新華社等媒體都報道了一種新型詐騙方式——手機“副號”釣魚騙局。一位何姓先生的手機號莫名其妙成為別人的“副號”,一夜間被盜刷5萬元。此類利用短信驗證碼的騙局實在需要好好揭露一番——…[詳細]
要點速讀1冷門業務的“後門”+黑市買到的個人信息資料=能轉走錢的短信驗證碼,騙子就這樣拿走了錢。2不上當,求自保,切記“四不”——不亂給驗證碼,不亂回覆Y,不亂點短信鏈接和不亂下程序。手機“副號”——能夠徹底獲取陌生手機號短信的冷門業務
手機“副號”究竟是個“什麼鬼”?看到這則新聞後,許多人都會心生這樣的疑問。它並不是大家熟悉的家庭親情號或者企業內部號,主打特定人羣間打電話有優惠。而是一種新興的業務,大概從2015年12月才開始興起的。它是用來幹嘛的呢?
“副號”的相關宣傳,它主打的是保護隱私,避免騷擾
現代社會,在各處辦業務都少不得留個手機號。手機號曝光之後,免不了收到大量的營銷信息乃至詐騙短信。“副號”的作用是防騷擾,給用户一個清靜的空間。發佈網絡信息或者對外留聯繫方式的時候,留“副號”,而與之綁定的主號可以收到副號的信息、電話。可以説,初衷絕對是好的,也是一塊很有潛質的業務。
然而好歸好,在一些通信商那裏卻留着“後門”——1.兩個不同機主信息的號可以自由綁定在一起;2.當“副號”一關機,所有的短信、電話都可以湧向“主號”。
何先生的手機號被騙子“接管”了將近兩天
兩個“後門”便為一些不法之徒利用了。以這位何先生為例,整個詐騙的過程是這樣的——1.騙子首先購買大量的手機號碼、身份證信息、銀行卡資料,圈定範圍。2.騙子給這些圈定的用户大量地發送請求其手機號為“副號”的短信來釣魚。3.何先生稀裏糊塗回了個Y,成為“副號”,中招。4.何先生的手機關機(可能是夜間睡覺主動關機,可能是被“主號”手機控制關機,也可能是被攻擊關機……原因多樣),所有發到何先生手機號上的信息都跑到了騙子所持有的“主號”上。5.騙子利用已經掌握的銀行卡等信息,再配合第三方支付和短信驗證碼,成功刷走五萬。
運營商為“副號”業務提供了非常“貼心”的功能,卻容易被別有用心者利用
類似的冷門業務還有“自助換卡”,也一不小心就成為騙子的“後門”
央視報道過的小許要比何先生更倒黴,被轉光了所有的積蓄。騙子利用的是一個叫“自助換卡”的冷門業務。該服務的核心精神是,讓顧客不用去營業廳,通過在官網申請就可以4G新卡換舊卡,新卡生效之時便是舊卡作廢之日。相當於號碼都被人劫持了,裏面的轉款驗證碼自然隨便用。
“自助換卡”的路徑之一是原號碼的主人在官網上輸入手機收到的驗證碼。騙人的步驟如下:1.首先買到當事人的個人信息,其中可能包括運營商官網的登錄密碼。2.登錄官網後,為當事人訂一個增值業務製造恐慌情緒。3.向當事人的手機發送假消息,表示如果要退訂服務的話要回複驗證碼。4.以極快地速度利用冒充的官方號發送當事人辦理“自助換卡”的驗證碼。5.當事人在對亂扣費的增值業務恐慌之時,極易上鈎,把“自助換卡”的驗證碼當作補卡驗證碼發過去。6.接下來騙子已經控制住當事人的手機號了,自然為所欲為。
應該説,這些冷門業務確實提供了便利。但是由於在流程設置時未能充分地考慮防詐騙的問題,給予了一些騙子很大的“後門”。真是弄巧成拙。
冷門業務的“後門”+黑市買到的個人信息資料=能轉走錢的短信驗證碼,騙子就這樣拿走了錢
要想騙走錢,有一個前提——掌握被騙者的身份證號碼、銀行卡號碼和密碼等個人信息。由於個人信息泄露嚴重,這些信息非常容易便可以在黑市上買到。去年,南都曾經做過一個非常詳盡的調查報道,只花了700元,記者便買到了同事幾乎所有的隱私信息,包括四大銀行存款記錄、手機實時定位、手機通話記錄等等。
個人信息泄露和販賣如此嚴重的情況下,騙子很容易便能上手了。而通過短信驗證碼來轉款,又是其中最便捷的獲利手段之一。騙子不用編寫大段大段的謊言,也不用親自打電話,甚至還不用等被騙者去ATM機或者銀行櫃枱轉款,嗖地一下,錢就划走了。
因為在移動支付時代,手機動態驗證碼成為許多平台的主力驗證方式。儘管不少的專家也在質疑它存在漏洞、隱患,但是還找不到更好的替代。這裏大致總結一下利用短信驗證碼詐騙的模式——
不上當,求自保,切記“四不”——不亂給驗證碼,不亂回覆Y,不亂點短信鏈接和不亂下程序
防不勝防也得防。短信驗證碼詐騙中,手機運營商、第三方支付平台等都很難撇清自己的責任。而龐大的個人信息販賣黑市,則從個人信息泄露到販賣再到利用,是一條特別完整的黑色鏈條,要打擊它,涉及方方面面,在此不贅述。
單就驗證碼問題而言,手機運營商和第三方支付平台提供便利服務當然是好事情,沒有因噎廢食的必要,只是有兩點常見漏洞需要彌補:1.盡到詳盡提示的義務,有的短信只説“您的驗證碼是XX”,而不説明具體這個驗證碼是拿來做什麼的,自然有誤導性。2.盡到查驗身份的義務,既然手機都實名制了,就不應該隨便兩個沒有關係的手機便能綁定主副號,也不應該隨隨便便,不驗證身份卡就換了。
當然,個人信息販賣猖獗的情況下,個人必須要求自保,得記住四個要點:不亂給驗證碼(給出去別人便可能控制你的手機號或者成功轉款),不亂回覆Y(表示同意辦理業務),不亂點短信中的鏈接(有可能一點就感染了病毒)和不亂下載程序(有可能裝了盜取信息的木馬)。
利用個人信息詐騙,實在是花樣百出。而驗證碼又是騙錢手段中非常重要的一種。在呼籲打擊個人信息黑色鏈條和加強運營商、支付平台責任的同時,針對個人的重要事情也要説三遍:不要亂給驗證碼,不要亂給驗證碼,不要亂給驗證碼。