半島全媒體記者 景毅
前些天,一起“離奇”電信詐騙案引發廣泛關注。一位何姓先生的手機號莫名其妙成為別人的“副號”,並導致其一夜間被盜刷5萬多元。近日,最新的調查結果顯示,不法分子是通過破解手機雲服務平臺,回復副號業務申請短信,從而實現遠端將受害人手機號變副號,再通過攔截短信驗證碼,在網際網路金融平臺進行消費以及貸款等業務。雲服務、副號、自助換卡、積分兌換……記者調查發現,這些原本便民的業務因用戶普及程度不高,反而成為不法分子實施詐騙的“幫兇”。保證用戶安全的最後一道防線“短信驗證碼”在這些冷門業務的掩護下屢屢失守,一起起“離奇”的電信詐騙案頻頻出現。
一覺醒來,5萬多元被盜刷
在網際網路這個虛擬世界裏,證明“你”就是“你”的所有證據,只有你的手機號、驗證碼、郵箱、身份證號等有限的幾個證據。如果這些資訊被不法分子掌握,對方就會在這個虛擬空間裏變成你,甚至比你還像你,讓真正的你瞬間傾家蕩産。手機用戶何先生就遭遇了一場身份被盜的離奇事件。
2月3日,剛起床的何先生發現自己的手機處於遠端鎖定狀態,更奇怪的是,當他登錄電腦解鎖後發現,他的手機在淩晨被不斷的銷毀資料並鎖定。他的兩家電商平臺賬戶被人登錄,並以“白條”的形式下單購買了2台筆電和2台手機,其一張不常用銀行卡申請了兩筆共五萬多元的貸款,貸款到賬後又被迅速轉走。
何先生表示,自己的手機曾收到一條業務短信,通知其手機號被一個陌生號碼以設置副號的形式接管了。
記者從運營商處了解到,該業務一項一張SIM卡多個號碼業務,用戶可以開通虛擬副號,也可以綁定已有的實體號碼,主副號隨時開關切換。開通該業務後,用戶在網購、交友、註冊賬號時,可以用副號,隱藏主號,從而避免遭到電話騷擾甚至電信詐騙。
記者進一步了解到,如果其中一個號碼關機或者無法接通,相關電話及短信資訊將自動發送到另一個號碼上。不法分子正是利用這一點,將原本發送到何先生手機上的短信驗證碼攔截併發送到自己的手機上。
然而,記者體驗發現,想要完成副號設置,必須要機主通過並回復驗證短信,而何先生再三強調,在此期間,自己從未對手機進行過任何操作。
近日,經運營商公司及手機廠商聯合調查發現,不法分子是利用手機的雲服務業務和副號業務,遠端操控了何先生的手機,進而完成盜刷。
據了解,由於何先生的手機雲服務設置密碼過於簡單,被不法分子攻破。此後不法分子再利用雲服務的“回復短信”介面,遠端對何先生收到的副號申請短信進行回復,從而成功在機主不知情的情況下將其手機號設置成了副號。完成這一步後,不法分子繼續利用雲服務的“找回手機—銷毀資料”功能,迫使何先生手機持續處於離網狀態。不法分子再利用已掌握的何先生個人資訊,登錄各大金融平臺,平臺原本發給何先生的驗證碼也就順利發到了不法分子的手機上,進而完成盜刷和貸款。
回條短信,男子瞬間破産
事後,雲服務提供商表示將在遠端管理功能中關閉“回復短信”介面,以及採用了加強對弱密碼和異常登錄情況的檢測與風險控制;對雲服務遠端管理手機的重要功能開啟密保問題或短信驗證碼的二次驗證等措施。運營商方面也表示,鋻於此類事件,今後將進一步提升業務安全級別。
有不少用戶擔心,假如以後收到類似的冷門業務短信又該如何處理?
去年4月初,許先生也遭遇了一場隱蔽在冷門業務之中的電信詐騙。許先生的手機忽然收到一條短信:來源為“1065800”的號碼發來了一條短信雜誌。接著,來源為運營商的號碼發來了一條短信,提醒他開通了中廣財經業務,同時發來的還有一條“USIM卡6位驗證碼******”的短信。
正在許先生納悶的時候,另一個號碼發來了這樣一條短信:您成功訂閱了中廣財經40元/半年,3分鐘退訂免費。如需退訂請編輯短信‘取消+校驗碼’至本條短信退訂。”
由於這幾條短信接連而至,為了防止自己被訂業務,許先生便按照最後一條短信的要求,將剛剛收到的驗證碼外加取消二字發給了來信方。
然而短信發出後不久,許先生的手機就顯示沒有信號,等他發現異常並登錄網站查詢時,其支付寶及三張銀行卡內的數萬元存款已被轉走。
360手機安全專家陳迪告訴記者,整個騙局的關鍵就在於這個“USIM卡驗證碼”。詐騙分子需要預先準備一張空白的4G USIM卡。目前,在網上可以輕鬆買到一張空白的4G USIM卡。然後向運營商申請自助更換USIM卡業務。這個業務的完成需要被更換的卡主用收到的驗證碼證明身份並同意換卡。於是騙子借退訂電信增值業務迷惑受害者回復驗證碼到騙子設定的號碼。受害者以為自己是在退訂業務,實際上已經把最重要的驗證資訊給了騙子。騙子利用這個驗證碼,直接在異地複製一張USIM卡,從而導致真正的USIM卡失效。這樣一來,機主的手機號碼就會被詐騙分子完全控制。事發後,運營商暫停網站的自助換卡業務。
驗證碼,騙子追逐的核心
近年來,在個人資訊洩露交易愈發猖獗的大背景下,單一的靜態資訊如身份證號、手機號、賬號、密碼已經不能保證各類身份驗證,尤其是線上支付的安全。因此從銀行開始,越來越多行業的安全策略採用了“雙因素認證”的理念。而這把“新鑰匙”從最初的U盾、令牌開始,越來越多的“整合”到了智慧手機上,“短信驗證碼”已經成為如今線上支付的必備項。
陳迪介紹,短信驗證碼具有用戶體驗好,成本相對較低的優勢,但其以短信發送單次密碼的方式,安全風險顯而易見。由於業務系統與用戶手機短信之間單向的資訊傳遞,且驗證碼均是通過明文進行傳遞,極易發生短信通道被劫持、手機盜用、山寨釣魚網站和手機中木馬病毒的問題,進而引發驗證碼劫持、非授權訪問等安全威脅。
“要是我熟悉的業務,我肯定不會亂點。”在太平路工作的張先生在接受記者回訪時感慨道。此前,張先生因為誤點了偽基站發來的一條“積分換獎金”的短信連結,由於不了解該業務,一向謹慎的張先生一時好奇便隨手點了連結。儘管他及時發現了彈出的網頁有問題,但其並未意識到,他的手機已經被悄悄安裝了木馬,導致其隨後收到的銀行轉賬驗證碼被自動轉發給了木馬作者,張先生卡裏的7800元存款被全部轉走。-類似張先生這樣的詐騙事件相當普遍,不法分子使出各種招式,最終目標都是騙得驗證碼。
《2016年中國電信詐騙形勢分析報告》顯示,通過用戶標記及吐槽資訊統計發現,在用戶接到所有詐騙資訊及詐騙電話中,虛假的金融理財詐騙最多,佔43.2%;其次是身份冒充詐騙,佔25.2%。而在2016年高發的身份冒充類詐騙中,冒充電信運營商的詐騙數量最多,佔比為26.0%。
在獵網平臺2016年接到的手機端用戶舉報數量中,有4265人是通過銀行轉賬、第三方支付、手機充值等方式給不法分子轉賬,佔比66.4%;其次,有1132人在虛假釣魚網站上支付,佔比17.6%;在釣魚網站填寫賬號密碼等資訊後,被盜刷的用戶有605人,佔比9.4%;安裝木馬軟體從而被盜刷的用戶有284人,佔比4.4%;掃二維碼支付的有107人,佔比1.7%;主動告知驗證碼從而被盜刷的有28人,佔比0.4%。
切莫忽視手機異常情況
陳迪坦言,面對此類事件,無論是運營商,雲服務平臺,還是支付平臺、銀行方面,都有責任去提升防護壁壘,保障消費者的利益。
安全專家建議,廣大網友應為各種網路賬號設置高強度密碼,儘量使用大小寫字母、數字和特殊符號的組合。此外,不同網站採用不同的密碼,把盜號風險降到最低。
網際網路金融平臺方面,提醒用戶儘量不要去註冊小型不安全的網站,避免個人資訊被盜用;在不同的網際網路平臺儘量使用不同的登錄密碼和支付密碼,避免使用出生年月,或者比較簡單的數字排列作為賬戶密碼;在公共場合不要輕易連接免費WiFi,不要點擊不明來路的短信連結,以免被木馬病毒入侵。
從支付企業的角度來説,應該充分意識到短信驗證碼的安全性缺陷,一定要查處自家産品的信任鏈,不能把各類安全業務如修改密碼和改綁手機證書的最後條件全靠短信驗證碼,另外用多種驗證方式來保護用戶的安全,如安全問題、指紋識別、人臉識別都是可以和短信驗證碼互為補充來進行身份驗證的。
“不要把雞蛋都放在一個籃子裏,也就是説不要把所有的‘鑰匙’都留給手機,一旦手機被人攻破,所有的防線都將瓦解。”陳迪表示。
最重要的是,用戶要保護好自己的手機號,運營商服務密碼一定要牢記,不要透露給任何人。但凡涉及短信驗證碼的業務都要格外留意,千萬不要將驗證碼以任何形式轉發或者告知第三方。如果手機出現無故停機狀況,建議用戶第一時間聯繫手機運營商,切莫忽視手機異常,謹防手機號被不法分子控制。若用戶發現網際網路金融賬戶異常,要及時報警,並第一時間撥打客服熱線反饋問題。
