整个绍兴已经传疯，一条短信就让你倾家荡产

听说电信诈骗升级了@-@...



听说电信诈骗升级了@-@

受害者长文微博截图

“因为一条短信，一夜之间，我的支付宝、所有的银行卡信息都被攻破，所有银行卡的资金全部被转移，…那是一种一无所有的绝望。”

这篇万余字的长文配发一系列截图证据，描述了当事人遭遇的全过程。文章在微博、微信平台上持续发酵，阅读转发超过780万，留言评论不断。

4月8日傍晚，挤在北京晚高峰的地铁里，受害人连续收到了几条来自中国移动官方号码的短信。短信称，他已成功订阅了一项“手机报半年包”服务，并且实时扣费造成了手机余额不足。

受害人：我这时候就纳闷了，因为我根本就没有订阅这个服务啊。紧接着就是非常诡异地又发了一条短信，显示是我只要回复取消加验证码，在3分钟之内退订免费。

当受害人正在琢磨“验证码”到底是什么，他又收到了一条来自中国移动客服电话“10086”的短信。

受害人：上面写着。您好，您的USIM卡验证码为六位数字，然后就没了，就句号。这时候我就想我要退订这个业务，他也没有跟我说验证是什么(用途)，我就按照常规的思维，就取消加验证码发给他了。

原以为成功避免了一次手机用户经常碰到的“吸费业务”，但受害人却惊讶地发现，自己的手机突然彻底瘫痪了。

受害人：重启了大概N次手机，然后它还是显示无服务。到家之后，有WIFI的时候再充值，去充了大概150块钱进去它还是没反应，这时候我就着急了。因为我手机是无服务状态，我也打不了10086的客服。

这只是麻烦的开始，当天晚上8点左右，受害人的手机在无线网络下，接连收到了支付宝的转账提示，这意味着竟然有人在另一个终端上操作他的支付宝账户。

受害人：这时候就不是诈骗，这种感觉是在抢钱。就我眼睁睁地看着他，把我的钱一笔一笔又一笔的转移，而且不是我个人操作的。

由于手机无法呼出挂失，情急之下，受害人许只能通过操作客户端解除了支付宝与三张银行卡的绑定，并且委托亲友拨打支付宝客服电话冻结账号。

受害人：因为你知道打客服(电话)是个非常缓慢的过程，它一步一步各种各样的验证，…当我挂失成功完成之后，发现我的支付宝没钱了。他不但攻破了我的支付宝，还在我网银里发生跨行转账。就发现我后来每一张银行卡里，余额都是零。
更令受害人感到恐惧的是，冻结支付宝账户并没有使自己的银行卡摆脱被劫的“命运”。他第二天才发现，自己名下的招商银行、工商银行两张储蓄卡，在他完全不知情的情况下，被人绑定在另一个在线支付平台“百度钱包”上，加上他原本在“百度钱包”绑定的另一张中国银行卡，三张卡里的钱全部转入了两个陌生账号。这意味着，就连他的银行账号也被攻破了。一条短信让他一夜之间变得身无分文。


受害人的遭遇不仅让众多网民震惊，也在通信、互联网和银行业内引发了热议。从收到可疑短信，直到眼见自己的所有账户被彻底“洗劫一空”，整个过程只有3个多小时，所有这些不可思议，都是从收到那条订阅短信开始的。
“自助换卡”是中国移动推出的一项在线服务，通过这项业务用户不必跑营业厅，直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效，旧卡同时作废。

经过“自助换卡”，相当于受害者的手机在那一刻更换了机主，落到了别人手里。中国移动北京分公司表示，目前仍不能准确解释他的账号是如何被他人成功登录的，但如果密码设置过于简单，或与其他安全级别较低的网站密码相同，就可能会在反复尝试下被攻破。

中国移动北京公司业务专家孙鹏：第一道门是诈骗分子把门户网站的密码破解掉了，第二道门是他启动了换卡的流程，点击确认，我要发起换卡了，系统就会向他发一个二次确认的验证码，把这个验证码再填回系统之后，才会发起后期的换卡工作。
攻击者要换卡，必须先知道验证码。当时受害者收到的这条来自10086的验证码，正是攻击者在网上发起换卡后，系统自动发到他手机上的。但在这条20多字的短信中，并未说明验证码的用途。

受害人：可以说，他是以极其随便的态度来发给我，就告诉我这是个验证码，普通人没有接触过这方面信息的时候，是不知道它是有什么用处的。


“USIM卡验证码”到底是什么？攻击者正是在这个绝大多数用户不清楚的“信息盲点”上做文章，“嫁接”起了两项中国移动的官方业务，编造了整个骗局的“剧本”：

先是破解密码登录官网，为当事人订阅增值业务并实现扣费，这是在营造恐慌气氛；再通过发送一条诈骗短信，告诉当事人可以免费退订，但需要立即回复“验证码”；趁着当事人正急于退订却搞不清“验证码”在哪里，攻击者又在中国移动网上营业厅发起换卡业务，使系统自动向当事人发送10086短信的“验证码”，这种及时跟进的“雪中送炭”，更会让当事人对骗局的“剧本”深信不疑；最终，面对这个没有任何安全提示的“验证码”，当事人会很容易顺着之前“剧本”的逻辑，积极主动地把它回复到到攻击者手中。利用当事人回复的“验证码”，攻击者完成“自助换卡”后，会利用成功“劫持”的手机使用权接收各类短信验证码，进一步对受害者的财产账户发动攻击。

受害人的经历并非个例，不少有着同样遭遇的网友主动与其联系，讲述自己被攻击的经过。信息安全专家把此类电信诈骗称作“补卡攻击”。调查发现：一些本为方便用户而开发的业务，却因用户普及程度较低，成了被攻击者“盯上”的充满风险的“后门”。

中国移动北京公司业务专家孙鹏：如果您是中国移动的客户，您现在可以到营业厅，免费领取一张，或者说是我们通过邮寄的方式给您寄过去。你只要是中国移动的客户，我们就会给您一张白卡。白卡本身是不需要做验证的。

信息安全专家 孟卓：曾经可能线下还要验一下身份证我们还要面对面沟通交谈，但是在网上呢，可能就会有这种安全隐患在里面，现在你也永远不知道是一个什么样的人，他在哪里在研究你的系统，在尝试着发现你系统里的一些问题。

回溯受害人的遭遇我们可以发现，在构成这场“连环”骗局的几条短信中10086是中国移动统一客服号码、10658000是中国移动手机报号码，令当事人深信不疑。就连此次事件中唯一一条由攻击者编造的诈骗短信，也是利用“139邮箱”的一项“发短信”功能发出的。

因此，139邮箱的“发短信”功能被攻击者所用，成为骗局的重要一环。而这项中国移动已经推出8年的免费功能，很少有人真正了解它的操作细节，使用率也不高。

信息安全专家张耀疆：所谓的冷门业务，它有时效性的。按道理可能在某一时期它就有某一时期的一个作用，但实际上这个(行业)发展非常快，随着时间的推延，其实有些东西甚至你自己都忘掉了。就是一般不太用，但是懂的人他就会打它主意，利用它。有时候时间长了，它就变成后门了。


当事人的手机卡被“劫走”后，第三方支付平台、甚至银行的安全验证都被接连突破，这一切真的仅靠掌握短信验证码就可以实现吗？

这意味着，尽管短信验证码是每一步攻击的关键，但攻击者还需要受害者的银行卡号等更多的信息。因而可以断定，小许的手机卡被“劫持”之前，他的“成套”个人信息已经被攻击者掌握了。

信息安全专家 张耀疆：个人信息在网上通过各种各样的方式去猜测碰撞，最终汇集到一起，形成一个地下的一个数据库。那么这个库里面会有大量的非常完整的个人信息的一个链条。比如你的姓名、家庭住址、手机号、银行卡号、银行的密码，其实都在网络的黑市里面，而且是别人整理好的，不是零散的，这个就非常可怕。
近年来，在个人信息泄露交易愈发猖獗的大背景下，单一的静态信息如账号、密码已经不能保证各类身份验证，尤其是在线支付的安全。因此从银行开始，越来越多行业的安全策略采用了“双因素认证”的理念。简单的说，就是“用户自己知道的信息”这把“钥匙”已经不安全了，必须用随着时间、事件等因素随机产生的一次性密码再加上“另一把钥匙”，同时拥有“两把钥匙”的人才能开一把锁。而这把“新钥匙”从最初的U盾、令牌开始，越来越多的“集成”到了智能手机上，“短信验证码”已经成为如今在线支付“双因素认证”的“必选项”。

信息安全专家张耀疆：验证码这个东西，它可以做可各种各样的动作，比如说找回你的账号密码，那么这样就导致什么呢？其实你个人的账号密码和验证码就变为一体了，它变成一个因素了。那么原来设计当中的双因素的功效就大大的降低。就把所有的鸡蛋都放在这么一个篮子里面，导致了种种的问题。一、静态密码设置一定要复杂

其次，攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对"运营商"、"银行"等身份的手机短信和来电进行认真甄别，冷静应对。

二、遭遇“干扰信息”仔细甄别莫慌张

每个人手机上，可能都会出现过各种的干扰信息，那么如果在我们风险意识并不是很强的情况下，很容易被这种干扰信息所误导，就会产生后续的一系列的损失。

三、手机离奇“瘫痪” 紧急“挂失”当先

另外，如果手机通讯出现瘫痪，一定要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于"信息孤岛"时，冒名顶替机主身份窃取账户。

四、短信验证码 不能告诉任何人！！！

最最重要的是：短信验证码不要告诉任何人！电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。

支付宝安全发言人表示，基本上现在市面上任何的验证码，它都不会有再次上行的过程。也就是说它只会单向地告诉你，它的验证码是多少，不会再次要求你，说你把你的验证码发送给它。所以说，任何问你要验证码的都是骗子。

从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统，构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟：所谓“好的用户体验”，就像一架天平，一头是“便捷”，而另一头是任何时候都不能忽略的“安全”，这架天平的平衡一旦打破，所有的一切都会“归零”。短信验证码是我们每个人都常常接触的安全验证方式，但也因其私密性，它肩负着守护我们许多重要财产或隐私的重任。在如今个人信息易于查找的今天，它更是几乎唯一的保护锁和生命线。小编在这郑重提示大家:千万别将它随意泄露。验证码，它是一条单行的轨道，你不需要买回程票。

    关注 绍兴同城点点