最近,一篇受害人自述被骗经历的长文在网络上广为流传。作者称,由于回复了一条短信,他的支付宝、银行卡里所有资金一夜间被“洗劫一空”。央视记者在调查中发现,一种全新的骗术已经出现并正在蔓延,我们不可不知、不得不防。
受害人称:“因为一条短信,一夜之间,我的支付宝、所有的银行卡信息都被攻破,所有银行卡的资金全部被转移……那是一种一无所有的绝望。”
去年4月8日傍晚,小许连续收到了几条来自中国移动官方号码的短信。短信称,他已成功订阅了一项“手机报半年包”服务,并且实时扣费造成了手机余额不足。小许纳闷了,因为他根本没有订阅这个服务。紧接着就是非常诡异地又发了一条短信,显示是他只要回复取消加验证码,在3分钟之内退订免费。
当小许正在琢磨“验证码”到底是什么,又收到了一条来自中国移动客服电话“10086”的短信。上面写着。您好,您的USIM卡验证码为六位数字,“这时候我就想我要退订这个业务,他也没有跟我说验证是什么用途,我就按照常规的思维,就取消加验证码发给他了”。
随后小许惊讶地发现,自己的手机突然彻底瘫痪了。“重启了很多次手机,然后它还是显示无服务。到家之后,有天线网络的时候再充值,去充了大概150块钱进去它还是没反应,这时候我就着急了。因为我手机是无服务状态,我也打不了10086的客服。”
这只是麻烦的开始,当天晚上8点左右,小许的手机在无线网络下,接连收到了支付宝的转账提示,这意味着竟然有人在另一个终端上操作他的支付宝账户。“我眼睁睁地看着他,把我的钱一笔一笔又一笔的转移,而且不是我个人操作的。”
由于手机无法呼出挂失,情急之下,小许只能通过操作客户端解除了支付宝与三张银行卡的绑定,并且委托亲友拨打支付宝客服电话冻结账号。“打客服电话是个非常缓慢的过程,它一步一步各种各样的验证……当我挂失成功完成之后,发现我的支付宝没钱了。他不但攻破了我的支付宝,还在我网银里发生跨行转账。就发现我后来每一张银行卡里,余额都是零。”
更令小许感到恐惧的是,冻结支付宝账户并没有使自己的银行卡摆脱被劫的“命运”。他第二天才发现,自己名下的三张储蓄卡,在他完全不知情的情况下,被人绑定在另一个在线支付平台“百度钱包”上,卡里的钱全部转入了两个陌生账号。这意味着,就连他的银行账号也被攻破了。一条短信让他一夜之间变得身无分文。
明明小许没有订阅,为何会收到订阅短信?根据中国移动北京分公司的内部查证:4月8日17点54分,有人通过海南海口的一个IP地址,以小许的手机号成功登录了北京移动官方网站,不仅发起了手机报订阅,还在18点13分成功办理了一项名为“自助换卡”的业务。
“自助换卡”是中国移动推出的一项在线服务,通过这项业务用户不必跑营业厅,直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效,旧卡同时作废。经过“自助换卡”,相当于小许的手机在那一刻更换了机主,落到了别人手里。中国移动北京分公司表示,目前仍不能准确解释小许的账号是如何被他人成功登录的,但如果密码设置过于简单,就可能会在反复尝试下被攻破。
攻击者要换卡,必须先知道验证码。当时小许收到的这条来自10086的验证码,正是攻击者在网上发起换卡后,系统自动发到小许手机上的。但在这条20多字的短信中,并未说明验证码的用途。
“USIM卡验证码”到底是什么?攻击者正是在这个绝大多数用户不清楚的“信息盲点”上做文章,“嫁接”起了两项中国移动的官方业务,编造了整个骗局的“剧本”:先是破解密码登录官网,为当事人订阅增值业务并实现扣费,这是在营造恐慌气氛;再通过发送一条诈骗短信,告诉当事人可以免费退订,但需要立即回复“验证码”;趁着当事人正急于退订却搞不清“验证码”在哪里,攻击者又在中国移动网上营业厅发起换卡业务,使系统自动向当事人发送10086短信的“验证码”,这种及时跟进的“雪中送炭”,更会让当事人对骗局的“剧本”深信不疑;最终,面对这个没有任何安全提示的“验证码”,当事人会很容易顺着之前“剧本”的逻辑,积极主动地把它回复到到攻击者手中。利用当事人回复的“验证码”,攻击者完成“自助换卡”后,会利用成功“劫持”的手机使用权接收各类短信验证码,进一步对受害者的财产账户发动攻击。
信息安全专家把此类电信诈骗称作“补卡攻击”。记者在调查中发现:一些本为方便用户而开发的业务,却因用户普及程度较低,成了被攻击者“盯上”的充满风险的“后门”。
记者体验了“自助换卡”的全部流程:注册登录移动网上营业厅,进入“自助换卡”页面并申请这项业务,只要将原手机卡收到的短信“验证码”回填到网页,原卡的号码信息会被写入装在另一部手机里的新卡,而原手机卡立即作废,几分钟即可完成操作,而且完全免费。
与到营业厅当面办理不同,自助换卡全程都没有核验操作者的身份信息,仅需要准备一张未被写入号码信息的新卡,并将卡面上的编号输入网页,这张卡被业内称为“白卡”。这种“白卡”和领取人的手机号没有绑定关系,因而领取后可以写入任何手机号,不仅可以免费从官方途径获得,甚至在淘宝等网站上有人公开售卖。这就意味着,攻击者要“劫持”小许的手机卡,只需要以小许的手机号成功登录中国移动网上营业厅,并骗到那个没有任何提示说明的6位验证码,剩下的条件都可以轻易获取,不需要任何身份验证。
当事人的手机卡被“劫走”后,第三方支付平台、甚至银行的安全验证都被接连突破,这一切真的仅靠掌握短信验证码就可以实现吗?
工商银行客服说,还需要卡的六位数取钱密码,如果密码、卡号和手机他完全掌握他才能做这些交易。这意味着,小许的手机卡被“劫持”之前,他的“成套”个人信息已经被攻击者掌握了。
信息安全专家张耀疆说:“个人信息在网上已经形成一个地下数据库。库里面会有大量的非常完整的个人信息链条。比如你的姓名、家庭住址、手机号、银行卡号、银行的密码,其实都在网络的黑市里面,而且是别人整理好的,不是零散的,这个就非常可怕。”
(《齐鲁晚报》2016.4.27)
三招防范“验证码攻击”
一、静态密码设置一定要复杂。其次,攻击者经常利用各种手段对短信进行伪装,并对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、“银行”等身份进行认真甄别。
二、手机离奇“瘫痪”,紧急“挂失”当先。如非手机本身或信号故障,要立刻挂失手机卡,并及时冻结第三方支付和银行账户。
三、短信验证码,不能告诉任何人。电信运营商和提供相关服务的企业只会将短信验证码下发给用户,绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。
(《齐鲁晚报》2016.4.27)