”网络安全保卫战“