一条短信何以让人一夜间倾家荡产

最近，一篇受害人自述被骗经历的长文在网络上广为流传。作者称，由于回复了一条短信，他的支付宝、银行卡里所有资金一夜间被“洗劫一空”。央视记者在调查中发现，一种全新的骗术已经出现并正在蔓延，我们不可不知、不得不防。

受害人称：“因为一条短信,一夜之间,我的支付宝、所有的银行卡信息都被攻破,所有银行卡的资金全部被转移……那是一种一无所有的绝望。”

退订短信暗藏玄机，一夜间身无分文

去年4月8日傍晚，小许连续收到了几条来自中国移动官方号码的短信。短信称，他已成功订阅了一项“手机报半年包”服务，并且实时扣费造成了手机余额不足。小许纳闷了，因为他根本没有订阅这个服务。紧接着就是非常诡异地又发了一条短信，显示是他只要回复取消加验证码，在3分钟之内退订免费。

当小许正在琢磨“验证码”到底是什么，又收到了一条来自中国移动客服电话“10086”的短信。上面写着。您好，您的USIM卡验证码为六位数字，“这时候我就想我要退订这个业务，他也没有跟我说验证是什么用途，我就按照常规的思维，就取消加验证码发给他了”。

随后小许惊讶地发现，自己的手机突然彻底瘫痪了。“重启了很多次手机，然后它还是显示无服务。到家之后，有天线网络的时候再充值，去充了大概150块钱进去它还是没反应，这时候我就着急了。因为我手机是无服务状态，我也打不了10086的客服。”

这只是麻烦的开始，当天晚上8点左右，小许的手机在无线网络下，接连收到了支付宝的转账提示，这意味着竟然有人在另一个终端上操作他的支付宝账户。“我眼睁睁地看着他，把我的钱一笔一笔又一笔的转移，而且不是我个人操作的。”

由于手机无法呼出挂失，情急之下，小许只能通过操作客户端解除了支付宝与三张银行卡的绑定，并且委托亲友拨打支付宝客服电话冻结账号。“打客服电话是个非常缓慢的过程，它一步一步各种各样的验证……当我挂失成功完成之后，发现我的支付宝没钱了。他不但攻破了我的支付宝，还在我网银里发生跨行转账。就发现我后来每一张银行卡里，余额都是零。”

更令小许感到恐惧的是，冻结支付宝账户并没有使自己的银行卡摆脱被劫的“命运”。他第二天才发现，自己名下的三张储蓄卡，在他完全不知情的情况下，被人绑定在另一个在线支付平台“百度钱包”上，卡里的钱全部转入了两个陌生账号。这意味着，就连他的银行账号也被攻破了。一条短信让他一夜之间变得身无分文。

“嫁接”移动业务，精准“劫持”手机

明明小许没有订阅，为何会收到订阅短信？根据中国移动北京分公司的内部查证：4月8日17点54分，有人通过海南海口的一个IP地址，以小许的手机号成功登录了北京移动官方网站，不仅发起了手机报订阅，还在18点13分成功办理了一项名为“自助换卡”的业务。

“自助换卡”是中国移动推出的一项在线服务，通过这项业务用户不必跑营业厅，直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效，旧卡同时作废。经过“自助换卡”，相当于小许的手机在那一刻更换了机主，落到了别人手里。中国移动北京分公司表示，目前仍不能准确解释小许的账号是如何被他人成功登录的，但如果密码设置过于简单，就可能会在反复尝试下被攻破。

攻击者要换卡，必须先知道验证码。当时小许收到的这条来自10086的验证码，正是攻击者在网上发起换卡后，系统自动发到小许手机上的。但在这条20多字的短信中，并未说明验证码的用途。

“USIM卡验证码”到底是什么？攻击者正是在这个绝大多数用户不清楚的“信息盲点”上做文章，“嫁接”起了两项中国移动的官方业务，编造了整个骗局的“剧本”：先是破解密码登录官网，为当事人订阅增值业务并实现扣费，这是在营造恐慌气氛；再通过发送一条诈骗短信，告诉当事人可以免费退订，但需要立即回复“验证码”；趁着当事人正急于退订却搞不清“验证码”在哪里，攻击者又在中国移动网上营业厅发起换卡业务，使系统自动向当事人发送10086短信的“验证码”，这种及时跟进的“雪中送炭”，更会让当事人对骗局的“剧本”深信不疑；最终，面对这个没有任何安全提示的“验证码”，当事人会很容易顺着之前“剧本”的逻辑，积极主动地把它回复到到攻击者手中。利用当事人回复的“验证码”，攻击者完成“自助换卡”后，会利用成功“劫持”的手机使用权接收各类短信验证码，进一步对受害者的财产账户发动攻击。

风险失控，“冷门”业务变“后门”

信息安全专家把此类电信诈骗称作“补卡攻击”。记者在调查中发现：一些本为方便用户而开发的业务，却因用户普及程度较低，成了被攻击者“盯上”的充满风险的“后门”。

记者体验了“自助换卡”的全部流程：注册登录移动网上营业厅，进入“自助换卡”页面并申请这项业务，只要将原手机卡收到的短信“验证码”回填到网页，原卡的号码信息会被写入装在另一部手机里的新卡，而原手机卡立即作废，几分钟即可完成操作，而且完全免费。

与到营业厅当面办理不同，自助换卡全程都没有核验操作者的身份信息，仅需要准备一张未被写入号码信息的新卡，并将卡面上的编号输入网页，这张卡被业内称为“白卡”。这种“白卡”和领取人的手机号没有绑定关系，因而领取后可以写入任何手机号，不仅可以免费从官方途径获得，甚至在淘宝等网站上有人公开售卖。这就意味着，攻击者要“劫持”小许的手机卡，只需要以小许的手机号成功登录中国移动网上营业厅，并骗到那个没有任何提示说明的6位验证码，剩下的条件都可以轻易获取，不需要任何身份验证。

当事人的手机卡被“劫走”后，第三方支付平台、甚至银行的安全验证都被接连突破，这一切真的仅靠掌握短信验证码就可以实现吗？

工商银行客服说，还需要卡的六位数取钱密码，如果密码、卡号和手机他完全掌握他才能做这些交易。这意味着，小许的手机卡被“劫持”之前，他的“成套”个人信息已经被攻击者掌握了。

信息安全专家张耀疆说：“个人信息在网上已经形成一个地下数据库。库里面会有大量的非常完整的个人信息链条。比如你的姓名、家庭住址、手机号、银行卡号、银行的密码，其实都在网络的黑市里面，而且是别人整理好的，不是零散的，这个就非常可怕。”

（《齐鲁晚报》2016.4.27）

三招防范“验证码攻击”

一、静态密码设置一定要复杂。其次，攻击者经常利用各种手段对短信进行伪装，并对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、“银行”等身份进行认真甄别。

二、手机离奇“瘫痪”，紧急“挂失”当先。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户。

三、短信验证码，不能告诉任何人。电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。

（《齐鲁晚报》2016.4.27）