AD
退订手机报、输入验证码钱就全没了。一则“回复一条短信,全部家财被骗走”的微博昨天走红网络,24小时被转发了3万多次。网友“merci”控诉称,自己因为回复了一条短信,导致手机卡被不法分子掌握,支付宝密码遭重置,所有自己名下的银行卡内资金都通过快捷支付被转走。
事件:退订套餐存款被转走
网友“merci”表示,本月8日,“1065800”的号码发来了一条订阅杂志短信,紧接着又收到一条来自“10086”的短信,称自己开通了一个陌生的手机报业务。随后一条来源为“1065813901381……”的短信称,该项手机报业务半年收费40元,要退订必须在3分钟内回复“取消+验证码”。想到如此高昂的套餐费,他一边根据短信内容进行“退订”操作,同时一条来自10086的短信提供了一个6位数的“USIM验证码”,“merci”想都没想就按照要求回了过去。
谁料,半小时后,“merci”发现自己的手机突然变成无服务状态,上不了网也打不了电话。最初以为是退订手机报套餐所致,谁料当晚支付宝软件突然发来正在转账的提示,“merci”这才发现是有人掌握了自己的手机卡。由于邮箱、支付宝等平台找回密码均依赖于手机验证,当晚“merci”几乎是眼睁睁地看着对方挨个攻破自己的账户,转移资金。最终,由于邮箱被攻破,支付宝数字证书被取消,“merci”的钱款被顺利转走。
分析:作案手法似曾相识
据事主事后向银行和网络支付平台核实,想要完成这样的操作,除了需要窃取手机卡外,还需要银行卡信息、姓名、身份证号等多项敏感信息,至今尚不清楚到底是什么渠道把信息泄露得如此彻底。“merci”向北京移动核实事发最初,导致他失去手机控制权的那条短信验证码究竟是何方神圣,但没有得到准确的答复。不过信报记者了解到,早在今年一月,移动方面就曾经发布公告称,需警惕一种以退订业务为诱饵,诱导手机用户换卡的诈骗手段,移动方面介绍的诈骗手段与“merci”的遭遇十分相似。
信报记者咨询网络安全人士了解到,那条“USIM验证码”应该就是整件事情的关键。据了解,传统上补办手机卡需要持本人身份证前往营业厅办理,但近来移动公司为了推广新开通的4G业务,部分地区的移动公司提供了“送卡上门”的服务,就是由移动将新的4G手机卡直接快递上门,然后用户通过短信验证的方式在不变更号码的情况下停用旧卡,激活新卡。这项不用身份证原件、不用前往营业厅的业务,应该就是事主没丢身份证,手机卡照样遭到不法分子补办窃取资金的原因。
提醒:输验证码要谨慎
信报记者随后登录北京移动官网注意到,4G换卡确实可以提供“送卡上门”服务,不过登录申请送卡上门,需要提供手机号在移动网站的登录密码,或是通过短信验证的方式登录。为何本案中事主只被诈骗分子套取了一次验证码,就成功被补办了手机卡?有网络安全人士推测,眼下个人信息泄露事件普遍源自各网站遭“拖库”,也就是整个账号密码都遭人窃取,不法分子可能是用事主的手机号配合其他渠道泄露的密码“撞库”登录了移动网站。安全人士提醒,一定不要在不可靠的小网站使用和邮箱、支付宝等关键位置同样的密码,以免一旦信息泄露,所有账户被“一锅端”。
此外,移动方面“不清不楚”的短信验证码也被认为是导致事主上当的关键之一。信报记者注意到,支付宝进行支付时,验证短信中会明确提示交易的金额,并提醒“打死都不能告诉别人”,并告知支付宝的唯一热线。相比之下,移动这条会导致手机卡易主,导致不法分子可以借此重置支付宝、邮箱等关键账户密码的短信验证码,却只告知用户“您的USIM验证码是******”,如果验证码能够更明确地告知用户验证码滥用导致的后果,也许上当的用户会少不少。
信报记者 江书波 张一天
