最近,一篇名為《實錄親歷網絡詐騙,網際網路是如何讓我身無分文?》的文章在網絡廣為傳播。
一切的局都是從一條簡訊開始,萬萬沒想到,網絡背後的黎叔僅用了一個「回復驗證碼」就騙光了他微信、支付寶、百度錢包和銀行卡裡所有錢。而損失巨大的作者到最後也沒有完全明白自己的錢究竟是怎樣被盜取的。
通過簡訊運作詐騙流程
讓我們來梳理梳理整個受騙過程:
1、核彈引線——驗證碼
噩夢開始於擁擠的地鐵車廂裡。手機忽然收到一條簡訊:來源為「1065800」的號碼發來了一條簡訊雜誌。
接著,來源為「10086」的號碼發來了一條簡訊,提醒他「開通了中廣財經半年包業務」。
同時發來的還有一條「餘額不足」的簡訊。
正在他納悶且憤怒的時候,來源為「10658139013816280086」的號碼發來了一條簡訊:
您成功訂閱了×××的(中廣財經)40元/半年,3分鐘退訂免費。如需退訂請編輯簡訊「取消+校驗碼」至本條簡訊退訂。」署名「中國移動」。
2、發送釣魚簡訊
看客們一定認為某商家又在欺負無辜的消費者,私自為客戶訂閱了垃圾增值服務。沒錯,受害者本人也是這麼想的。此時,作者的內心大概是:「又給我瞎定什麼業務?還需要40元/半年,什麼鬼?」不過,他馬上注意到,簡訊上這個服務是可以退訂的。他一邊這樣想,一邊收到了「10086」發來的又一條簡訊:「尊敬的客戶,您的USIM卡6位驗證碼為******」。一心只想快點退訂這個破業務的作者壓根就沒注意什麼叫「USIM卡驗證碼」,直接回復了「取消+******(驗證碼)」。
3、更改USIM卡的驗證碼給了騙子
從收到第一條簡訊,到作者回復驗證碼,地鐵也許還沒有行進一站,一切看起來都是那麼平常。但是,一個巨大的陰謀已經把他拖進了深淵。
讓我們看看這串眼花繚亂的簡訊背後究竟發生了什麼:
這是一個電信詐騙的經典手段。整個騙局的關鍵就在於這個「USIM卡驗證碼」。
詐騙分子需要預先準備一張空白的4GUSIM卡。目前,在淘寶等電商平臺上可以輕鬆買到一張空白的4G USIM卡。然後,詐騙分子向運營商申請自主更換USIM卡業務。這個業務的完成需要一個驗證碼。於是騙子借退訂SP業務迷惑受害者回復驗證碼(實際上是更換新USIM卡的驗證信息)到特定的簡訊埠(騙子接收)。受害者以為自己是在退訂業務,實際上已經把最重要的驗證信息給了騙子。
騙子利用這個驗證碼,可以直接在異地複製一張USIM卡,而導致真正的USIM卡失效。這樣一來,機主的手機號碼就會被詐騙分子完全控制。
網上難分究竟誰是「你」
如果突然有一天,你看到了一個和你一模一樣的人,他辯稱自己就是你,甚至知道你的所有個人信息,認識你的所有朋友,那麼,究竟「你」是你,還是「他」是你呢?
在網絡世界裡,證明「你」是「你」的所有證據,只有你的手機號、驗證碼、郵箱、身份證號等有限的幾個證據。如果壞人掌握了這些信息,他就會在網絡空間一點一點變成你,甚至比你還像你,讓真正的你百口莫辯。
我們來繼續講述這個悲傷的故事。
果然,不久作者就發現自己的手機失去了信號。(此刻他的手機卡已經失效,而騙子手中的空白卡已經生效。)他以為自己由於被惡意扣費,導致了停機,於是打算回到家再進行處理。但是,到家之後作者發現,竟然連客服電話都無法撥通,甚至更換手機也沒有信號。但是,此刻手機仍然能接收Wi-Fi信號。「噩耗」就是通過Wi-Fi傳來的。
支付寶突然彈窗,出現兩條消費提醒:一筆為「5元的遊戲幣充值」;一筆為小額的轉帳「從餘額寶轉帳到綁定的銀行」。自此,雪片般的轉帳信息傾瀉而出。
看看支付寶的轉帳信息
大部分的操作都是將支付寶中的餘額分批次轉到銀行卡。作者的第一反應是給支付寶客服打電話凍結自己的帳戶,但是,他絕望地發現自己的手機仍然沒信號。此刻家裡沒有其他人,在短暫的空白之後,作者終於想到了要解綁銀行卡。然而,資金被轉出的速度太快。當作者解綁銀行卡之後,帳戶中的資金已經所剩無幾。不過,此時騙子已經沒有辦法把錢轉到銀行卡中了,於是竟然喪心病狂地用最後一百多塊錢給一個手機號碼充了值。(作者調查這個號碼時,它已停機。)
技術專家分解騙局過程
雷鋒網的技術專家陸兆華給出了分析:最為關鍵的環節是騙子控制了失主的支付寶。盜取支付寶權限有很多方法。目前大部分郵箱都是依靠手機簡訊驗證碼來進行二次身份驗證的,詐騙分子可以通過手機號碼找回密碼或者是利用簡訊驗證碼進入郵箱,從而篡改郵箱密碼,再利用手機號碼和郵箱來找回支付寶密碼,安裝支付證書,從而直接在異地登錄支付寶進行操作。
這個時候,理論上資金還沒有離開作者的掌控,只是從支付寶到了銀行卡。於是他緊急登錄自己的網銀,卻驚奇地發現網銀的密碼也已經被篡改,從而無法登錄。此刻他竟然無法掌握自己的帳戶信息,任憑壞人擺布。這時他挽回損失的唯一方法就是掛失銀行卡。由於手機沒有信號,他緊急聯繫女友代為進行銀行掛失。由於支付寶連接了好幾張銀行卡,用電話掛失還要聽完銀行自助語音的無數廢話,完成掛失用去了比預想中更長的時間。當所有的銀行卡都被掛失之後,作者已完成了他所能做的一切。
第二天,作者去銀行列印流水的時候,才發現自己所有銀行卡上的資金都已經被轉走,一分不剩。直到這一天晚上,他才發現原來自己的163郵箱密碼也被更改。騙子利用受害者的郵箱在異地安裝了支付寶的數字證書。
普通人怎麼也想不明白,喪心病狂的騙子為什麼能夠修改自己的網銀密碼呢?
陸兆華判斷:實際上騙子早已通過手機驗證修改了失主的郵箱密碼。此時,騙子手裡的籌碼有:失主的電話、郵箱、姓名、銀行卡帳號。目前很多網銀的密碼修改已經不需要U盾,所以這些籌碼已經足夠修改他的網銀密碼。
對於某些銀行來說,也許還需要用戶提供身份證號等信息。但是,這也依然攔不住詐騙分子。因為在網絡上,有很多平臺在兜售巨大數量的個人信息。大部分人的身份證號、生日信息等基本資料在地下市場都可以找到,可以說得來全不費工夫。
完全掌握了個人隱私信息並掌握受害者的手機USIM卡,就可以完全替代受害者身份進行資金操作轉帳等操作。
在銀行的轉帳詳單上,作者發現了犯罪分子的資金轉移軌跡,他們把作者的錢從不同的銀行卡歸集到一張卡上,然後再統一通過該銀行網銀划走。(騙子這樣做的原因很可能是因為某銀行管制稍松,可以在短時間內轉出大額資金。)另外,作者還在轉帳詳單上發現了數筆從百度錢包轉出的資金。也就是說,在詐騙分子用支付寶歸集資金的同時,也在用百度錢包做同樣的事情。而可怕的是,作者自己都已經卸載了百度錢包很久,甚至忘記了登錄密碼。
百度錢包也被騙資金
後來,作者通過調查明白了答案:通過手機號碼,可以輕鬆找回百度錢包密碼,而通過「銀行卡信息,姓名,身份證,手機號,驗證碼」就可以隨意關聯新銀行卡到百度錢包。
這件事的冰冷之處不僅在於資金損失殆盡這個結局,還在於當作者報案之後,警察反應遲緩,並且敷衍了事,最終也沒有絲毫作為。更在於這其中涉及的:支付寶、百度錢包、運營商、銀行這些巨頭們的安全機制都沒能擋住一個騙子。
還原一下整個騙局發展的邏輯,可以清晰地看到:騙子通過受害者的手機號,一步步擴大攻擊面,掌握了越來越多的個人信息。在網絡空間中,一個冰冷的替身通過手機號、驗證碼、郵箱、身份證號這些「畫皮」一步步變成了一個活生生的人。
如果一味埋怨支付寶和銀行的驗證機制潦草,似乎並不公平。因為綜合安全性和易用性,支付寶和銀行並不會在你每次修改密碼的時候,都要提供身份證原件和本人到場。
陸兆華說:此類詐騙,最主要的原因是由於受害者不慎洩露驗證碼等信息而造成的USIM卡被惡意複製。但顯然運營商和銀行都有義務在一些關鍵步驟上加強對用戶的提醒。
而由於幾乎所有的詐騙步驟都用到了被惡意複製的USIM卡。所以如果發現自己的USIM卡被詐騙分子控制,一定要在最短的時間內拿個人身份證到營業廳申請取消被惡意複製的USIM卡服務,避免黑客惡意繼續利用。
由於詐騙分子可以任意偽造自己的號碼,所以對於可疑的簡訊,一定不要回復,更不要向任何人透露自己收到的驗證碼。
對於詐騙過程的條分縷析並不能挽回一分錢的損失,卻能讓其他人面對同樣的騙局時逃過一劫。
我們身處樓宇森林,感覺自己安全無虞;然而站在0和1組成的賽博空間放眼,這個世界仍處蠻荒。
(生活日報)