近日，一篇講述被騙經(jīng)歷的萬字長文，與一系列截圖一起發(fā)布，在網(wǎng)上廣為流傳。經(jīng)過多次接觸，記者找到了客戶，小許，一個(gè)剛畢業(yè)的大學(xué)生?；貜?fù)一條短信后，他支付寶、銀行卡、百度錢包里的資金一夜之間全部被“洗劫”空。

小許是怎么被抓的？這個(gè)騙子是怎么把自己所有的賬戶都破掉的？央視記者在調(diào)查中發(fā)現(xiàn)，一個(gè)全新的騙局已經(jīng)出現(xiàn)并正在蔓延，必須加以防范。

奇怪的訂閱付費(fèi)服務(wù)回復(fù)驗(yàn)證碼退訂手機(jī)居然癱瘓

4月8日晚，小許接連收到中國移動官方號碼的幾條短信。短信顯示，他已經(jīng)成功訂閱了一個(gè)“手機(jī)報(bào)半年訂閱服務(wù)”，實(shí)時(shí)扣款導(dǎo)致手機(jī)余額不足。

△小許收到短信截圖

小許很困惑，因?yàn)樗緵]有訂閱這項(xiàng)服務(wù)。然后又一條短信接踵而來，顯示回復(fù)“取消+驗(yàn)證碼”即可退訂服務(wù)，3分鐘內(nèi)退訂免費(fèi)。

當(dāng)小許正在疑惑“驗(yàn)證碼”是什么的時(shí)候，他收到了中國移動客服電話“10086”的短信，上面寫著“你的USIM卡驗(yàn)證碼是* * * * * *”。小許沒多想，編輯了短信“取消+六位驗(yàn)證碼”回復(fù)過去。我以為自己成功避開了一個(gè)手機(jī)用戶經(jīng)常遇到的“吸電服務(wù)”，但他驚訝地發(fā)現(xiàn)，自己的手機(jī)突然顯示“無服務(wù)”，無論重啟多少次都沒有回應(yīng)。

支付寶隔夜“歸零”網(wǎng)銀賬戶“倒下”

當(dāng)天晚上8點(diǎn)左右，小許的手機(jī)在無線網(wǎng)絡(luò)下陸續(xù)收到支付寶的轉(zhuǎn)賬提示，這意味著有人在另一個(gè)終端上操作他的支付寶賬戶。

由于手機(jī)無法撥打掛失，小許通過操作客戶端，打破了支付寶與三張銀行卡的綁定，委托親友致電支付寶客服凍結(jié)賬號。但是小許掛失的時(shí)候發(fā)現(xiàn)支付寶沒錢了，還在網(wǎng)銀跨行轉(zhuǎn)賬，每張銀行卡余額為零。

更讓小許害怕的是，第二天，他發(fā)現(xiàn)招商銀行和工行的兩張儲蓄卡綁定到了另一個(gè)網(wǎng)上支付平臺“百度錢包”，再加上百度錢包里另一張?jiān)尚≡S綁定的中國銀行卡。三張卡都是在事發(fā)當(dāng)晚轉(zhuǎn)到兩個(gè)陌生賬戶，最后通過招商銀行和工行的手機(jī)銀行短信驗(yàn)證碼轉(zhuǎn)到兩個(gè)陌生賬戶。這意味著甚至他的銀行賬戶也被攻破了。

一條短信讓小許一夜之間身無分文。

詐騙者成立了一個(gè)“連鎖局”來上演“偷天換日”

小許的經(jīng)歷不僅震驚了許多網(wǎng)民，還引發(fā)了通信、互聯(lián)網(wǎng)和銀行業(yè)的激烈討論。從收到可疑短信到看到我所有的賬號都被徹底“洗劫”空，整個(gè)過程只需要三個(gè)多小時(shí)。騙子是通過什么手段“攻擊”的？央視記者通過調(diào)查重復(fù)了欺騙的全過程，這其實(shí)是一個(gè)“連鎖計(jì)劃”。

第一招:破解手機(jī)官網(wǎng)密碼，“劫持”手機(jī)發(fā)動攻擊

記者登錄中國移動北京分公司官網(wǎng)，找到了“中國廣電金融半年套餐”的業(yè)務(wù)。自助訂閱后，費(fèi)用會立即扣除。記者收到的短信和小許收到的短信一模一樣，都來自“10086”。為什么小許沒有訂閱，卻收到了訂閱信息？據(jù)中國移動內(nèi)部核實(shí)，4月8日17時(shí)54分，有人通過海南?？诘囊粋€(gè)Ip地址，用小許的手機(jī)號碼成功登錄北京移動官網(wǎng)，不僅開通了手機(jī)報(bào)訂閱，還于18時(shí)13分成功辦理了一項(xiàng)名為“自助換卡”的業(yè)務(wù)。

第二個(gè)措施:發(fā)“退訂”短信，制造驗(yàn)證碼的假象

騙子在破解了移動網(wǎng)站的登錄密碼后，訂閱了小許的“手機(jī)報(bào)”，并發(fā)送了一條名為“取消+驗(yàn)證碼”的退訂信息。首先要做的是通過手機(jī)欠費(fèi)讓受害者省心；二是制造“退訂”時(shí)需要“驗(yàn)證碼”的假象。

第三個(gè)措施:啟動換卡流程“退訂”，改為“換卡”

捕捉驗(yàn)證碼是這個(gè)騙局的關(guān)鍵，騙局的核心是“自助換卡”。

如上所述，騙子在登錄移動官網(wǎng)后也推出了“自助換卡”業(yè)務(wù)。這是中國移動推出的在線服務(wù)。用戶不用去營業(yè)廳，直接在官網(wǎng)操作就可以換4G手機(jī)卡。新卡立即生效，同時(shí)舊卡作廢。

但在進(jìn)行自助換卡時(shí)，系統(tǒng)會向用戶發(fā)送驗(yàn)證碼進(jìn)行二次確認(rèn)，即小許收到一條短信:USIM卡六位驗(yàn)證碼XXX。只有在將該驗(yàn)證碼填回系統(tǒng)后，才能開始后續(xù)的換卡工作。也就是說，這個(gè)驗(yàn)證碼可以直接注銷之前手機(jī)的SIM卡，原來的號碼會轉(zhuǎn)移到另一個(gè)SIM卡上。這是立局的關(guān)鍵。欺詐者為了得到這張新的SIM卡，制造了“退訂”的假象。

△小許收到的“驗(yàn)證碼”短信截圖

然而，小許收到的10086系統(tǒng)自動發(fā)送的驗(yàn)證碼沒有說明其目的，也沒有就驗(yàn)證碼的泄露風(fēng)險(xiǎn)發(fā)出安全警告。結(jié)果換卡驗(yàn)證碼被誤認(rèn)為退訂，退給騙子。小許認(rèn)為，普通人如果沒有接觸到這些信息，就不知道驗(yàn)證碼有什么用。騙子大做文章，把這個(gè)大部分用戶都不清楚的“信息盲點(diǎn)”，嫁接到中國移動的兩個(gè)官方業(yè)務(wù)上，編造出整個(gè)騙局的“劇本”:

對此，移動公司表示，目前無法準(zhǔn)確解釋小許的賬戶是如何被他人成功登錄的，但如果密碼設(shè)置過于簡單，或者密碼與其他安全級別較低的網(wǎng)站相同，可能會被多次嘗試破解。

不“驗(yàn)證身份”換卡方便還是隱患？

小許的經(jīng)歷并非如此。許多有相同經(jīng)歷的網(wǎng)民都主動聯(lián)系了小許，并講述了他們的遭遇。信息安全專家稱這種電信詐騙為“換卡攻擊”。

記者經(jīng)歷了“自助換卡”的全過程。與親自去營業(yè)廳不同，在自助換卡的整個(gè)過程中，運(yùn)營商的身份信息并沒有得到驗(yàn)證。只需要準(zhǔn)備一張新的沒有寫有號碼信息的卡片，將卡片表面的號碼輸入到網(wǎng)頁中。這張卡在業(yè)內(nèi)被稱為“白卡”。

據(jù)了解，這張“白卡”與收件人的手機(jī)號碼沒有任何綁定關(guān)系，因此收藏后可以寫入任何手機(jī)號碼，不僅可以從官方渠道免費(fèi)獲取，還可以在淘寶等網(wǎng)站公開出售。這意味著，如果攻擊者想要“劫持”小許的手機(jī)卡，他只需要用小許的手機(jī)號碼成功登錄中國移動在線營業(yè)廳，并在沒有任何提示說明的情況下騙取6位驗(yàn)證碼，其余條件無需任何認(rèn)證即可輕松獲得。

“冷門”業(yè)務(wù)已成為欺詐的“后門”

回顧在小許的經(jīng)歷，記者發(fā)現(xiàn)10086是中國移動的統(tǒng)一客服號，10658000是中國移動的手機(jī)號，讓當(dāng)事人信服。甚至這次事件中騙子編造的唯一一條詐騙短信也是利用“139郵箱”的“發(fā)送短信”功能發(fā)送的。

記者實(shí)際操作發(fā)現(xiàn)，如果接收短信的手機(jī)沒有將發(fā)送短信的郵箱對應(yīng)的手機(jī)號碼存儲為聯(lián)系人，則收到的信息會以“10658”開頭。中國移動“服務(wù)商業(yè)務(wù)號”發(fā)送的“行業(yè)短信”大多以“10658”開頭。攻擊者對這一功能細(xì)節(jié)感興趣，它不僅可以偽裝欺詐性短信來欺騙接收者的信任，還可以接收來自各方的密鑰驗(yàn)證碼。

于是，139郵箱的“短信”功能被攻擊者利用，成為騙局的重要組成部分。但是中國移動推出這個(gè)免費(fèi)功能8年了，真正了解其運(yùn)營細(xì)節(jié)的人很少，利用率也不高。

在劫持小許手機(jī)的過程中，欺詐者自始至終都在使用中國移動的業(yè)務(wù)、工具和平臺。一些用戶眼中的“冷門”業(yè)務(wù)，已經(jīng)成為容易被攻擊者盯上的高風(fēng)險(xiǎn)“后門”。

騙子是怎么把所有的賬都破掉的？

在攻擊者“搶”了當(dāng)事人的手機(jī)卡后，第三方支付平臺甚至銀行的安全驗(yàn)證被陸續(xù)突破。這一切是怎么發(fā)生的？只有掌握短信驗(yàn)證碼才能實(shí)現(xiàn)嗎？

賬戶接二連三被搶，個(gè)人信息先泄露

根據(jù)工行客服，只有完全掌握取款密碼、銀行卡號碼、手機(jī)，才能在網(wǎng)銀上操作。這意味著短信驗(yàn)證碼雖然是每次攻擊的關(guān)鍵，但也需要分別輸入身份證號和銀行卡號。因此，可以斷定，在小許的手機(jī)卡被劫持之前，攻擊者已經(jīng)掌握了他更多的“成套”個(gè)人信息。

據(jù)信息安全專家張耀江介紹，個(gè)人信息已經(jīng)形成地下數(shù)據(jù)庫。這個(gè)圖書館里會有很多非常完整的個(gè)人信息鏈。比如名字、家庭住址、手機(jī)號、銀行卡號、銀行密碼，在互聯(lián)網(wǎng)黑市都有，都是別人排的，不是分散的。

短信驗(yàn)證碼“不堪重負(fù)”

在總結(jié)了此次事件涉及的第三方支付平臺和手機(jī)銀行的關(guān)鍵服務(wù)后，記者發(fā)現(xiàn)，所有網(wǎng)上支付都可以用手機(jī)號和靜態(tài)密碼登錄，百度錢包可以直接用短信驗(yàn)證碼登錄；“更改登錄密碼”和“轉(zhuǎn)賬支付”也無一例外需要依賴短信驗(yàn)證碼；至于第三方支付最重要的“支付密碼”，支付寶只能通過短信驗(yàn)證碼更改。比如雞蛋放在一個(gè)籃子里，導(dǎo)致各種問題。

由此可見，小許所有賬戶之所以“全線被攻破”，是因?yàn)槌藗€(gè)人信息的“鑰匙”外，第二把鑰匙“手機(jī)驗(yàn)證碼”也因手機(jī)卡“被搶”而落入了攻擊者手中。

如何防范「驗(yàn)證碼攻擊」？

面對這種針對短信驗(yàn)證碼的“精準(zhǔn)詐騙”和“組合攻擊”，如何保護(hù)自己的安全？信息安全專家建議，如果僅僅依靠一個(gè)簡單的靜態(tài)密碼，并不能保證安全。必須記住以下四項(xiàng)措施:

技巧1:靜態(tài)密碼設(shè)置一定很復(fù)雜

靜態(tài)密碼首先必須足夠復(fù)雜，并妥善保存，以防止泄漏。其次，攻擊者經(jīng)常通過各種手段偽裝短信，千方百計(jì)誤導(dǎo)甚至恐嚇目標(biāo)。所以一定要仔細(xì)篩選“運(yùn)營商”和“銀行”的手機(jī)短信和來電，冷靜處理。

技巧二:遇到“干擾信息”，小心篩除恐慌

攻擊者經(jīng)常通過各種手段偽裝短信，千方百計(jì)誤導(dǎo)甚至恐嚇目標(biāo)。所以一定要仔細(xì)篩選“運(yùn)營商”和“銀行”的手機(jī)短信和來電，冷靜處理。

訣竅三:手機(jī)詭異，緊急“掛失”帶頭

如果手機(jī)通訊壞了，一定要馬上找出故障原因。如果手機(jī)本身或者信號出現(xiàn)故障，需要立即掛失手機(jī)卡，并及時(shí)凍結(jié)第三方支付和銀行賬戶，防止攻擊者在用戶處于“信息孤島”的情況下，冒充主人盜取賬戶。

訣竅四:最重要的是:不要把短信的驗(yàn)證碼告訴任何人！

電信運(yùn)營商和提供相關(guān)服務(wù)的企業(yè)只會向用戶發(fā)送短信驗(yàn)證碼，絕不會要求用戶通過短信或電話執(zhí)行所謂的“回復(fù)驗(yàn)證碼”。

從電信運(yùn)營商，到第三方支付平臺，再到正在進(jìn)軍互聯(lián)網(wǎng)的銀行系統(tǒng)，構(gòu)成了我們今天每個(gè)人的信息和財(cái)產(chǎn)安全鏈。小許的經(jīng)歷為一系列以“安全”為生命線的行業(yè)敲響了警鐘:所謂“良好的用戶體驗(yàn)”就像一個(gè)天平，一端是“方便”，另一端是任何時(shí)候都不能忽視的“安全”。一旦這種平衡的天平被打破，一切都將“歸零”。