最近，一篇受害人自述被騙經(jīng)歷的長文在網(wǎng)絡(luò)上廣為流傳。作者稱，由于回復(fù)了一條短信，他的支付寶、銀行卡里所有資金一夜間被“洗劫一空”。央視記者在調(diào)查中發(fā)現(xiàn)，一種全新的騙術(shù)已經(jīng)出現(xiàn)并正在蔓延，我們不可不知、不得不防。

受害人稱：“因為一條短信,一夜之間,我的支付寶、所有的銀行卡信息都被攻破,所有銀行卡的資金全部被轉(zhuǎn)移……那是一種一無所有的絕望。”

退訂短信暗藏玄機，一夜間身無分文

去年4月8日傍晚，小許連續(xù)收到了幾條來自中國移動官方號碼的短信。短信稱，他已成功訂閱了一項“手機報半年包”服務(wù)，并且實時扣費造成了手機余額不足。小許納悶了，因為他根本沒有訂閱這個服務(wù)。緊接著就是非常詭異地又發(fā)了一條短信，顯示是他只要回復(fù)取消加驗證碼，在3分鐘之內(nèi)退訂免費。

當(dāng)小許正在琢磨“驗證碼”到底是什么，又收到了一條來自中國移動客服電話“10086”的短信。上面寫著。您好，您的USIM卡驗證碼為六位數(shù)字，“這時候我就想我要退訂這個業(yè)務(wù)，他也沒有跟我說驗證是什么用途，我就按照常規(guī)的思維，就取消加驗證碼發(fā)給他了”。

隨后小許驚訝地發(fā)現(xiàn)，自己的手機突然徹底癱瘓了?！爸貑⒘撕芏啻问謾C，然后它還是顯示無服務(wù)。到家之后，有天線網(wǎng)絡(luò)的時候再充值，去充了大概150塊錢進去它還是沒反應(yīng)，這時候我就著急了。因為我手機是無服務(wù)狀態(tài)，我也打不了10086的客服?！?/p>

這只是麻煩的開始，當(dāng)天晚上8點左右，小許的手機在無線網(wǎng)絡(luò)下，接連收到了支付寶的轉(zhuǎn)賬提示，這意味著竟然有人在另一個終端上操作他的支付寶賬戶?！拔已郾牨牭乜粗盐业腻X一筆一筆又一筆的轉(zhuǎn)移，而且不是我個人操作的?！?/p>

由于手機無法呼出掛失，情急之下，小許只能通過操作客戶端解除了支付寶與三張銀行卡的綁定，并且委托親友撥打支付寶客服電話凍結(jié)賬號?！按蚩头娫捠莻€非常緩慢的過程，它一步一步各種各樣的驗證……當(dāng)我掛失成功完成之后，發(fā)現(xiàn)我的支付寶沒錢了。他不但攻破了我的支付寶，還在我網(wǎng)銀里發(fā)生跨行轉(zhuǎn)賬。就發(fā)現(xiàn)我后來每一張銀行卡里，余額都是零?！?/p>

更令小許感到恐懼的是，凍結(jié)支付寶賬戶并沒有使自己的銀行卡擺脫被劫的“命運”。他第二天才發(fā)現(xiàn)，自己名下的三張儲蓄卡，在他完全不知情的情況下，被人綁定在另一個在線支付平臺“百度錢包”上，卡里的錢全部轉(zhuǎn)入了兩個陌生賬號。這意味著，就連他的銀行賬號也被攻破了。一條短信讓他一夜之間變得身無分文。

“嫁接”移動業(yè)務(wù)，精準“劫持”手機

明明小許沒有訂閱，為何會收到訂閱短信？根據(jù)中國移動北京分公司的內(nèi)部查證：4月8日17點54分，有人通過海南海口的一個IP地址，以小許的手機號成功登錄了北京移動官方網(wǎng)站，不僅發(fā)起了手機報訂閱，還在18點13分成功辦理了一項名為“自助換卡”的業(yè)務(wù)。

“自助換卡”是中國移動推出的一項在線服務(wù)，通過這項業(yè)務(wù)用戶不必跑營業(yè)廳，直接通過在官方網(wǎng)站操作就可以更換4G手機卡。新卡立即生效，舊卡同時作廢。經(jīng)過“自助換卡”，相當(dāng)于小許的手機在那一刻更換了機主，落到了別人手里。中國移動北京分公司表示，目前仍不能準確解釋小許的賬號是如何被他人成功登錄的，但如果密碼設(shè)置過于簡單，就可能會在反復(fù)嘗試下被攻破。

攻擊者要換卡，必須先知道驗證碼。當(dāng)時小許收到的這條來自10086的驗證碼，正是攻擊者在網(wǎng)上發(fā)起換卡后，系統(tǒng)自動發(fā)到小許手機上的。但在這條20多字的短信中，并未說明驗證碼的用途。

“USIM卡驗證碼”到底是什么？攻擊者正是在這個絕大多數(shù)用戶不清楚的“信息盲點”上做文章，“嫁接”起了兩項中國移動的官方業(yè)務(wù)，編造了整個騙局的“劇本”：先是破解密碼登錄官網(wǎng)，為當(dāng)事人訂閱增值業(yè)務(wù)并實現(xiàn)扣費，這是在營造恐慌氣氛；再通過發(fā)送一條詐騙短信，告訴當(dāng)事人可以免費退訂，但需要立即回復(fù)“驗證碼”；趁著當(dāng)事人正急于退訂卻搞不清“驗證碼”在哪里，攻擊者又在中國移動網(wǎng)上營業(yè)廳發(fā)起換卡業(yè)務(wù)，使系統(tǒng)自動向當(dāng)事人發(fā)送10086短信的“驗證碼”，這種及時跟進的“雪中送炭”，更會讓當(dāng)事人對騙局的“劇本”深信不疑；最終，面對這個沒有任何安全提示的“驗證碼”，當(dāng)事人會很容易順著之前“劇本”的邏輯，積極主動地把它回復(fù)到到攻擊者手中。利用當(dāng)事人回復(fù)的“驗證碼”，攻擊者完成“自助換卡”后，會利用成功“劫持”的手機使用權(quán)接收各類短信驗證碼，進一步對受害者的財產(chǎn)賬戶發(fā)動攻擊。

風(fēng)險失控，“冷門”業(yè)務(wù)變“后門”

信息安全專家把此類電信詐騙稱作“補卡攻擊”。記者在調(diào)查中發(fā)現(xiàn)：一些本為方便用戶而開發(fā)的業(yè)務(wù)，卻因用戶普及程度較低，成了被攻擊者“盯上”的充滿風(fēng)險的“后門”。

記者體驗了“自助換卡”的全部流程：注冊登錄移動網(wǎng)上營業(yè)廳，進入“自助換卡”頁面并申請這項業(yè)務(wù)，只要將原手機卡收到的短信“驗證碼”回填到網(wǎng)頁，原卡的號碼信息會被寫入裝在另一部手機里的新卡，而原手機卡立即作廢，幾分鐘即可完成操作，而且完全免費。

與到營業(yè)廳當(dāng)面辦理不同，自助換卡全程都沒有核驗操作者的身份信息，僅需要準備一張未被寫入號碼信息的新卡，并將卡面上的編號輸入網(wǎng)頁，這張卡被業(yè)內(nèi)稱為“白卡”。這種“白卡”和領(lǐng)取人的手機號沒有綁定關(guān)系，因而領(lǐng)取后可以寫入任何手機號，不僅可以免費從官方途徑獲得，甚至在淘寶等網(wǎng)站上有人公開售賣。這就意味著，攻擊者要“劫持”小許的手機卡，只需要以小許的手機號成功登錄中國移動網(wǎng)上營業(yè)廳，并騙到那個沒有任何提示說明的6位驗證碼，剩下的條件都可以輕易獲取，不需要任何身份驗證。

當(dāng)事人的手機卡被“劫走”后，第三方支付平臺、甚至銀行的安全驗證都被接連突破，這一切真的僅靠掌握短信驗證碼就可以實現(xiàn)嗎？

工商銀行客服說，還需要卡的六位數(shù)取錢密碼，如果密碼、卡號和手機他完全掌握他才能做這些交易。這意味著，小許的手機卡被“劫持”之前，他的“成套”個人信息已經(jīng)被攻擊者掌握了。

信息安全專家張耀疆說：“個人信息在網(wǎng)上已經(jīng)形成一個地下數(shù)據(jù)庫。庫里面會有大量的非常完整的個人信息鏈條。比如你的姓名、家庭住址、手機號、銀行卡號、銀行的密碼，其實都在網(wǎng)絡(luò)的黑市里面，而且是別人整理好的，不是零散的，這個就非?？膳隆！?/p>

（《齊魯晚報》2016.4.27）

三招防范“驗證碼攻擊”

一、靜態(tài)密碼設(shè)置一定要復(fù)雜。其次，攻擊者經(jīng)常利用各種手段對短信進行偽裝，并對攻擊對象進行誤導(dǎo)、甚至恐嚇。所以一定要對“運營商”、“銀行”等身份進行認真甄別。

二、手機離奇“癱瘓”，緊急“掛失”當(dāng)先。如非手機本身或信號故障，要立刻掛失手機卡，并及時凍結(jié)第三方支付和銀行賬戶。

三、短信驗證碼，不能告訴任何人。電信運營商和提供相關(guān)服務(wù)的企業(yè)只會將短信驗證碼下發(fā)給用戶，絕對不會要求用戶通過短信或電話進行所謂“回復(fù)驗證碼”的操作。

（《齊魯晚報》2016.4.27）