近日,一篇讲述被骗经历的万字长文,与一系列截图一起发布,在网上广为流传。经过多次接触,记者找到了客户,小许,一个刚毕业的大学生。回复一条短信后,他支付宝、银行卡、百度钱包里的资金一夜之间全部被“洗劫”空。
小许是怎么被抓的?这个骗子是怎么把自己所有的账户都破掉的?央视记者在调查中发现,一个全新的骗局已经出现并正在蔓延,必须加以防范。
奇怪的订阅付费服务回复验证码退订手机居然瘫痪
4月8日晚,小许接连收到中国移动官方号码的几条短信。短信显示,他已经成功订阅了一个“手机报半年订阅服务”,实时扣款导致手机余额不足。
△小许收到短信截图
小许很困惑,因为他根本没有订阅这项服务。然后又一条短信接踵而来,显示回复“取消+验证码”即可退订服务,3分钟内退订免费。
当小许正在疑惑“验证码”是什么的时候,他收到了中国移动客服电话“10086”的短信,上面写着“你的USIM卡验证码是* * * * * *”。小许没多想,编辑了短信“取消+六位验证码”回复过去。我以为自己成功避开了一个手机用户经常遇到的“吸电服务”,但他惊讶地发现,自己的手机突然显示“无服务”,无论重启多少次都没有回应。
支付宝隔夜“归零”网银账户“倒下”
当天晚上8点左右,小许的手机在无线网络下陆续收到支付宝的转账提示,这意味着有人在另一个终端上操作他的支付宝账户。
由于手机无法拨打挂失,小许通过操作客户端,打破了支付宝与三张银行卡的绑定,委托亲友致电支付宝客服冻结账号。但是小许挂失的时候发现支付宝没钱了,还在网银跨行转账,每张银行卡余额为零。
更让小许害怕的是,第二天,他发现招商银行和工行的两张储蓄卡绑定到了另一个网上支付平台“百度钱包”,再加上百度钱包里另一张原由小许绑定的中国银行卡。三张卡都是在事发当晚转到两个陌生账户,最后通过招商银行和工行的手机银行短信验证码转到两个陌生账户。这意味着甚至他的银行账户也被攻破了。
一条短信让小许一夜之间身无分文。
诈骗者成立了一个“连锁局”来上演“偷天换日”
小许的经历不仅震惊了许多网民,还引发了通信、互联网和银行业的激烈讨论。从收到可疑短信到看到我所有的账号都被彻底“洗劫”空,整个过程只需要三个多小时。骗子是通过什么手段“攻击”的?央视记者通过调查重复了欺骗的全过程,这其实是一个“连锁计划”。
第一招:破解手机官网密码,“劫持”手机发动攻击
记者登录中国移动北京分公司官网,找到了“中国广电金融半年套餐”的业务。自助订阅后,费用会立即扣除。记者收到的短信和小许收到的短信一模一样,都来自“10086”。为什么小许没有订阅,却收到了订阅信息?据中国移动内部核实,4月8日17时54分,有人通过海南海口的一个Ip地址,用小许的手机号码成功登录北京移动官网,不仅开通了手机报订阅,还于18时13分成功办理了一项名为“自助换卡”的业务。
第二个措施:发“退订”短信,制造验证码的假象
骗子在破解了移动网站的登录密码后,订阅了小许的“手机报”,并发送了一条名为“取消+验证码”的退订信息。首先要做的是通过手机欠费让受害者省心;二是制造“退订”时需要“验证码”的假象。
第三个措施:启动换卡流程“退订”,改为“换卡”
捕捉验证码是这个骗局的关键,骗局的核心是“自助换卡”。
如上所述,骗子在登录移动官网后也推出了“自助换卡”业务。这是中国移动推出的在线服务。用户不用去营业厅,直接在官网操作就可以换4G手机卡。新卡立即生效,同时旧卡作废。
但在进行自助换卡时,系统会向用户发送验证码进行二次确认,即小许收到一条短信:USIM卡六位验证码XXX。只有在将该验证码填回系统后,才能开始后续的换卡工作。也就是说,这个验证码可以直接注销之前手机的SIM卡,原来的号码会转移到另一个SIM卡上。这是立局的关键。欺诈者为了得到这张新的SIM卡,制造了“退订”的假象。
△小许收到的“验证码”短信截图
然而,小许收到的10086系统自动发送的验证码没有说明其目的,也没有就验证码的泄露风险发出安全警告。结果换卡验证码被误认为退订,退给骗子。小许认为,普通人如果没有接触到这些信息,就不知道验证码有什么用。骗子大做文章,把这个大部分用户都不清楚的“信息盲点”,嫁接到中国移动的两个官方业务上,编造出整个骗局的“剧本”:
对此,移动公司表示,目前无法准确解释小许的账户是如何被他人成功登录的,但如果密码设置过于简单,或者密码与其他安全级别较低的网站相同,可能会被多次尝试破解。
不“验证身份”换卡方便还是隐患?
小许的经历并非如此。许多有相同经历的网民都主动联系了小许,并讲述了他们的遭遇。信息安全专家称这种电信诈骗为“换卡攻击”。
记者经历了“自助换卡”的全过程。与亲自去营业厅不同,在自助换卡的整个过程中,运营商的身份信息并没有得到验证。只需要准备一张新的没有写有号码信息的卡片,将卡片表面的号码输入到网页中。这张卡在业内被称为“白卡”。
据了解,这张“白卡”与收件人的手机号码没有任何绑定关系,因此收藏后可以写入任何手机号码,不仅可以从官方渠道免费获取,还可以在淘宝等网站公开出售。这意味着,如果攻击者想要“劫持”小许的手机卡,他只需要用小许的手机号码成功登录中国移动在线营业厅,并在没有任何提示说明的情况下骗取6位验证码,其余条件无需任何认证即可轻松获得。
“冷门”业务已成为欺诈的“后门”
回顾在小许的经历,记者发现10086是中国移动的统一客服号,10658000是中国移动的手机号,让当事人信服。甚至这次事件中骗子编造的唯一一条诈骗短信也是利用“139邮箱”的“发送短信”功能发送的。
记者实际操作发现,如果接收短信的手机没有将发送短信的邮箱对应的手机号码存储为联系人,则收到的信息会以“10658”开头。中国移动“服务商业务号”发送的“行业短信”大多以“10658”开头。攻击者对这一功能细节感兴趣,它不仅可以伪装欺诈性短信来欺骗接收者的信任,还可以接收来自各方的密钥验证码。
于是,139邮箱的“短信”功能被攻击者利用,成为骗局的重要组成部分。但是中国移动推出这个免费功能8年了,真正了解其运营细节的人很少,利用率也不高。
在劫持小许手机的过程中,欺诈者自始至终都在使用中国移动的业务、工具和平台。一些用户眼中的“冷门”业务,已经成为容易被攻击者盯上的高风险“后门”。
骗子是怎么把所有的账都破掉的?
在攻击者“抢”了当事人的手机卡后,第三方支付平台甚至银行的安全验证被陆续突破。这一切是怎么发生的?只有掌握短信验证码才能实现吗?
账户接二连三被抢,个人信息先泄露
根据工行客服,只有完全掌握取款密码、银行卡号码、手机,才能在网银上操作。这意味着短信验证码虽然是每次攻击的关键,但也需要分别输入身份证号和银行卡号。因此,可以断定,在小许的手机卡被劫持之前,攻击者已经掌握了他更多的“成套”个人信息。
据信息安全专家张耀江介绍,个人信息已经形成地下数据库。这个图书馆里会有很多非常完整的个人信息链。比如名字、家庭住址、手机号、银行卡号、银行密码,在互联网黑市都有,都是别人排的,不是分散的。
短信验证码“不堪重负”
在总结了此次事件涉及的第三方支付平台和手机银行的关键服务后,记者发现,所有网上支付都可以用手机号和静态密码登录,百度钱包可以直接用短信验证码登录;“更改登录密码”和“转账支付”也无一例外需要依赖短信验证码;至于第三方支付最重要的“支付密码”,支付宝只能通过短信验证码更改。比如鸡蛋放在一个篮子里,导致各种问题。
由此可见,小许所有账户之所以“全线被攻破”,是因为除了个人信息的“钥匙”外,第二把钥匙“手机验证码”也因手机卡“被抢”而落入了攻击者手中。
如何防范「验证码攻击」?
面对这种针对短信验证码的“精准诈骗”和“组合攻击”,如何保护自己的安全?信息安全专家建议,如果仅仅依靠一个简单的静态密码,并不能保证安全。必须记住以下四项措施:
技巧1:静态密码设置一定很复杂
静态密码首先必须足够复杂,并妥善保存,以防止泄漏。其次,攻击者经常通过各种手段伪装短信,千方百计误导甚至恐吓目标。所以一定要仔细筛选“运营商”和“银行”的手机短信和来电,冷静处理。
技巧二:遇到“干扰信息”,小心筛除恐慌
攻击者经常通过各种手段伪装短信,千方百计误导甚至恐吓目标。所以一定要仔细筛选“运营商”和“银行”的手机短信和来电,冷静处理。
诀窍三:手机诡异,紧急“挂失”带头
如果手机通讯坏了,一定要马上找出故障原因。如果手机本身或者信号出现故障,需要立即挂失手机卡,并及时冻结第三方支付和银行账户,防止攻击者在用户处于“信息孤岛”的情况下,冒充主人盗取账户。
诀窍四:最重要的是:不要把短信的验证码告诉任何人!
电信运营商和提供相关服务的企业只会向用户发送短信验证码,绝不会要求用户通过短信或电话执行所谓的“回复验证码”。
从电信运营商,到第三方支付平台,再到正在进军互联网的银行系统,构成了我们今天每个人的信息和财产安全链。小许的经历为一系列以“安全”为生命线的行业敲响了警钟:所谓“良好的用户体验”就像一个天平,一端是“方便”,另一端是任何时候都不能忽视的“安全”。一旦这种平衡的天平被打破,一切都将“归零”。
1.《银行卡密码破解 这条短信千万小心!有人回复后“倾家荡产”》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《银行卡密码破解 这条短信千万小心!有人回复后“倾家荡产”》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/keji/742230.html