新聞 > 民生 > 正文

大陸的一條簡訊一個驗證碼 一夜之間「傾家蕩產」

最近,一篇受害人自述被騙經歷的長文在網絡上廣為流傳。作者稱,由於回復了一條簡訊,他的支付寶、銀行卡以及百度錢包里所有的資金一夜之間被「洗劫一空」。真相究竟如何?央視記者在調查中發現,一種全新的騙術已經出現並正在蔓延,我們不可不知、不得不防。

一條簡訊一夜之間「傾家蕩產」

受害者長文微博截圖

「因為一條簡訊,一夜之間,我的支付寶、所有的銀行卡信息都被攻破,所有銀行卡的資金全部被轉移,…那是一種一無所有的絕望。」

這篇萬餘字的長文配發一系列截圖證據,描述了當事人遭遇的全過程。文章在微博、微信平台上持續發酵,閱讀轉發超過780萬,留言評論不斷。

經過多方聯繫,記者找到了當事人小許,一名參加工作不久的大學畢業生。「漂」在北京辛苦掙來的所有積蓄說沒就沒了,至今令他心有餘悸。

受害人小許:一夜之間你所有錢財都一無所有。你能明白那種恐怖和崩潰的心理嗎?都不是說難過,是恐懼和崩潰,我覺得我之前做的所有努力都是白費的。

退訂簡訊暗藏玄機

4月8日傍晚,擠在北京晚高峰的地鐵里,小許連續收到了幾條來自中國移動官方號碼的簡訊。簡訊稱,他已成功訂閱了一項「手機報半年包」服務,並且實時扣費造成了手機餘額不足。

受害人小許:我這時候就納悶了,因為我根本就沒有訂閱這個服務啊。緊接著就是非常詭異地又發了一條簡訊,顯示是我只要回復取消加驗證碼,在3分鐘之內退訂免費。

當小許正在琢磨「驗證碼」到底是什麼,他又收到了一條來自中國移動客服電話「10086」的簡訊。

受害人小許:上面寫著。您好,您的USIM卡驗證碼為六位數字,然後就沒了,就句號。這時候我就想我要退訂這個業務,他也沒有跟我說驗證是什麼(用途),我就按照常規的思維,就取消加驗證碼發給他了。

原以為成功避免了一次手機用戶經常碰到的「吸費業務」,但小許卻驚訝地發現,自己的手機突然徹底癱瘓了。

受害人小許:重啟了大概N次手機,然後它還是顯示無服務。到家之後,有WIFI的時候再儲值,去充了大概150塊錢進去它還是沒反應,這時候我就著急了。因為我手機是無服務狀態,我也打不了10086的客服。

在線遭劫!支付寶一夜「歸零」

這只是麻煩的開始,當天晚上8點左右,小許的手機在無線網絡下,接連收到了支付寶的轉帳提示,這意味著竟然有人在另一個終端上操作他的支付寶帳戶。

受害人小許:這時候就不是詐騙,這種感覺是在搶錢。就我眼睜睜地看著他,把我的錢一筆一筆又一筆的轉移,而且不是我個人操作的。

由於手機無法呼出掛失,情急之下,小許只能通過操作客戶端解除了支付寶與三張銀行卡的綁定,並且委託親友撥打支付寶客服電話凍結帳號。

受害人小許:因為你知道打客服(電話)是個非常緩慢的過程,它一步一步各種各樣的驗證,…當我掛失成功完成之後,發現我的支付寶沒錢了。他不但攻破了我的支付寶,還在我網銀里發生跨行轉帳。就發現我後來每一張銀行卡里,餘額都是零。

百度錢包「被偷」網銀帳戶「淪陷」

更令小許感到恐懼的是,凍結支付寶帳戶並沒有使自己的銀行卡擺脫被劫的「命運」。他第二天才發現,自己名下的招商銀行、工商銀行兩張儲蓄卡,在他完全不知情的情況下,被人綁定在另一個在線支付平台「百度錢包」上,加上小許原本在「百度錢包」綁定的另一張中國銀行卡,三張卡里的錢全部轉入了兩個陌生帳號。這意味著,就連他的銀行帳號也被攻破了。一條簡訊讓他一夜之間變得身無分文。

「嫁接」移動業務精準「劫持」手機

小許的遭遇不僅讓眾多網民震驚,也在通信、網際網路和銀行業內引發了熱議。從收到可疑簡訊,直到眼見自己的所有帳戶被徹底「洗劫一空」,整個過程只有3個多小時,所有這些不可思議,都是從收到那條訂閱簡訊開始的。記者從簡訊入手展開了調查。

明明小許沒有訂閱,為何會收到訂閱簡訊?根據中國移動北京分公司的內部查證:4月8日17點54分,有人通過海南海口的一個IP位址,以小許的手機號成功登錄了北京移動官方網站,不僅發起了手機報訂閱,還在18點13分成功辦理了一項名為「自助換卡」的業務。

自助換卡:「雙重關口」皆被攻破

「自助換卡」是中國移動推出的一項在線服務,通過這項業務用戶不必跑營業廳,直接通過在官方網站操作就可以更換4G手機卡。新卡立即生效,舊卡同時作廢。

經過「自助換卡」,相當於小許的手機在那一刻更換了機主,落到了別人手裡。中國移動北京分公司表示,目前仍不能準確解釋小許的帳號是如何被他人成功登錄的,但如果密碼設置過於簡單,或與其他安全級別較低的網站密碼相同,就可能會在反覆嘗試下被攻破。

中國移動北京公司業務專家孫鵬:第一道門是詐騙分子把入口網站的密碼破解掉了,第二道門是他啟動了換卡的流程,點擊確認,我要發起換卡了,系統就會向他發一個二次確認的驗證碼,把這個驗證碼再填回系統之後,才會發起後期的換卡工作。

「致命」漏洞:關鍵信息缺乏關鍵提示

攻擊者要換卡,必須先知道驗證碼。當時小許收到的這條來自10086的驗證碼,正是攻擊者在網上發起換卡後,系統自動發到小許手機上的。但在這條20多字的簡訊中,並未說明驗證碼的用途。

受害人小許:可以說,他是以極其隨便的態度來發給我,就告訴我這是個驗證碼,普通人沒有接觸過這方面信息的時候,是不知道它是有什麼用處的。

騙局揭秘:利用「信息盲點」編造「劇本」

「USIM卡驗證碼」到底是什麼?攻擊者正是在這個絕大多數用戶不清楚的「信息盲點」上做文章,「嫁接」起了兩項中國移動的官方業務,編造了整個騙局的「劇本」:

先是破解密碼登錄官網,為當事人訂閱增值業務並實現扣費,這是在營造恐慌氣氛;再通過發送一條詐騙簡訊,告訴當事人可以免費退訂,但需要立即回復「驗證碼」;趁著當事人正急於退訂卻搞不清「驗證碼」在哪裡,攻擊者又在中國移動網上營業廳發起換卡業務,使系統自動向當事人發送10086簡訊的「驗證碼」,這種及時跟進的「雪中送炭」,更會讓當事人對騙局的「劇本」深信不疑;最終,面對這個沒有任何安全提示的「驗證碼」,當事人會很容易順著之前「劇本」的邏輯,積極主動地把它回復到到攻擊者手中。利用當事人回復的「驗證碼」,攻擊者完成「自助換卡」後,會利用成功「劫持」的手機使用權接收各類簡訊驗證碼,進一步對受害者的財產帳戶發動攻擊。

受害人小許:手機號不僅僅是你的通信工具。它是你在網際網路上的唯一身份憑證,意味著一旦你失去你這個手機號的控制權,那你這個人就被抹掉了。因為我丟失了那個手機號。其實在那一晚上我是沒有身份的在網際網路上,我的身份被另外一個人取代了。

風險失控:「冷門」業務變「後門」

小許的經歷並非個例,不少有著同樣遭遇的網友主動與小許聯繫,講述自己被攻擊的經過。資訊安全專家把此類電信詐騙稱作「補卡攻擊」。記者在調查中發現:一些本為方便用戶而開發的業務,卻因用戶普及程度較低,成了被攻擊者「盯上」的充滿風險的「後門」。

記者體驗了「自助換卡」的全部流程:註冊登錄移動網上營業廳,進入「自助換卡」頁面並申請這項業務,只要將原手機卡收到的簡訊「驗證碼」回填到網頁,原卡的號碼信息會被寫入裝在另一部手機里的新卡,而原手機卡立即作廢,幾分鐘即可完成操作,而且完全免費。

記者注意到,與到營業廳當面辦理不同,自助換卡全程都沒有核驗操作者的身份信息,僅需要準備一張未被寫入號碼信息的新卡,並將卡面上的編號輸入網頁,這張卡被業內稱為「白卡」。

中國移動北京公司業務專家孫鵬:如果您是中國移動的客戶,您現在可以到營業廳,免費領取一張,或者說是我們通過郵寄的方式給您寄過去。

記者:免費領取的時候,需要核驗身份信息嗎?

中國移動北京公司業務專家孫鵬:你只要是中國移動的客戶,我們就會給您一張白卡。

記者:不需要做任何身份驗證?

中國移動北京公司業務專家孫鵬:白卡本身是不需要做驗證的。

白給的「白卡」:「便捷」還是「隱患」?

記者了解到,這種「白卡」和領取人的手機號沒有綁定關係,因而領取後可以寫入任何手機號,不僅可以免費從官方途徑獲得,甚至在淘寶等網站上有人公開售賣。

這就意味著,攻擊者要「劫持」小許的手機卡,只需要以小許的手機號成功登錄中國移動網上營業廳,並騙到那個沒有任何提示說明的6位驗證碼,剩下的條件都可以輕易獲取,不需要任何身份驗證。

資訊安全專家孟卓:曾經可能線下還要驗一下身份證我們還要面對面溝通交談,但是在網上呢,可能就會有這種安全隱患在裡面,現在你也永遠不知道是一個什麼樣的人,他在哪裡在研究你的系統,在嘗試著發現你系統里的一些問題。

揭穿偽裝:詐騙簡訊披上「官方外衣」

回溯小許的遭遇記者發現,在構成這場「連環」騙局的幾條簡訊中10086是中國移動統一客服號碼、10658000是中國移動手機報號碼,令當事人深信不疑。就連此次事件中唯一一條由攻擊者編造的詐騙簡訊,也是利用「139郵箱」的一項「發簡訊」功能發出的。

記者實際操作發現,如果接收簡訊的手機沒有將發簡訊的郵箱所對應的手機號存儲為聯繫人,接收到的信息均顯示以「10658」開頭。而中國移動旗下的「服務提供商業務號碼」發送的「行業簡訊」大都以「10658」開頭。攻擊者看中的正是這個功能細節,不僅可以對詐騙簡訊進行偽裝,騙取接收者的信任,還可以接收到當事人回復的關鍵驗證碼。

因此,139郵箱的「發簡訊」功能被攻擊者所用,成為騙局的重要一環。而這項中國移動已經推出8年的免費功能,很少有人真正了解它的操作細節,使用率也不高。

資訊安全專家張耀疆:所謂的冷門業務,它有時效性的。按道理可能在某一時期它就有某一時期的一個作用,但實際上這個(行業)發展非常快,隨著時間的推延,其實有些東西甚至你自己都忘掉了。就是一般不太用,但是懂的人他就會打它主意,利用它。有時候時間長了,它就變成後門了。

驗證碼「撬開」全部帳戶?

當事人的手機卡被「劫走」後,第三方支付平台、甚至銀行的安全驗證都被接連突破,這一切真的僅靠掌握簡訊驗證碼就可以實現嗎?

小許:他為什麼就能憑我的手機就能夠破解我的網銀呢。

工商銀行客服:第一必須得知道您的網銀登錄密碼,…如果他不知道登錄密碼的情況下,他還需要您卡的密碼。

小許:卡密碼?

工商銀行客服:對,就是卡的取錢密碼,就那六位數卡取錢密碼。如果密碼、卡號和手機他完全掌握他才能做這些交易。

這意味著,儘管簡訊驗證碼是每一步攻擊的關鍵,但攻擊者還需要受害者的銀行卡號等更多的信息。因而可以斷定,小許的手機卡被「劫持」之前,他的「成套」個人信息已經被攻擊者掌握了。

儘管已經向警方報了案,而且支付寶和百度錢包也在案件偵破之前,對小許在該支付平台上損失的金額進行了先行賠付,但小許仍在通過各種途徑尋求答案。他恐懼的是,不知自己還有什麼關鍵信息已經被他人所掌握。

資訊安全專家張耀疆:個人信息在網上通過各種各樣的方式去猜測碰撞,最終匯集到一起,形成一個地下的一個資料庫。那麼這個庫裡面會有大量的非常完整的個人信息的一個鏈條。比如你的姓名、家庭住址、手機號、銀行卡號、銀行的密碼,其實都在網絡的黑市裡面,而且是別人整理好的,不是零散的,這個就非常可怕。

簡訊驗證碼「不能承受之重」

近年來,在個人信息泄露交易愈發猖獗的大背景下,單一的靜態信息如帳號、密碼已經不能保證各類身份驗證,尤其是在線支付的安全。因此從銀行開始,越來越多行業的安全策略採用了「雙因素認證」的理念。簡單的說,就是「用戶自己知道的信息」這把「鑰匙」已經不安全了,必須用隨著時間、事件等因素隨機產生的一次性密碼再加上「另一把鑰匙」,同時擁有「兩把鑰匙」的人才能開一把鎖。而這把「新鑰匙」從最初的U盾、令牌開始,越來越多的「集成」到了智慧型手機上,「簡訊驗證碼」已經成為如今在線支付「雙因素認證」的「必選項」。

之所以小許的所有帳戶被「全線攻破」,是因為除了個人信息這把「鑰匙」早已泄露外,「雙因素認證」的第二把鑰匙「手機驗證碼」也因手機卡「被劫」落在了攻擊者手中。

記者對本次事件所涉及的第三方支付平台和手機銀行的關鍵業務進行操作匯總後發現:所有的在線支付都可以用手機號和靜態密碼登錄,百度錢包直接可以用簡訊驗證碼登錄;「更改登錄密碼」和「轉帳支付」也無一例外地需要依靠簡訊驗證碼完成;而對於第三方支付最重要的「支付密碼」,支付寶竟然簡化到僅憑簡訊驗證碼就可以更改。

小許:如果我的手機號已經被盜走了,因為我可以確定這一點,他還需要別的才能把我的錢轉走嗎?

招商銀行客服:轉帳的話是需要您的取款密碼,跟驗證碼的,但是如果說他是網上支付的話,就是只需要驗證碼就可以了。

資訊安全專家張耀疆:驗證碼這個東西,它可以做可各種各樣的動作,比如說找回你的帳號密碼,那麼這樣就導致什麼呢?其實你個人的帳號密碼和驗證碼就變為一體了,它變成一個因素了。那麼原來設計當中的雙因素的功效就大大的降低。就把所有的雞蛋都放在這麼一個籃子裡面,導致了種種的問題。

如何防範「驗證碼攻擊」

從小許的遭遇中我們應該得到什麼警示?面對此類針對簡訊驗證碼的「精準詐騙」和「組合攻擊」,又該如何保護自身安全?資訊安全專家為大家「支招」。

資訊安全專家孟卓:現在網際網路發展到這個地步,很多這種計算機伺服器,它的運算能力已經很高了,包括頻寬現在也很寬了,4位數驗證碼,我們可能會在行業里會做一個測試進行猜解,不到一萬次就猜出來了,基本上幾分鐘就搞定了。

專家提示,從電腦到手機都面臨著木馬病毒、「釣魚」網站等黑客技術的安全威脅,如果只靠一個簡單的靜態密碼,無法保證安全。因而,首先一定要保證靜態密碼足夠複雜,並妥善保管防止泄露。

「四招」防範「驗證碼攻擊」

一、靜態密碼設置一定要複雜

其次,攻擊者經常利用各種手段對簡訊進行偽裝,並千方百計地對攻擊對象進行誤導、甚至恐嚇。所以一定要對"營運商"、"銀行"等身份的手機簡訊和來電進行認真甄別,冷靜應對。

二、遭遇「干擾信息」仔細甄別莫慌張

每個人手機上,可能都會出現過各種的干擾信息,那麼如果在我們風險意識並不是很強的情況下,很容易被這種干擾信息所誤導,就會產生後續的一系列的損失。

三、手機離奇「癱瘓」緊急「掛失」當先

另外,如果手機通訊出現癱瘓,一定要馬上查清故障原因。如非手機本身或信號故障,要立刻掛失手機卡,並及時凍結第三方支付和銀行帳戶,避免攻擊者趁用戶處於"信息孤島"時,冒名頂替機主身份竊取帳戶。

四、簡訊驗證碼不能告訴任何人!!!

最最重要的是:簡訊驗證碼不要告訴任何人!電信營運商和提供相關服務的企業只會將簡訊驗證碼下發給用戶,絕對不會要求用戶通過簡訊或電話進行所謂「回復驗證碼」的操作。

支付寶安全發言人表示,基本上現在市面上任何的驗證碼,它都不會有再次上行的過程。也就是說它只會單向地告訴你,它的驗證碼是多少,不會再次要求你,說你把你的驗證碼發送給它。所以說,任何問你要驗證碼的都是騙子。

從電信營運商、到第三方支付平台、再到正在進軍網際網路的銀行系統,構成了如今我們每個人信息和財產安全的鏈條。小許的遭遇給這一連串以「安全」為「生命線」的行業敲響了警鐘:所謂「好的用戶體驗」,就像一架天平,一頭是「便捷」,而另一頭是任何時候都不能忽略的「安全」,這架天平的平衡一旦打破,所有的一切都會「歸零」。

責任編輯: 陳柏聖  來源:央視新聞客戶端 轉載請註明作者、出處並保持完整。

本文網址:https://tw.aboluowang.com/2016/0427/729903.html