?　　半島全媒體記者　景毅

　　前些天,一起“離奇”電信詐騙案引發(fā)廣泛關(guān)注。一位何姓先生的手機(jī)號莫名其妙成為別人的“副號”,并導(dǎo)致其一夜間被盜刷5萬多元。近日,最新的調(diào)查結(jié)果顯示,不法分子是通過破解手機(jī)云服務(wù)平臺(tái),回復(fù)副號業(yè)務(wù)申請短信,從而實(shí)現(xiàn)遠(yuǎn)程將受害人手機(jī)號變副號,再通過攔截短信驗(yàn)證碼,在互聯(lián)網(wǎng)金融平臺(tái)進(jìn)行消費(fèi)以及貸款等業(yè)務(wù)。云服務(wù)、副號、自助換卡、積分兌換……記者調(diào)查發(fā)現(xiàn),這些原本便民的業(yè)務(wù)因用戶普及程度不高,反而成為不法分子實(shí)施詐騙的“幫兇”。保證用戶安全的最后一道防線“短信驗(yàn)證碼”在這些冷門業(yè)務(wù)的掩護(hù)下屢屢失守,一起起“離奇”的電信詐騙案頻頻出現(xiàn)。

　　

　　一覺醒來,5萬多元被盜刷

　　在互聯(lián)網(wǎng)這個(gè)虛擬世界里,證明“你”就是“你”的所有證據(jù),只有你的手機(jī)號、驗(yàn)證碼、郵箱、身份證號等有限的幾個(gè)證據(jù)。如果這些信息被不法分子掌握,對方就會(huì)在這個(gè)虛擬空間里變成你,甚至比你還像你,讓真正的你瞬間傾家蕩產(chǎn)。手機(jī)用戶何先生就遭遇了一場身份被盜的離奇事件。

　　2月3日,剛起床的何先生發(fā)現(xiàn)自己的手機(jī)處于遠(yuǎn)程鎖定狀態(tài),更奇怪的是,當(dāng)他登錄電腦解鎖后發(fā)現(xiàn),他的手機(jī)在凌晨被不斷的銷毀資料并鎖定。他的兩家電商平臺(tái)賬戶被人登錄,并以“白條”的形式下單購買了2臺(tái)筆記本和2臺(tái)手機(jī),其一張不常用銀行卡申請了兩筆共五萬多元的貸款,貸款到賬后又被迅速轉(zhuǎn)走。

　　何先生表示,自己的手機(jī)曾收到一條業(yè)務(wù)短信,通知其手機(jī)號被一個(gè)陌生號碼以設(shè)置副號的形式接管了。

　　記者從運(yùn)營商處了解到,該業(yè)務(wù)一項(xiàng)一張SIM卡多個(gè)號碼業(yè)務(wù),用戶可以開通虛擬副號,也可以綁定已有的實(shí)體號碼,主副號隨時(shí)開關(guān)切換。開通該業(yè)務(wù)后,用戶在網(wǎng)購、交友、注冊賬號時(shí),可以用副號,隱藏主號,從而避免遭到電話騷擾甚至電信詐騙。

　　記者進(jìn)一步了解到,如果其中一個(gè)號碼關(guān)機(jī)或者無法接通,相關(guān)電話及短信信息將自動(dòng)發(fā)送到另一個(gè)號碼上。不法分子正是利用這一點(diǎn),將原本發(fā)送到何先生手機(jī)上的短信驗(yàn)證碼攔截并發(fā)送到自己的手機(jī)上。

　　然而,記者體驗(yàn)發(fā)現(xiàn),想要完成副號設(shè)置,必須要機(jī)主通過并回復(fù)驗(yàn)證短信,而何先生再三強(qiáng)調(diào),在此期間,自己從未對手機(jī)進(jìn)行過任何操作。

　　近日,經(jīng)運(yùn)營商公司及手機(jī)廠商聯(lián)合調(diào)查發(fā)現(xiàn),不法分子是利用手機(jī)的云服務(wù)業(yè)務(wù)和副號業(yè)務(wù),遠(yuǎn)程操控了何先生的手機(jī),進(jìn)而完成盜刷。

　　據(jù)了解,由于何先生的手機(jī)云服務(wù)設(shè)置密碼過于簡單,被不法分子攻破。此后不法分子再利用云服務(wù)的“回復(fù)短信”接口,遠(yuǎn)程對何先生收到的副號申請短信進(jìn)行回復(fù),從而成功在機(jī)主不知情的情況下將其手機(jī)號設(shè)置成了副號。完成這一步后,不法分子繼續(xù)利用云服務(wù)的“找回手機(jī)—銷毀資料”功能,迫使何先生手機(jī)持續(xù)處于離網(wǎng)狀態(tài)。不法分子再利用已掌握的何先生個(gè)人信息,登錄各大金融平臺(tái),平臺(tái)原本發(fā)給何先生的驗(yàn)證碼也就順利發(fā)到了不法分子的手機(jī)上,進(jìn)而完成盜刷和貸款。

　　回條短信,男子瞬間破產(chǎn)

　　事后,云服務(wù)提供商表示將在遠(yuǎn)程管理功能中關(guān)閉“回復(fù)短信”接口,以及采用了加強(qiáng)對弱密碼和異常登錄情況的檢測與風(fēng)險(xiǎn)控制；對云服務(wù)遠(yuǎn)程管理手機(jī)的重要功能開啟密保問題或短信驗(yàn)證碼的二次驗(yàn)證等措施。運(yùn)營商方面也表示,鑒于此類事件,今后將進(jìn)一步提升業(yè)務(wù)安全級別。

　　有不少用戶擔(dān)心,假如以后收到類似的冷門業(yè)務(wù)短信又該如何處理?

　　去年4月初,許先生也遭遇了一場隱蔽在冷門業(yè)務(wù)之中的電信詐騙。許先生的手機(jī)忽然收到一條短信:來源為“1065800”的號碼發(fā)來了一條短信雜志。接著,來源為運(yùn)營商的號碼發(fā)來了一條短信,提醒他開通了中廣財(cái)經(jīng)業(yè)務(wù),同時(shí)發(fā)來的還有一條“USIM卡6位驗(yàn)證碼******”的短信。

　　正在許先生納悶的時(shí)候,另一個(gè)號碼發(fā)來了這樣一條短信:您成功訂閱了中廣財(cái)經(jīng)40元/半年,3分鐘退訂免費(fèi)。如需退訂請編輯短信‘取消+校驗(yàn)碼’至本條短信退訂。”

　　由于這幾條短信接連而至,為了防止自己被訂業(yè)務(wù),許先生便按照最后一條短信的要求,將剛剛收到的驗(yàn)證碼外加取消二字發(fā)給了來信方。

　　然而短信發(fā)出后不久,許先生的手機(jī)就顯示沒有信號,等他發(fā)現(xiàn)異常并登錄網(wǎng)站查詢時(shí),其支付寶及三張銀行卡內(nèi)的數(shù)萬元存款已被轉(zhuǎn)走。

　　360手機(jī)安全專家陳迪告訴記者,整個(gè)騙局的關(guān)鍵就在于這個(gè)“USIM卡驗(yàn)證碼”。詐騙分子需要預(yù)先準(zhǔn)備一張空白的4G　USIM卡。目前,在網(wǎng)上可以輕松買到一張空白的4G　USIM卡。然后向運(yùn)營商申請自助更換USIM卡業(yè)務(wù)。這個(gè)業(yè)務(wù)的完成需要被更換的卡主用收到的驗(yàn)證碼證明身份并同意換卡。于是騙子借退訂電信增值業(yè)務(wù)迷惑受害者回復(fù)驗(yàn)證碼到騙子設(shè)定的號碼。受害者以為自己是在退訂業(yè)務(wù),實(shí)際上已經(jīng)把最重要的驗(yàn)證信息給了騙子。騙子利用這個(gè)驗(yàn)證碼,直接在異地復(fù)制一張USIM卡,從而導(dǎo)致真正的USIM卡失效。這樣一來,機(jī)主的手機(jī)號碼就會(huì)被詐騙分子完全控制。事發(fā)后,運(yùn)營商暫停網(wǎng)站的自助換卡業(yè)務(wù)。

　　驗(yàn)證碼,騙子追逐的核心

　　近年來,在個(gè)人信息泄露交易愈發(fā)猖獗的大背景下,單一的靜態(tài)信息如身份證號、手機(jī)號、賬號、密碼已經(jīng)不能保證各類身份驗(yàn)證,尤其是在線支付的安全。因此從銀行開始,越來越多行業(yè)的安全策略采用了“雙因素認(rèn)證”的理念。而這把“新鑰匙”從最初的U盾、令牌開始,越來越多的“集成”到了智能手機(jī)上,“短信驗(yàn)證碼”已經(jīng)成為如今在線支付的必備項(xiàng)。　

　　陳迪介紹,短信驗(yàn)證碼具有用戶體驗(yàn)好,成本相對較低的優(yōu)勢,但其以短信發(fā)送單次密碼的方式,安全風(fēng)險(xiǎn)顯而易見。由于業(yè)務(wù)系統(tǒng)與用戶手機(jī)短信之間單向的信息傳遞,且驗(yàn)證碼均是通過明文進(jìn)行傳遞,極易發(fā)生短信通道被劫持、手機(jī)盜用、山寨釣魚網(wǎng)站和手機(jī)中木馬病毒的問題,進(jìn)而引發(fā)驗(yàn)證碼劫持、非授權(quán)訪問等安全威脅。

　　“要是我熟悉的業(yè)務(wù),我肯定不會(huì)亂點(diǎn)。”在太平路工作的張先生在接受記者回訪時(shí)感慨道。此前,張先生因?yàn)檎`點(diǎn)了偽基站發(fā)來的一條“積分換獎(jiǎng)金”的短信鏈接,由于不了解該業(yè)務(wù),一向謹(jǐn)慎的張先生一時(shí)好奇便隨手點(diǎn)了鏈接。盡管他及時(shí)發(fā)現(xiàn)了彈出的網(wǎng)頁有問題,但其并未意識(shí)到,他的手機(jī)已經(jīng)被悄悄安裝了木馬,導(dǎo)致其隨后收到的銀行轉(zhuǎn)賬驗(yàn)證碼被自動(dòng)轉(zhuǎn)發(fā)給了木馬作者,張先生卡里的7800元存款被全部轉(zhuǎn)走。-類似張先生這樣的詐騙事件相當(dāng)普遍,不法分子使出各種招式,最終目標(biāo)都是騙得驗(yàn)證碼。

　　《2016年中國電信詐騙形勢分析報(bào)告》顯示,通過用戶標(biāo)記及吐槽信息統(tǒng)計(jì)發(fā)現(xiàn),在用戶接到所有詐騙信息及詐騙電話中,虛假的金融理財(cái)詐騙最多,占43.2%；其次是身份冒充詐騙,占25.2%。而在2016年高發(fā)的身份冒充類詐騙中,冒充電信運(yùn)營商的詐騙數(shù)量最多,占比為26.0%。

　　在獵網(wǎng)平臺(tái)2016年接到的手機(jī)端用戶舉報(bào)數(shù)量中,有4265人是通過銀行轉(zhuǎn)賬、第三方支付、手機(jī)充值等方式給不法分子轉(zhuǎn)賬,占比66.4%；其次,有1132人在虛假釣魚網(wǎng)站上支付,占比17.6%；在釣魚網(wǎng)站填寫賬號密碼等信息后,被盜刷的用戶有605人,占比9.4%；安裝木馬軟件從而被盜刷的用戶有284人,占比4.4%；掃二維碼支付的有107人,占比1.7%；主動(dòng)告知驗(yàn)證碼從而被盜刷的有28人,占比0.4%。

　　切莫忽視手機(jī)異常情況

　　陳迪坦言,面對此類事件,無論是運(yùn)營商,云服務(wù)平臺(tái),還是支付平臺(tái)、銀行方面,都有責(zé)任去提升防護(hù)壁壘,保障消費(fèi)者的利益。

　　安全專家建議,廣大網(wǎng)友應(yīng)為各種網(wǎng)絡(luò)賬號設(shè)置高強(qiáng)度密碼,盡量使用大小寫字母、數(shù)字和特殊符號的組合。此外,不同網(wǎng)站采用不同的密碼,把盜號風(fēng)險(xiǎn)降到最低。

　　互聯(lián)網(wǎng)金融平臺(tái)方面,提醒用戶盡量不要去注冊小型不安全的網(wǎng)站,避免個(gè)人信息被盜用；在不同的互聯(lián)網(wǎng)平臺(tái)盡量使用不同的登錄密碼和支付密碼,避免使用出生年月,或者比較簡單的數(shù)字排列作為賬戶密碼；在公共場合不要輕易連接免費(fèi)WiFi,不要點(diǎn)擊不明來路的短信鏈接,以免被木馬病毒入侵。

　　從支付企業(yè)的角度來說,應(yīng)該充分意識(shí)到短信驗(yàn)證碼的安全性缺陷,一定要查處自家產(chǎn)品的信任鏈,不能把各類安全業(yè)務(wù)如修改密碼和改綁手機(jī)證書的最后條件全靠短信驗(yàn)證碼,另外用多種驗(yàn)證方式來保護(hù)用戶的安全,如安全問題、指紋識(shí)別、人臉識(shí)別都是可以和短信驗(yàn)證碼互為補(bǔ)充來進(jìn)行身份驗(yàn)證的。

　　“不要把雞蛋都放在一個(gè)籃子里,也就是說不要把所有的‘鑰匙’都留給手機(jī),一旦手機(jī)被人攻破,所有的防線都將瓦解。”陳迪表示。

　　最重要的是,用戶要保護(hù)好自己的手機(jī)號,運(yùn)營商服務(wù)密碼一定要牢記,不要透露給任何人。但凡涉及短信驗(yàn)證碼的業(yè)務(wù)都要格外留意,千萬不要將驗(yàn)證碼以任何形式轉(zhuǎn)發(fā)或者告知第三方。如果手機(jī)出現(xiàn)無故停機(jī)狀況,建議用戶第一時(shí)間聯(lián)系手機(jī)運(yùn)營商,切莫忽視手機(jī)異常,謹(jǐn)防手機(jī)號被不法分子控制。若用戶發(fā)現(xiàn)互聯(lián)網(wǎng)金融賬戶異常,要及時(shí)報(bào)警,并第一時(shí)間撥打客服熱線反饋問題。

　　 [編輯: 張珍珍]