市民小胡連續(xù)收到了幾條來自10086發(fā)來的短信。短信稱，他已成功訂閱了一項“手機(jī)報半年包”服務(wù)，并且實(shí)時扣費(fèi)造成手機(jī)余額不足。

　　小胡很驚訝，因為他根本就沒有訂閱這個服務(wù)。緊接著又一條短信接踵而至，內(nèi)容顯示，只要回復(fù)“取消+驗證碼”即可退訂該項服務(wù)，且3分鐘之內(nèi)退訂免費(fèi)。

　　這時，手機(jī)上又收到了一條來自中國移動客服電話“10086”的短信，內(nèi)容顯示“您的USIM卡驗證碼為******（六位數(shù)字）”。小胡并未多想，便編輯了“取消+六位驗證碼”的短信回復(fù)了過去。結(jié)果，他的手機(jī)突然顯示“無服務(wù)”，無論重啟多少次都沒有響應(yīng)。

　　支付寶一夜“歸零” 網(wǎng)銀賬戶皆“淪陷”

　　當(dāng)天晚上，小胡的手機(jī)在無線網(wǎng)絡(luò)下，接連收到了支付寶的轉(zhuǎn)賬提示，由于手機(jī)無法呼出掛失，情急之下，小胡通過操作客戶端解除了支付寶與三張銀行卡的綁定，并且委托親友撥打支付寶客服電話凍結(jié)賬號。但是，當(dāng)小胡掛失完成后，發(fā)現(xiàn)支付寶沒錢了，而且還在網(wǎng)銀里跨行轉(zhuǎn)賬，每張銀行卡余額均為零。

　　更令小胡感到恐懼的是，二天他發(fā)現(xiàn)名下的招行、工行兩張儲蓄卡被人綁定在另一個在線支付平臺“百度錢包”上，原本在“百度錢包”綁定的另一張中國銀行卡，三張卡在事發(fā)當(dāng)晚均進(jìn)行了資金轉(zhuǎn)移操作，并最終通過招行和工行的手機(jī)銀行，以“短信驗證碼轉(zhuǎn)賬”全部轉(zhuǎn)入了兩個陌生賬號。這意味著，就連他的銀行賬號也被攻破了。

　　一條短信讓小胡一夜之間變得身無分文。

　　詐騙分子設(shè)“連環(huán)局” 上演“偷天換日”

　　從收到可疑短信，直到眼見自己的所有賬戶被徹底“洗劫一空”，整個過程只有3個多小時。騙子到底是通過怎樣的手段“發(fā)起攻擊”的？然而，這實(shí)際上是一個“連環(huán)計”。

　　第一計：破解移動官網(wǎng)密碼 “劫持”手機(jī)發(fā)動攻擊

　　根據(jù)中國移動的內(nèi)部查證：有人通過海南?？诘囊粋€IP地址，以小胡的手機(jī)號成功登錄了移動官方網(wǎng)站，不僅發(fā)起了手機(jī)報訂閱，還在18點(diǎn)13分成功辦理了一項名為“自助換卡”的業(yè)務(wù)。

　　第二計：發(fā)“退訂”短信 制造驗證碼假象

　　騙子在攻破移動網(wǎng)站的登陸密碼后，給他訂閱了“手機(jī)報”，并發(fā)了所謂“取消+驗證碼”的退訂信息。這么做一是通過手機(jī)欠費(fèi)讓受害者產(chǎn)生擔(dān)心心理；二是制造“退訂”時需要“驗證碼”的假象。

　　第三計：啟動換卡流程 “退訂”變“換卡”

　　套取驗證碼是本次騙術(shù)的關(guān)鍵所在，騙局的核心就是“自助換卡”。騙子在登陸官網(wǎng)后還發(fā)起了“自助換卡”業(yè)務(wù)。用戶不必跑營業(yè)廳，直接通過在官方網(wǎng)站操作就可以更換4G手機(jī)卡。新卡立即生效，舊卡同時作廢。

　　但是，自助換卡時系統(tǒng)會向用戶發(fā)一個二次確認(rèn)的驗證碼：USIM卡六位驗證碼XXX。只有把這個驗證碼再填回系統(tǒng)之后，才會發(fā)起后期的換卡工作。這個驗證碼可以直接把之前手機(jī)的SIM卡廢掉，原來的號碼將會轉(zhuǎn)移到另一張SIM卡。這是設(shè)局的關(guān)鍵，詐騙分子制造“退訂”假象，就是要拿到這張新SIM卡。

　　而小胡將換卡的驗證碼誤以為是退訂用的回復(fù)給了騙子。普通人沒有接觸過這方面信息的時候，是不知道驗證碼是有什么用處的。騙子正是在這個絕大多數(shù)用戶不清楚的“信息盲點(diǎn)”上做文章，“嫁接”起了兩項中國移動的官方業(yè)務(wù)，編造了整個騙局的“劇本”：

　　對此，移動公司表示，目前不能準(zhǔn)確解釋小胡的賬號是如何被他人成功登錄的，但如果密碼設(shè)置過于簡單，或與其他安全級別較低的網(wǎng)站密碼相同，就可能會在反復(fù)嘗試下被攻破。

　　換卡無需“驗明正身” 便捷還是隱患？

　　信息安全專家把此類電信詐騙稱作“補(bǔ)卡攻擊”。自助換卡全程都沒有核驗操作者的身份信息，僅需要準(zhǔn)備一張未被寫入號碼信息的新卡，并將卡面上的編號輸入網(wǎng)頁，這張卡被業(yè)內(nèi)稱為“白卡”。

　　據(jù)了解，這種“白卡”和領(lǐng)取人的手機(jī)號沒有綁定關(guān)系，因而領(lǐng)取后可以寫入任何手機(jī)號，不僅可以免費(fèi)從官方途徑獲得，甚至在淘寶等網(wǎng)站上有人公開售賣。如果攻擊者要“劫持”小胡的手機(jī)卡，只需要以小胡的手機(jī)號成功登錄中國移動網(wǎng)上營業(yè)廳，并騙到那個沒有任何提示說明的6位驗證碼，剩下的條件都可以輕易獲取，不需要任何身份驗證。

　　“冷門”業(yè)務(wù)成了詐騙的“后門”

　　在這場“連環(huán)”騙局的幾條短信中10086是中國移動統(tǒng)一客服號碼、10658000是中國移動手機(jī)報號碼，令當(dāng)事人深信不疑。就連此次事件中唯一一條由騙子編造的詐騙短信，也是利用“139郵箱”的一項“發(fā)短信”功能發(fā)出的。

　　如果接收短信的手機(jī)沒有將發(fā)短信的郵箱所對應(yīng)的手機(jī)號存儲為聯(lián)系人，接收到的信息均顯示以“10658”開頭。而中國移動旗下的“服務(wù)提供商業(yè)務(wù)號碼”發(fā)送的“行業(yè)短信”大都以“10658”開頭。攻擊者看中的正是這個功能細(xì)節(jié)，不僅可以對詐騙短信進(jìn)行偽裝，騙取接收者的信任，還可以接收到當(dāng)事人回復(fù)的關(guān)鍵驗證碼。

　　因此，139郵箱的“發(fā)短信”功能被攻擊者所用，成為騙局的重要一環(huán)。而這項中國移動已經(jīng)推出8年的免費(fèi)功能，很少有人真正了解它的操作細(xì)節(jié)，使用率也不高。

　　詐騙分子在劫持小胡手機(jī)的過程中，自始至終利用的都是中國移動的業(yè)務(wù)、工具和平臺。一些用戶眼中的“冷門”業(yè)務(wù)，成了極易被攻擊者“盯上”的充滿風(fēng)險的“后門”。

　　騙子是如何攻破全部賬戶的？

　　攻擊者在“劫走”當(dāng)事人的手機(jī)卡后，第三方支付平臺、甚至銀行的安全驗證都被接連突破。這一切是如何做到的？僅靠掌握短信驗證碼就可以實(shí)現(xiàn)嗎？

• 賬戶接連遭劫 個人信息泄露在先

　　據(jù)工商銀行客服介紹，只有取錢密碼、銀行卡號和手機(jī)完全掌握才能在網(wǎng)銀上進(jìn)行操作。這意味著，盡管短信驗證碼是每一步攻擊的關(guān)鍵，但同時還分別需要身份證號和銀行卡號。因而可以斷定，在他手機(jī)卡被“劫持”之前，他更多的“成套”個人信息已經(jīng)被攻擊者掌握了。

　　據(jù)信息安全專家介紹，個人信息已形成地下數(shù)據(jù)庫。這個庫里面會有大量的非常完整的個人信息的鏈條。比如姓名、家庭住址、手機(jī)號、銀行卡號、銀行的密碼，其實(shí)在網(wǎng)絡(luò)黑市里都有，而且是別人整理好的，不是零散的。

• 短信驗證碼“不能承受之重”

　　所有的在線支付都可以用手機(jī)號和靜態(tài)密碼登錄，百度錢包直接可以用短信驗證碼登錄；“更改登錄密碼”和“轉(zhuǎn)賬支付”無一例外地需要依靠短信驗證碼完成；而對于第三方支付最重要的“支付密碼”，支付寶也簡化到僅憑短信驗證碼就可以更改。

　　之所以小胡的所有賬戶被“全線攻破”，是因為除了個人信息這把“鑰匙”早已泄露外，第二把鑰匙“手機(jī)驗證碼”也因手機(jī)卡“被劫”落在了攻擊者手中。

　　如何防范“驗證碼攻擊”？

　　面對此類針對短信驗證碼的“精準(zhǔn)詐騙”和“組合攻擊”，該如何保護(hù)自身安全？信息安全專家提示，如果只靠一個簡單的靜態(tài)密碼，無法保證安全，下面這四招一定要記?。?/p>

　　招數(shù)一：靜態(tài)密碼設(shè)置一定要復(fù)雜

　　靜態(tài)密碼首先要足夠復(fù)雜，并妥善保管防止泄露。其次，攻擊者經(jīng)常利用各種手段對短信進(jìn)行偽裝，并千方百計地對攻擊對象進(jìn)行誤導(dǎo)、甚至恐嚇。所以一定要對"運(yùn)營商"、"銀行"等身份的手機(jī)短信和來電進(jìn)行認(rèn)真甄別，冷靜應(yīng)對。

　　招數(shù)二：遭遇“干擾信息”仔細(xì)甄別莫慌張

　　攻擊者經(jīng)常利用各種手段對短信進(jìn)行偽裝，并千方百計地對攻擊對象進(jìn)行誤導(dǎo)、甚至恐嚇。所以一定要對“運(yùn)營商”、“銀行”等身份的手機(jī)短信和來電進(jìn)行認(rèn)真甄別，冷靜應(yīng)對。

　　招數(shù)三：手機(jī)離奇“癱瘓” 緊急“掛失”當(dāng)先

　　如果手機(jī)通訊出現(xiàn)癱瘓，一定要馬上查清故障原因。如非手機(jī)本身或信號故障，要立刻掛失手機(jī)卡，并及時凍結(jié)第三方支付和銀行賬戶，避免攻擊者趁用戶處于"信息孤島"時，冒名頂替機(jī)主身份竊取賬戶。

　　招數(shù)四：最重要的是：短信驗證碼不要告任何人！

　　電信運(yùn)營商和提供相關(guān)服務(wù)的企業(yè)只會將短信驗證碼下發(fā)給用戶，絕對不會要求用戶通過短信或電話進(jìn)行所謂“回復(fù)驗證碼”的操作。

　　從電信運(yùn)營商、到第三方支付平臺、再到正在進(jìn)軍互聯(lián)網(wǎng)的銀行系統(tǒng)，構(gòu)成了如今我們每個人信息和財產(chǎn)安全的鏈條。所謂“好的用戶體驗”，就像一架天平，一頭是“便捷”，而另一頭是任何時候都不能忽略的“安全”，這架天平的平衡一旦打破，所有的一切都會“歸零”。

　　來源：網(wǎng)絡(luò)