一條短信何以讓人一夜間傾家蕩產

最近，一篇受害人自述被騙經歷的長文在網絡上廣為流傳。作者稱，由于回復了一條短信，他的支付寶、銀行卡里所有資金一夜間被“洗劫一空”。央視記者在調查中發現，一種全新的騙術已經出現并正在蔓延，我們不可不知、不得不防。

受害人稱：“因為一條短信,一夜之間,我的支付寶、所有的銀行卡信息都被攻破,所有銀行卡的資金全部被轉移……那是一種一無所有的絕望?！?/p>

退訂短信暗藏玄機，一夜間身無分文

去年4月8日傍晚，小許連續收到了幾條來自中國移動官方號碼的短信。短信稱，他已成功訂閱了一項“手機報半年包”服務，并且實時扣費造成了手機余額不足。小許納悶了，因為他根本沒有訂閱這個服務。緊接著就是非常詭異地又發了一條短信，顯示是他只要回復取消加驗證碼，在3分鐘之內退訂免費。

當小許正在琢磨“驗證碼”到底是什么，又收到了一條來自中國移動客服電話“10086”的短信。上面寫著。您好，您的USIM卡驗證碼為六位數字，“這時候我就想我要退訂這個業務，他也沒有跟我說驗證是什么用途，我就按照常規的思維，就取消加驗證碼發給他了”。

隨后小許驚訝地發現，自己的手機突然徹底癱瘓了?！爸貑⒘撕芏啻问謾C，然后它還是顯示無服務。到家之后，有天線網絡的時候再充值，去充了大概150塊錢進去它還是沒反應，這時候我就著急了。因為我手機是無服務狀態，我也打不了10086的客服?！?/p>

這只是麻煩的開始，當天晚上8點左右，小許的手機在無線網絡下，接連收到了支付寶的轉賬提示，這意味著竟然有人在另一個終端上操作他的支付寶賬戶?！拔已郾牨牭乜粗?，把我的錢一筆一筆又一筆的轉移，而且不是我個人操作的?！?/p>

由于手機無法呼出掛失，情急之下，小許只能通過操作客戶端解除了支付寶與三張銀行卡的綁定，并且委托親友撥打支付寶客服電話凍結賬號?！按蚩头娫捠莻€非常緩慢的過程，它一步一步各種各樣的驗證……當我掛失成功完成之后，發現我的支付寶沒錢了。他不但攻破了我的支付寶，還在我網銀里發生跨行轉賬。就發現我后來每一張銀行卡里，余額都是零?！?/p>

更令小許感到恐懼的是，凍結支付寶賬戶并沒有使自己的銀行卡擺脫被劫的“命運”。他第二天才發現，自己名下的三張儲蓄卡，在他完全不知情的情況下，被人綁定在另一個在線支付平臺“百度錢包”上，卡里的錢全部轉入了兩個陌生賬號。這意味著，就連他的銀行賬號也被攻破了。一條短信讓他一夜之間變得身無分文。

“嫁接”移動業務，精準“劫持”手機

明明小許沒有訂閱，為何會收到訂閱短信？根據中國移動北京分公司的內部查證：4月8日17點54分，有人通過海南?？诘囊粋€IP地址，以小許的手機號成功登錄了北京移動官方網站，不僅發起了手機報訂閱，還在18點13分成功辦理了一項名為“自助換卡”的業務。

“自助換卡”是中國移動推出的一項在線服務，通過這項業務用戶不必跑營業廳，直接通過在官方網站操作就可以更換4G手機卡。新卡立即生效，舊卡同時作廢。經過“自助換卡”，相當于小許的手機在那一刻更換了機主，落到了別人手里。中國移動北京分公司表示，目前仍不能準確解釋小許的賬號是如何被他人成功登錄的，但如果密碼設置過于簡單，就可能會在反復嘗試下被攻破。

攻擊者要換卡，必須先知道驗證碼。當時小許收到的這條來自10086的驗證碼，正是攻擊者在網上發起換卡后，系統自動發到小許手機上的。但在這條20多字的短信中，并未說明驗證碼的用途。

“USIM卡驗證碼”到底是什么？攻擊者正是在這個絕大多數用戶不清楚的“信息盲點”上做文章，“嫁接”起了兩項中國移動的官方業務，編造了整個騙局的“劇本”：先是破解密碼登錄官網，為當事人訂閱增值業務并實現扣費，這是在營造恐慌氣氛；再通過發送一條詐騙短信，告訴當事人可以免費退訂，但需要立即回復“驗證碼”；趁著當事人正急于退訂卻搞不清“驗證碼”在哪里，攻擊者又在中國移動網上營業廳發起換卡業務，使系統自動向當事人發送10086短信的“驗證碼”，這種及時跟進的“雪中送炭”，更會讓當事人對騙局的“劇本”深信不疑；最終，面對這個沒有任何安全提示的“驗證碼”，當事人會很容易順著之前“劇本”的邏輯，積極主動地把它回復到到攻擊者手中。利用當事人回復的“驗證碼”，攻擊者完成“自助換卡”后，會利用成功“劫持”的手機使用權接收各類短信驗證碼，進一步對受害者的財產賬戶發動攻擊。

風險失控，“冷門”業務變“后門”

信息安全專家把此類電信詐騙稱作“補卡攻擊”。記者在調查中發現：一些本為方便用戶而開發的業務，卻因用戶普及程度較低，成了被攻擊者“盯上”的充滿風險的“后門”。

記者體驗了“自助換卡”的全部流程：注冊登錄移動網上營業廳，進入“自助換卡”頁面并申請這項業務，只要將原手機卡收到的短信“驗證碼”回填到網頁，原卡的號碼信息會被寫入裝在另一部手機里的新卡，而原手機卡立即作廢，幾分鐘即可完成操作，而且完全免費。

與到營業廳當面辦理不同，自助換卡全程都沒有核驗操作者的身份信息，僅需要準備一張未被寫入號碼信息的新卡，并將卡面上的編號輸入網頁，這張卡被業內稱為“白卡”。這種“白卡”和領取人的手機號沒有綁定關系，因而領取后可以寫入任何手機號，不僅可以免費從官方途徑獲得，甚至在淘寶等網站上有人公開售賣。這就意味著，攻擊者要“劫持”小許的手機卡，只需要以小許的手機號成功登錄中國移動網上營業廳，并騙到那個沒有任何提示說明的6位驗證碼，剩下的條件都可以輕易獲取，不需要任何身份驗證。

當事人的手機卡被“劫走”后，第三方支付平臺、甚至銀行的安全驗證都被接連突破，這一切真的僅靠掌握短信驗證碼就可以實現嗎？

工商銀行客服說，還需要卡的六位數取錢密碼，如果密碼、卡號和手機他完全掌握他才能做這些交易。這意味著，小許的手機卡被“劫持”之前，他的“成套”個人信息已經被攻擊者掌握了。

信息安全專家張耀疆說：“個人信息在網上已經形成一個地下數據庫。庫里面會有大量的非常完整的個人信息鏈條。比如你的姓名、家庭住址、手機號、銀行卡號、銀行的密碼，其實都在網絡的黑市里面，而且是別人整理好的，不是零散的，這個就非?？膳??！?/p>

（《齊魯晚報》2016.4.27）

三招防范“驗證碼攻擊”

一、靜態密碼設置一定要復雜。其次，攻擊者經常利用各種手段對短信進行偽裝，并對攻擊對象進行誤導、甚至恐嚇。所以一定要對“運營商”、“銀行”等身份進行認真甄別。

二、手機離奇“癱瘓”，緊急“掛失”當先。如非手機本身或信號故障，要立刻掛失手機卡，并及時凍結第三方支付和銀行賬戶。

三、短信驗證碼，不能告訴任何人。電信運營商和提供相關服務的企業只會將短信驗證碼下發給用戶，絕對不會要求用戶通過短信或電話進行所謂“回復驗證碼”的操作。

（《齊魯晚報》2016.4.27）