10086这条短信要小心！回复之后眼睁睁看着钱全没了！

10086这条短信要小心！回复之后眼睁睁看着钱全没了！...

小许究竟是如何“中招”的？骗子是如何攻破他所有账户的？记者在调查中发现，一种全新的骗术已经出现并正在蔓延，不可不知、不得不防。




诡异订阅付费服务

回复验证码退订手机竟瘫痪

4月8日傍晚，小许连续收到了几条来自中国移动官方号码的短信。短信称，他已成功订阅了一项“手机报半年包”服务，并且实时扣费造成手机余额不足。

小许很纳闷，因为他根本就没有订阅这个服务。紧接着又一条短信接踵而至，内容显示，只要回复“取消+验证码”即可退订该项服务，且3分钟之内退订免费。

当小许正在琢磨“验证码”到底是什么时，手机上又收到了一条来自中国移动客服电话“10086”的短信，内容显示“您的USIM卡验证码为******（六位数字）”。

小许并未多想，便编辑了“取消+六位验证码”的短信回复了过去。原以为成功避免了一次手机用户经常碰到的“吸费业务”，但他却惊讶地发现，自己的手机突然显示“无服务”，无论重启多少次都没有响应。



支付宝一夜“归零”

网银账户皆“沦陷”

当天晚上8点左右，小许的手机在无线网络下，接连收到了支付宝的转账提示，这意味着有人在另一个终端上操作他的支付宝账户。

由于手机无法呼出挂失，情急之下，小许通过操作客户端解除了支付宝与三张银行卡的绑定，并且委托亲友拨打支付宝客服电话冻结账号。但是，当小许挂失完成后，发现支付宝没钱了，而且还在网银里跨行转账，每张银行卡余额均为零。



更令小许感到恐惧的是，第二天他发现名下的招行、工行两张储蓄卡被人绑定在另一个在线支付平台“百度钱包”上，加上小许原本在“百度钱包”绑定的另一张中国银行卡，三张卡在事发当晚均进行了资金转移操作，并最终通过招行和工行的手机银行，以“短信验证码转账”全部转入了两个陌生账号。这意味着，就连他的银行账号也被攻破了。

一条短信让小许一夜之间变得身无分文。

诈骗分子有剧本

上演“偷天换日”

从收到可疑短信，直到眼见自己的所有账户被彻底“洗劫一空”，整个过程只有3个多小时。骗子到底是通过怎样的手段“发起攻击”的？这实际上是一个“连环计”……



套取验证码是本次骗术的关键所在，骗局的核心就是“自助换卡”。

骗子在登陆移动官网后发起了“自助换卡”业务。中国移动用户直接在官方网站操作就可以更换4G手机卡。新卡立即生效，旧卡同时作废。但是，自助换卡时系统会向用户发一个二次确认的验证码，也就是小许收到短信：USIM卡六位验证码。也就是说，这个验证码可以直接把之前手机的SIM卡废掉，原来的号码将会转移到另一张SIM卡。这是设局的关键，诈骗分子制造“退订”假象，就是要拿到这张新SIM卡。




移动公司回应

移动公司表示，目前不能准确解释小许的账号是如何被他人成功登录的，但如果密码设置过于简单，或与其他安全级别较低的网站密码相同，就可能会在反复尝试下被攻破。面对此类针对短信验证码的“精准诈骗”和“组合攻击”，该如何保护自身安全？信息安全专家提示，如果只靠一个简单的静态密码，无法保证安全，下面这四招一定要记住：

静态密码首先要足够复杂，并妥善保管防止泄露。其次，攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对"运营商"、"银行"等身份的手机短信和来电进行认真甄别，冷静应对。

攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、“银行”等身份的手机短信和来电进行认真甄别，冷静应对。

如果手机通讯出现瘫痪，一定要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于"信息孤岛"时，冒名顶替机主身份窃取账户。

电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。

从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统，构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟：所谓“好的用户体验”，就像一架天平，一头是“便捷”，而另一头是任何时候都不能忽略的“安全”，这架天平的平衡一旦打破，所有的一切都会“归零”。▶咳血！肺部空洞！这东西体内有虫子，吃前一定这么做 | 黑龙江五一前后大量上市

▶紧急提醒 | 出现新型银行卡盗刷案！去超市刷卡，看到类似这个“黑盒子”一定警惕！

▶春季食物中毒事件频发！注意：这8种食物一定慎吃……

    关注 新闻夜航