后使用快捷导航没有帐号？
只需一步，快速开始
请完成以下验证码
请完成以下验证码
查看: 6670|回复: 16
央视起底“电信诈骗术”之“验证码”骗局
最近，一篇受害人自述被骗经历的长文在网络上广为流传。作者称，由于回复了一条短信，他的支付宝、银行卡以及百度钱包里所有的资金一夜之间被“洗劫一空”。真相究竟如何？央视记者在调查中发现，一种全新的骗术已经出现并正在蔓延，我们不可不知、不得不防。一条短信&&一夜之间“倾家荡产”受害者长文微博截图“因为一条短信，一夜之间，我的支付宝、所有的银行卡信息都被攻破，所有银行卡的资金全部被转移，…那是一种一无所有的绝望。”这篇万余字的长文配发一系列截图证据，描述了当事人遭遇的全过程。文章在微博、微信平台上持续发酵，阅读转发超过780万，留言评论不断。经过多方联系，记者找到了当事人小许，一名参加工作不久的大学毕业生。“漂”在北京辛苦挣来的所有积蓄说没就没了，至今令他心有余悸。受害人 小许：一夜之间你所有钱财都一无所有。你能明白那种恐怖和崩溃的心理吗？都不是说难过，是恐惧和崩溃，我觉得我之前做的所有努力都是白费的。退订短信暗藏玄机
4月8日傍晚，挤在北京晚高峰的地铁里，小许连续收到了几条来自中国移动官方号码的短信。短信称，他已成功订阅了一项“手机报半年包”服务，并且实时扣费造成了手机余额不足。受害人 小许：我这时候就纳闷了，因为我根本就没有订阅这个服务啊。紧接着就是非常诡异地又发了一条短信，显示是我只要回复取消加验证码，在3分钟之内退订免费。当小许正在琢磨“验证码”到底是什么，他又收到了一条来自中国移动客服电话“10086”的短信。受害人 小许：上面写着。您好，您的USIM卡验证码为六位数字，然后就没了，就句号。这时候我就想我要退订这个业务，他也没有跟我说验证是什么(用途)，我就按照常规的思维，就取消加验证码发给他了。原以为成功避免了一次手机用户经常碰到的“吸费业务”，但小许却惊讶地发现，自己的手机突然彻底瘫痪了。受害人 小许：重启了大概N次手机，然后它还是显示无服务。到家之后，有WIFI的时候再充值，去充了大概150块钱进去它还是没反应，这时候我就着急了。因为我手机是无服务状态，我也打不了10086的客服。
在线遭劫！支付宝一夜“归零”
这只是麻烦的开始，当天晚上8点左右，小许的手机在无线网络下，接连收到了支付宝的转账提示，这意味着竟然有人在另一个终端上操作他的支付宝账户。受害人 小许：这时候就不是诈骗，这种感觉是在抢钱。就我眼睁睁地看着他，把我的钱一笔一笔又一笔的转移，而且不是我个人操作的。由于手机无法呼出挂失，情急之下，小许只能通过操作客户端解除了支付宝与三张银行卡的绑定，并且委托亲友拨打支付宝客服电话冻结账号。受害人 小许：因为你知道打客服(电话)是个非常缓慢的过程，它一步一步各种各样的验证，…当我挂失成功完成之后，发现我的支付宝没钱了。他不但攻破了我的支付宝，还在我网银里发生跨行转账。就发现我后来每一张银行卡里，余额都是零。百度钱包“被偷” 网银账户“沦陷”更令小许感到恐惧的是，冻结支付宝账户并没有使自己的银行卡摆脱被劫的“命运”。他第二天才发现，自己名下的招商银行、工商银行两张储蓄卡，在他完全不知情的情况下，被人绑定在另一个在线支付平台“百度钱包”上，加上小许原本在“百度钱包”绑定的另一张中国银行卡，三张卡里的钱全部转入了两个陌生账号。这意味着，就连他的银行账号也被攻破了。一条短信让他一夜之间变得身无分文。“嫁接”移动业务&&精准“劫持”手机
小许的遭遇不仅让众多网民震惊，也在通信、互联网和银行业内引发了热议。从收到可疑短信，直到眼见自己的所有账户被彻底“洗劫一空”，整个过程只有3个多小时，所有这些不可思议，都是从收到那条订阅短信开始的。记者从短信入手展开了调查。明明小许没有订阅，为何会收到订阅短信？根据中国移动北京分公司的内部查证：4月8日17点54分，有人通过海南海口的一个IP地址，以小许的手机号成功登录了北京移动官方网站，不仅发起了手机报订阅，还在18点13分成功办理了一项名为“自助换卡”的业务。自助换卡：“双重关口”皆被攻破“自助换卡”是中国移动推出的一项在线服务，通过这项业务用户不必跑营业厅，直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效，旧卡同时作废。经过“自助换卡”，相当于小许的手机在那一刻更换了机主，落到了别人手里。中国移动北京分公司表示，目前仍不能准确解释小许的账号是如何被他人成功登录的，但如果密码设置过于简单，或与其他安全级别较低的网站密码相同，就可能会在反复尝试下被攻破。中国移动北京公司业务专家 孙鹏：第一道门是诈骗分子把门户网站的密码破解掉了，第二道门是他启动了换卡的流程，点击确认，我要发起换卡了，系统就会向他发一个二次确认的验证码，把这个验证码再填回系统之后，才会发起后期的换卡工作。
“致命”漏洞：关键信息缺乏关键提示攻击者要换卡，必须先知道验证码。当时小许收到的这条来自10086的验证码，正是攻击者在网上发起换卡后，系统自动发到小许手机上的。但在这条20多字的短信中，并未说明验证码的用途。受害人 小许：可以说，他是以极其随便的态度来发给我，就告诉我这是个验证码，普通人没有接触过这方面信息的时候，是不知道它是有什么用处的。骗局揭秘：利用“信息盲点”编造“剧本”“USIM卡验证码”到底是什么？攻击者正是在这个绝大多数用户不清楚的“信息盲点”上做文章，“嫁接”起了两项中国移动的官方业务，编造了整个骗局的“剧本”：先是破解密码登录官网，为当事人订阅增值业务并实现扣费，这是在营造恐慌气氛；再通过发送一条诈骗短信，告诉当事人可以免费退订，但需要立即回复“验证码”；趁着当事人正急于退订却搞不清“验证码”在哪里，攻击者又在中国移动网上营业厅发起换卡业务，使系统自动向当事人发送10086短信的“验证码”，这种及时跟进的“雪中送炭”，更会让当事人对骗局的“剧本”深信不疑；最终，面对这个没有任何安全提示的“验证码”，当事人会很容易顺着之前“剧本”的逻辑，积极主动地把它回复到到攻击者手中。利用当事人回复的“验证码”，攻击者完成“自助换卡”后，会利用成功“劫持”的手机使用权接收各类短信验证码，进一步对受害者的财产账户发动攻击。受害人 小许：手机号不仅仅是你的通信工具。它是你在互联网上的唯一身份凭证，意味着一旦你失去你这个手机号的控制权，那你这个人就被抹掉了。因为我丢失了那个手机号。其实在那一晚上我是没有身份的在互联网上，我的身份被另外一个人取代了。
风险失控：“冷门”业务变“后门”小许的经历并非个例，不少有着同样遭遇的网友主动与小许联系，讲述自己被攻击的经过。信息安全专家把此类电信诈骗称作“补卡攻击”。记者在调查中发现：一些本为方便用户而开发的业务，却因用户普及程度较低，成了被攻击者“盯上”的充满风险的“后门”。记者体验了“自助换卡”的全部流程：注册登录移动网上营业厅，进入“自助换卡”页面并申请这项业务，只要将原手机卡收到的短信“验证码”回填到网页，原卡的号码信息会被写入装在另一部手机里的新卡，而原手机卡立即作废，几分钟即可完成操作，而且完全免费。记者注意到，与到营业厅当面办理不同，自助换卡全程都没有核验操作者的身份信息，仅需要准备一张未被写入号码信息的新卡，并将卡面上的编号输入网页，这张卡被业内称为“白卡”。中国移动北京公司业务专家 孙鹏：如果您是中国移动的客户，您现在可以到营业厅，免费领取一张，或者说是我们通过邮寄的方式给您寄过去。记者：免费领取的时候，需要核验身份信息吗？中国移动北京公司业务专家 孙鹏：你只要是中国移动的客户，我们就会给您一张白卡。记者：不需要做任何身份验证？中国移动北京公司业务专家 孙鹏：白卡本身是不需要做验证的。白给的“白卡”：“便捷”还是“隐患”？
记者了解到，这种“白卡”和领取人的手机号没有绑定关系，因而领取后可以写入任何手机号，不仅可以免费从官方途径获得，甚至在淘宝等网站上有人公开售卖。这就意味着，攻击者要“劫持”小许的手机卡，只需要以小许的手机号成功登录中国移动网上营业厅，并骗到那个没有任何提示说明的6位验证码，剩下的条件都可以轻易获取，不需要任何身份验证。信息安全专家 孟卓：曾经可能线下还要验一下身份证我们还要面对面沟通交谈，但是在网上呢，可能就会有这种安全隐患在里面，现在你也永远不知道是一个什么样的人，他在哪里在研究你的系统，在尝试着发现你系统里的一些问题。揭穿伪装：诈骗短信披上“官方外衣”
回溯小许的遭遇记者发现，在构成这场“连环”骗局的几条短信中10086是中国移动统一客服号码、是中国移动手机报号码，令当事人深信不疑。就连此次事件中唯一一条由攻击者编造的诈骗短信，也是利用“139邮箱”的一项“发短信”功能发出的。记者实际操作发现，如果接收短信的手机没有将发短信的邮箱所对应的手机号存储为联系人，接收到的信息均显示以“10658”开头。而中国移动旗下的“服务提供商业务号码”发送的“行业短信”大都以“10658”开头。攻击者看中的正是这个功能细节，不仅可以对诈骗短信进行伪装，骗取接收者的信任，还可以接收到当事人回复的关键验证码。因此，139邮箱的“发短信”功能被攻击者所用，成为骗局的重要一环。而这项中国移动已经推出8年的免费功能，很少有人真正了解它的操作细节，使用率也不高。信息安全专家&&张耀疆：所谓的冷门业务，它有时效性的。按道理可能在某一时期它就有某一时期的一个作用，但实际上这个(行业)发展非常快，随着时间的推延，其实有些东西甚至你自己都忘掉了。就是一般不太用，但是懂的人他就会打它主意，利用它。有时候时间长了，它就变成后门了。
验证码“撬开”全部账户？当事人的手机卡被“劫走”后，第三方支付平台、甚至银行的安全验证都被接连突破，这一切真的仅靠掌握短信验证码就可以实现吗？小许：他为什么就能凭我的手机就能够破解我的网银呢。工商银行客服：第一必须得知道您的网银登录密码，…如果他不知道登录密码的情况下，他还需要您卡的密码。小许：卡密码？工商银行客服：对，就是卡的取钱密码，就那六位数卡取钱密码。如果密码、卡号和手机他完全掌握他才能做这些交易。这意味着，尽管短信验证码是每一步攻击的关键，但攻击者还需要受害者的银行卡号等更多的信息。因而可以断定，小许的手机卡被“劫持”之前，他的“成套”个人信息已经被攻击者掌握了。尽管已经向警方报了案，而且支付宝和百度钱包也在案件侦破之前，对小许在该支付平台上损失的金额进行了先行赔付，但小许仍在通过各种途径寻求答案。他恐惧的是，不知自己还有什么关键信息已经被他人所掌握。信息安全专家&&张耀疆：个人信息在网上通过各种各样的方式去猜测碰撞，最终汇集到一起，形成一个地下的一个数据库。那么这个库里面会有大量的非常完整的个人信息的一个链条。比如你的姓名、家庭住址、手机号、银行卡号、银行的密码，其实都在网络的黑市里面，而且是别人整理好的，不是零散的，这个就非常可怕。短信验证码“不能承受之重”近年来，在个人信息泄露交易愈发猖獗的大背景下，单一的静态信息如账号、密码已经不能保证各类身份验证，尤其是在线支付的安全。因此从银行开始，越来越多行业的安全策略采用了“双因素认证”的理念。简单的说，就是“用户自己知道的信息”这把“钥匙”已经不安全了，必须用随着时间、事件等因素随机产生的一次性密码再加上“另一把钥匙”，同时拥有“两把钥匙”的人才能开一把锁。而这把“新钥匙”从最初的U盾、令牌开始，越来越多的“集成”到了智能手机上，“短信验证码”已经成为如今在线支付“双因素认证”的“必选项”。之所以小许的所有账户被“全线攻破”，是因为除了个人信息这把“钥匙”早已泄露外， “双因素认证”的第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。记者对本次事件所涉及的第三方支付平台和手机银行的关键业务进行操作汇总后发现：所有的在线支付都可以用手机号和静态密码登录，百度钱包直接可以用短信验证码登录；“更改登录密码”和“转账支付”也无一例外地需要依靠短信验证码完成；而对于第三方支付最重要的“支付密码”，支付宝竟然简化到仅凭短信验证码就可以更改。小许：如果我的手机号已经被盗走了，因为我可以确定这一点，他还需要别的才能把我的钱转走吗？招商银行客服：转账的话是需要您的取款密码，跟验证码的，但是如果说他是网上支付的话，就是只需要验证码就可以了。信息安全专家&&张耀疆：验证码这个东西，它可以做可各种各样的动作，比如说找回你的账号密码，那么这样就导致什么呢？其实你个人的账号密码和验证码就变为一体了，它变成一个因素了。那么原来设计当中的双因素的功效就大大的降低。就把所有的鸡蛋都放在这么一个篮子里面，导致了种种的问题。
如何防范“验证码攻击”从小许的遭遇中我们应该得到什么警示？面对此类针对短信验证码的“精准诈骗”和“组合攻击”，又该如何保护自身安全？信息安全专家为大家“支招”。信息安全专家 孟卓：现在互联网发展到这个地步，很多这种计算机服务器，它的运算能力已经很高了，包括带宽现在也很宽了，4位数验证码，我们可能会在行业里会做一个测试进行猜解，不到一万次就猜出来了，基本上几分钟就搞定了。专家提示，从电脑到手机都面临着木马病毒、“钓鱼”网站等黑客技术的安全威胁，如果只靠一个简单的静态密码，无法保证安全。因而，首先一定要保证静态密码足够复杂，并妥善保管防止泄露。“四招”防范“验证码攻击”
一、静态密码设置一定要复杂其次，攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对&运营商&、&银行&等身份的手机短信和来电进行认真甄别，冷静应对。二、遭遇“干扰信息”仔细甄别莫慌张每个人手机上，可能都会出现过各种的干扰信息，那么如果在我们风险意识并不是很强的情况下，很容易被这种干扰信息所误导，就会产生后续的一系列的损失。三、手机离奇“瘫痪” 紧急“挂失”当先另外，如果手机通讯出现瘫痪，一定要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于&信息孤岛&时，冒名顶替机主身份窃取账户。四、短信验证码 不能告诉任何人！！！最最重要的是：短信验证码不要告诉任何人！电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。支付宝安全发言人表示，基本上现在市面上任何的验证码，它都不会有再次上行的过程。也就是说它只会单向地告诉你，它的验证码是多少，不会再次要求你，说你把你的验证码发送给它。所以说，任何问你要验证码的都是骗子。从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统，构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟：所谓“好的用户体验”，就像一架天平，一头是“便捷”，而另一头是任何时候都不能忽略的“安全”，这架天平的平衡一旦打破，所有的一切都会“归零”。
最好的办法，置之不理，马上删除
好不悲伤。
最好的办法，置之不理，马上删除
都能这样就好了。
好不悲伤。
防不胜防。
有关部门呢？啥啥都叫个人去防，防的过来吗
开心论坛手机版
太恐怖了！
有关部门呢？啥啥都叫个人去防，防的过来吗
我也疑惑：有关部门为什么就不管呢？
太恐怖了！
罗斯福的“四大自由”有一条是“免于恐惧的自由”。
最好不用支付宝
联系电话： & 电子邮箱：bbs@sgnet.cc & 管理QQ： &
Powered by最近浏览论坛：
关注/收藏的论坛：
热门论坛推荐：
验证码：输入右侧的字母和数字
下次自动登录
还未注册用户？&&&
您的赞赏是对楼主的鼓励！
1~200元之间
金额须在1~200元之间
自动加载图片
个人手机收到很多短信验证码，怎么解决此类问题？
手机段时间收到信验证码这种玩法网叫做信炸弹这些106号段信验证码都真只过这些平台被黑客黑所以想要获精神补偿这些发送验证码平台脱关系只因为他们平台技术验证薄弱才被法分子钻空子收到那个平台发就给谁打电话行就投诉走法律途径信从你平台发到我手机找他找谁同意此观点支持
11:02:24 发表于 主楼 的内容：
禁止发布色情、反动及广告内容！
人间正道是沧桑
11:03:47 发表于 1楼 的内容：
禁止发布色情、反动及广告内容！
完成汽车之家·知道升级任务，解答问答，并被提问者采纳为满意回答，可得解答达人一级勋章
完成汽车之家·知道解答问答任务，并被提问者采纳为满意回答。并符合升级规则，即可得解答达人二级勋章
参与汽车之家10周年“真交情，十年如初”活动，获此勋章，感谢一路上有你的陪伴。
参与汽车之家质量评价调研，反馈真实质量情况，特授予汽车之家“质量评价员”称号，并奖励专属勋章。
完成汽车之家·知道升级任务，解答问答，并被提问者采纳为满意回答，可得解答达人三级勋章。
18:09:28 | 来自
关机，或者飞行模式就收不到短信了
引用 milanraul
18:09:28 发表于 2楼 的内容：
禁止发布色情、反动及广告内容！
完成汽车之家·知道升级任务，解答问答，并被提问者采纳为满意回答，可得解答达人一级勋章
短信轰炸机 &这个确实蛮恶心的
20:26:57 发表于 3楼 的内容：
禁止发布色情、反动及广告内容！
参与汽车之家10周年“真交情，十年如初”活动，获此勋章，感谢一路上有你的陪伴。
06:37:53 | 来自
赶紧看看手机APP绑定的银行卡有没有被盗刷吧，我的前几天在在百度糯米就被盗刷了。
引用 yzg-26 06:37:53 发表于 4楼 的内容：
禁止发布色情、反动及广告内容！
正在提交回复,请稍候...
mainTopic.xRender=YES
楼主有更新时通知我
已取消此帖的收藏
您已被楼主屏蔽，不能回复该帖子卡基们，手机收不到各种验证码短信，该如何投诉？_显卡吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：2,294,775贴子：
卡基们，手机收不到各种验证码短信，该如何投诉？收藏
目前手机的状态时正常开通，有90多话费，能打电话，普通短信可以接收(就是平时的聊天短信)。就前天突然开始接收不到验证码短信(微信，QQ的登录验证，邮储短信的验证，以及各种注册短信验证)
游戏特效培训,毕业年薪20w,来CGWANG吧!
那天刷了机，登录微信发现收不到验证码，QQ也不行
怀疑是固件问题，把卡换了3台正常的机子还是收不到
找了网上客服聊了人生，客服说不排除是卡本身问题，叫我去换卡。
于是昨天跑去30公里外营业厅换了个新卡，结果还是收不到验证码
那个营业厅姐姐就说“我们也不知道，我只能帮你换卡，你的是正常开通的，能打电话，能收发普通短信”，就把我打发走了
当时还叫我充50话费来免费换卡
该如何投诉啊？工信部还12315
CGWANG影视后期包装培训 专业培训机构
系统恢复一下？
肯定用了豌豆荚短信收发服务那个的
把豌豆荚卸了就行
不知道是不是一些软件拦截了。找个非智能机插卡试试。
对了，是联通的2g卡
打工信部吧
目前系统和软件，我认为并不是手机问题。尝试了三四台，尝试了三四台，尝试了三四台(自动忽略农场)
跟营业厅撕逼啊
你这是刷的安卓原生吧，刷回努比亚试试
你应该是用了什么软件吧验证当垃圾信息删了。
刚刚打了10010，那个工号2977的客服妹子什么鸡巴服务态度，我说换了卡，她居然说查不到，然后质疑我
应该是卡的问题，很久以前遇过，换了手机也一样接收不到。
装一个收发短信的软件就好了，go短信
解决了，刚刚本地联通打电话来了，已经可以接收验证码了
哎呀我的也收不到！联通客户端的验证码！好几天了
唯一一个我用过会收不到短信的就是百度云，换哪个手机都不好使，一装百度云啥也收不到
被拦截吧？？？
换张卡试试？不行的话可能是被拦截了
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或当前位置： 第A33版:今日财富·综合
“短信保管箱”容易被利用
突然收到大量验证短信要小心
■首席记者 江海　　福州晚报讯 使用“短信保管箱”业务，居然导致银行卡被盗。昨日，360手机安全中心发布2015年手机安全橙色预警，针对“短信保管箱”业务以及手机用户提出安全建议。　　网友“公交姬”表示，今年2月，他发现自己的银行卡总是被人输错密码而冻结，即便开了新卡也不管用，可问题是，他的卡一直都在自己手上，也从来没有泄露过卡的信息。7月1日，当他正在家中玩电脑时，意外收到了一条“短信保管箱”业务的订购短信。他立即联系客服，取消了这项业务，但之后他的手机又再次收到了“短信保管箱”业务的订购短信。无奈之下，他修改了手机号码的密码。紧接着，他就收到了数十条来自各个消费网站发来的短信，里面是各种“短信验证码”，同时他发现银行卡被不法分子盗刷。　　“短信保管箱”是一种源自功能机时代的短信托管服务。功能是可以把手机上收到的短信自动同步到运营商的服务器上备份，手机用户也可以通过运营商网站查看这些短信。未开通“短信保管箱”业务时，手机用户在网站注册或消费时，网站会通过通信网将验证码发送到用户手机中，是一种将密码验证与短信验证码结合起来的“双因子认证”方法。而开通“短信保管箱”业务后，网站发来的验证码短信，一方面经过通信网发送到用户手机，另一方面则同时备份到Web端，通过攻击Web端即可窃取验证码，无需直接接触用户手机，这样就降低了“双因子验证”的安全性。　　对手机用户来说，可以通过一些简单有效的方法来尽可能避免或减少此类犯罪造成的损失：首先，定期修改网银密码，并设置高强度的复杂密码。尽可能不要在所有的网站上都使用相同的账号和密码，尤其是社交账号、网银账号和常用的电子邮箱，一定要单独设置密码。其次，一旦收到类似“订购短信保险箱业务”的短信，立即联系相关运营商进行处置，及时关闭相关业务。如果在收到“短信保管箱”订购短信后，又很快收到银行的转账或扣费通知短信，应立即联系银行客服挂失相关银行卡，以避免损失进一步扩大。最后，如果突然收到大量莫名其妙的垃圾短信或验证码短信，一定要仔细查看其中是否有银行或第三方支付工具发来的验证短信或转账、消费告知短信，若有，则应及时联系银行，挂失银行卡或联系第三方支付平台冻结支付账号，并查杀木马、拦截钓鱼网站，隔离保护交易验证码短信。&短信验证码也存在着安全隐患_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
短信验证码也存在着安全隐患
上传于|0|0|暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩2页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢