最近���,一篇自述被騙經歷的萬余字長文�����,配發一系列截圖證據��,在網絡上廣為流傳�。經過多方聯系���,記者找到了當事人小許��,一名參加工作不久的大學畢業生�。由于回復了一條短信���,他的支付寶����、銀行卡以及百度錢包內所有的資金一夜之間被“洗劫一空”�����。
小許究竟是如何“中招”的?騙子是如何攻破他所有賬戶的��?央視記者在調查中發現��,一種全新的騙術已經出現并正在蔓延��,不可不知�、不得不防���。
詭異訂閱付費服務 回復驗證碼退訂手機竟癱瘓
4月8日傍晚���,擠在北京晚高峰的地鐵里,小許連續收到了幾條來自中國移動官方號碼的短信�����。短信稱���,他已成功訂閱了一項“手機報半年包”服務����,并且實時扣費造成手機余額不足�。
△小許收到的短信截圖
小許很納悶�����,因為他根本就沒有訂閱這個服務����。緊接著又一條短信接踵而至���,內容顯示�,只要回復“取消+驗證碼”即可退訂該項服務����,且3分鐘之內退訂免費。
當小許正在琢磨“驗證碼”到底是什么時�����,手機上又收到了一條來自中國移動客服電話“10086”的短信�,內容顯示“您的USIM卡驗證碼為******(六位數字)”。小許并未多想,便編輯了“取消+六位驗證碼”的短信回復了過去�����。原以為成功避免了一次手機用戶經常碰到的“吸費業務”���,但他卻驚訝地發現,自己的手機突然顯示“無服務”����,無論重啟多少次都沒有響應。
當天晚上8點左右�����,小許的手機在無線網絡下����,接連收到了支付寶的轉賬提示,這意味著有人在另一個終端上操作他的支付寶賬戶�����。
由于手機無法呼出掛失���,情急之下���,小許通過操作客戶端解除了支付寶與三張銀行卡的綁定�����,并且委托親友撥打支付寶客服電話凍結賬號����。但是�,當小許掛失完成后,發現支付寶沒錢了��,而且還在網銀里跨行轉賬�����,每張銀行卡余額均為零��。
更令小許感到恐懼的是��,第二天他發現名下的招行��、工行兩張儲蓄卡被人綁定在另一個在線支付平臺“百度錢包”上�����,加上小許原本在“百度錢包”綁定的另一張中國銀行卡,三張卡在事發當晚均進行了資金轉移操作��,并最終通過招行和工行的手機銀行���,以“短信驗證碼轉賬”全部轉入了兩個陌生賬號��。這意味著����,就連他的銀行賬號也被攻破了�。
一條短信讓小許一夜之間變得身無分文��。
詐騙分子設“連環局” 上演“偷天換日”
小許的遭遇不僅讓眾多網民震驚���,也在通信�����、互聯網和銀行業內引發了熱議�����。從收到可疑短信����,直到眼見自己的所有賬戶被徹底“洗劫一空”,整個過程只有3個多小時���。騙子到底是通過怎樣的手段“發起攻擊”的��?央視記者通過調查復盤了整個騙術過程�,這實際上是一個“連環計”��。
第一計:破解移動官網密碼 “劫持”手機發動攻擊
記者登錄中國移動北京分公司官方網站�����,找到了“中廣財經半年包”業務�。自助訂閱后立即扣費,記者收到的短信和小許接收到的內容完全一樣����,都來自“10086”。明明小許沒有訂閱�����,為何會收到訂閱短信?根據中國移動的內部查證:4月8日17點54分���,有人通過海南?���?诘囊粋€IP地址����,以小許的手機號成功登錄了北京移動官方網站,不僅發起了手機報訂閱��,還在18點13分成功辦理了一項名為“自助換卡”的業務���。
第二計:發“退訂”短信 制造驗證碼假象
騙子在攻破移動網站的登陸密碼后,給小許訂閱了“手機報”�����,并發了所謂“取消+驗證碼”的退訂信息�����。這么做一是通過手機欠費讓受害者產生擔心心理;二是制造“退訂”時需要“驗證碼”的假象���。
第三計:啟動換卡流程 “退訂”變“換卡”
套取驗證碼是本次騙術的關鍵所在����,騙局的核心就是“自助換卡”�����。
上面提到���,騙子在登陸移動官網后還發起了“自助換卡”業務�。這是中國移動推出的一項在線服務�����,用戶不必跑營業廳����,直接通過在官方網站操作就可以更換4G手機卡。新卡立即生效�,舊卡同時作廢�����。
但是�,自助換卡時系統會向用戶發一個二次確認的驗證碼���,也就是小許收到短信:USIM卡六位驗證碼XXX��。只有把這個驗證碼再填回系統之后��,才會發起后期的換卡工作���。也就是說,這個驗證碼可以直接把之前手機的SIM卡廢掉�����,原來的號碼將會轉移到另一張SIM卡���。這是設局的關鍵,詐騙分子制造“退訂”假象�����,就是要拿到這張新SIM卡。
而小許收到的這條來自10086系統自動發出的驗證碼�����,并未說明用途�����,也沒有對驗證碼的泄露風險進行安全提示�,結果將換卡的驗證碼誤以為是退訂用的回復給了騙子。
小許認為�,普通人沒有接觸過這方面信息的時候,是不知道驗證碼是有什么用處的����。騙子正是在這個絕大多數用戶不清楚的“信息盲點”上做文章,“嫁接”起了兩項中國移動的官方業務�,編造了整個騙局的“劇本”:
對此���,移動公司表示����,目前不能準確解釋小許的賬號是如何被他人成功登錄的,但如果密碼設置過于簡單����,或與其他安全級別較低的網站密碼相同,就可能會在反復嘗試下被攻破�����。
換卡無需“驗明正身” 便捷還是隱患�?
小許的經歷并非個例,不少有著同樣遭遇的網友主動與小許聯系�����,講述自己被攻擊的經過�����。信息安全專家把此類電信詐騙稱作“補卡攻擊”��。
記者體驗了“自助換卡”的全部流程��,與到營業廳當面辦理不同�����,自助換卡全程都沒有核驗操作者的身份信息�,僅需要準備一張未被寫入號碼信息的新卡,并將卡面上的編號輸入網頁�����,這張卡被業內稱為“白卡”���。
據了解����,這種“白卡”和領取人的手機號沒有綁定關系����,因而領取后可以寫入任何手機號,不僅可以免費從官方途徑獲得���,甚至在淘寶等網站上有人公開售賣���。這就意味著,攻擊者要“劫持”小許的手機卡����,只需要以小許的手機號成功登錄中國移動網上營業廳�,并騙到那個沒有任何提示說明的6位驗證碼�,剩下的條件都可以輕易獲取,不需要任何身份驗證����。
“冷門”業務成了詐騙的“后門”
回溯小許的遭遇記者發現,在這場“連環”騙局的幾條短信中10086是中國移動統一客服號碼��、10658000是中國移動手機報號碼���,令當事人深信不疑�����。就連此次事件中唯一一條由騙子編造的詐騙短信��,也是利用“139郵箱”的一項“發短信”功能發出的�。
(編輯:小酷)
