?　　半島全媒體記者　景毅

　　前些天,一起“離奇”電信詐騙案引發廣泛關注。一位何姓先生的手機號莫名其妙成為別人的“副號”,并導致其一夜間被盜刷5萬多元。近日,最新的調查結果顯示,不法分子是通過破解手機云服務平臺,回復副號業務申請短信,從而實現遠程將受害人手機號變副號,再通過攔截短信驗證碼,在互聯網金融平臺進行消費以及貸款等業務。云服務、副號、自助換卡、積分兌換……記者調查發現,這些原本便民的業務因用戶普及程度不高,反而成為不法分子實施詐騙的“幫兇”。保證用戶安全的最后一道防線“短信驗證碼”在這些冷門業務的掩護下屢屢失守,一起起“離奇”的電信詐騙案頻頻出現。

　　

　　一覺醒來,5萬多元被盜刷

　　在互聯網這個虛擬世界里,證明“你”就是“你”的所有證據,只有你的手機號、驗證碼、郵箱、身份證號等有限的幾個證據。如果這些信息被不法分子掌握,對方就會在這個虛擬空間里變成你,甚至比你還像你,讓真正的你瞬間傾家蕩產。手機用戶何先生就遭遇了一場身份被盜的離奇事件。

　　2月3日,剛起床的何先生發現自己的手機處于遠程鎖定狀態,更奇怪的是,當他登錄電腦解鎖后發現,他的手機在凌晨被不斷的銷毀資料并鎖定。他的兩家電商平臺賬戶被人登錄,并以“白條”的形式下單購買了2臺筆記本和2臺手機,其一張不常用銀行卡申請了兩筆共五萬多元的貸款,貸款到賬后又被迅速轉走。

　　何先生表示,自己的手機曾收到一條業務短信,通知其手機號被一個陌生號碼以設置副號的形式接管了。

　　記者從運營商處了解到,該業務一項一張SIM卡多個號碼業務,用戶可以開通虛擬副號,也可以綁定已有的實體號碼,主副號隨時開關切換。開通該業務后,用戶在網購、交友、注冊賬號時,可以用副號,隱藏主號,從而避免遭到電話騷擾甚至電信詐騙。

　　記者進一步了解到,如果其中一個號碼關機或者無法接通,相關電話及短信信息將自動發送到另一個號碼上。不法分子正是利用這一點,將原本發送到何先生手機上的短信驗證碼攔截并發送到自己的手機上。

　　然而,記者體驗發現,想要完成副號設置,必須要機主通過并回復驗證短信,而何先生再三強調,在此期間,自己從未對手機進行過任何操作。

　　近日,經運營商公司及手機廠商聯合調查發現,不法分子是利用手機的云服務業務和副號業務,遠程操控了何先生的手機,進而完成盜刷。

　　據了解,由于何先生的手機云服務設置密碼過于簡單,被不法分子攻破。此后不法分子再利用云服務的“回復短信”接口,遠程對何先生收到的副號申請短信進行回復,從而成功在機主不知情的情況下將其手機號設置成了副號。完成這一步后,不法分子繼續利用云服務的“找回手機—銷毀資料”功能,迫使何先生手機持續處于離網狀態。不法分子再利用已掌握的何先生個人信息,登錄各大金融平臺,平臺原本發給何先生的驗證碼也就順利發到了不法分子的手機上,進而完成盜刷和貸款。

　　回條短信,男子瞬間破產

　　事后,云服務提供商表示將在遠程管理功能中關閉“回復短信”接口,以及采用了加強對弱密碼和異常登錄情況的檢測與風險控制；對云服務遠程管理手機的重要功能開啟密保問題或短信驗證碼的二次驗證等措施。運營商方面也表示,鑒于此類事件,今后將進一步提升業務安全級別。

　　有不少用戶擔心,假如以后收到類似的冷門業務短信又該如何處理?

　　去年4月初,許先生也遭遇了一場隱蔽在冷門業務之中的電信詐騙。許先生的手機忽然收到一條短信:來源為“1065800”的號碼發來了一條短信雜志。接著,來源為運營商的號碼發來了一條短信,提醒他開通了中廣財經業務,同時發來的還有一條“USIM卡6位驗證碼******”的短信。

　　正在許先生納悶的時候,另一個號碼發來了這樣一條短信:您成功訂閱了中廣財經40元/半年,3分鐘退訂免費。如需退訂請編輯短信‘取消+校驗碼’至本條短信退訂。”

　　由于這幾條短信接連而至,為了防止自己被訂業務,許先生便按照最后一條短信的要求,將剛剛收到的驗證碼外加取消二字發給了來信方。

　　然而短信發出后不久,許先生的手機就顯示沒有信號,等他發現異常并登錄網站查詢時,其支付寶及三張銀行卡內的數萬元存款已被轉走。

　　360手機安全專家陳迪告訴記者,整個騙局的關鍵就在于這個“USIM卡驗證碼”。詐騙分子需要預先準備一張空白的4G　USIM卡。目前,在網上可以輕松買到一張空白的4G　USIM卡。然后向運營商申請自助更換USIM卡業務。這個業務的完成需要被更換的卡主用收到的驗證碼證明身份并同意換卡。于是騙子借退訂電信增值業務迷惑受害者回復驗證碼到騙子設定的號碼。受害者以為自己是在退訂業務,實際上已經把最重要的驗證信息給了騙子。騙子利用這個驗證碼,直接在異地復制一張USIM卡,從而導致真正的USIM卡失效。這樣一來,機主的手機號碼就會被詐騙分子完全控制。事發后,運營商暫停網站的自助換卡業務。

　　驗證碼,騙子追逐的核心

　　近年來,在個人信息泄露交易愈發猖獗的大背景下,單一的靜態信息如身份證號、手機號、賬號、密碼已經不能保證各類身份驗證,尤其是在線支付的安全。因此從銀行開始,越來越多行業的安全策略采用了“雙因素認證”的理念。而這把“新鑰匙”從最初的U盾、令牌開始,越來越多的“集成”到了智能手機上,“短信驗證碼”已經成為如今在線支付的必備項。　

　　陳迪介紹,短信驗證碼具有用戶體驗好,成本相對較低的優勢,但其以短信發送單次密碼的方式,安全風險顯而易見。由于業務系統與用戶手機短信之間單向的信息傳遞,且驗證碼均是通過明文進行傳遞,極易發生短信通道被劫持、手機盜用、山寨釣魚網站和手機中木馬病毒的問題,進而引發驗證碼劫持、非授權訪問等安全威脅。

　　“要是我熟悉的業務,我肯定不會亂點。”在太平路工作的張先生在接受記者回訪時感慨道。此前,張先生因為誤點了偽基站發來的一條“積分換獎金”的短信鏈接,由于不了解該業務,一向謹慎的張先生一時好奇便隨手點了鏈接。盡管他及時發現了彈出的網頁有問題,但其并未意識到,他的手機已經被悄悄安裝了木馬,導致其隨后收到的銀行轉賬驗證碼被自動轉發給了木馬作者,張先生卡里的7800元存款被全部轉走。-類似張先生這樣的詐騙事件相當普遍,不法分子使出各種招式,最終目標都是騙得驗證碼。

　　《2016年中國電信詐騙形勢分析報告》顯示,通過用戶標記及吐槽信息統計發現,在用戶接到所有詐騙信息及詐騙電話中,虛假的金融理財詐騙最多,占43.2%；其次是身份冒充詐騙,占25.2%。而在2016年高發的身份冒充類詐騙中,冒充電信運營商的詐騙數量最多,占比為26.0%。

　　在獵網平臺2016年接到的手機端用戶舉報數量中,有4265人是通過銀行轉賬、第三方支付、手機充值等方式給不法分子轉賬,占比66.4%；其次,有1132人在虛假釣魚網站上支付,占比17.6%；在釣魚網站填寫賬號密碼等信息后,被盜刷的用戶有605人,占比9.4%；安裝木馬軟件從而被盜刷的用戶有284人,占比4.4%；掃二維碼支付的有107人,占比1.7%；主動告知驗證碼從而被盜刷的有28人,占比0.4%。

　　切莫忽視手機異常情況

　　陳迪坦言,面對此類事件,無論是運營商,云服務平臺,還是支付平臺、銀行方面,都有責任去提升防護壁壘,保障消費者的利益。

　　安全專家建議,廣大網友應為各種網絡賬號設置高強度密碼,盡量使用大小寫字母、數字和特殊符號的組合。此外,不同網站采用不同的密碼,把盜號風險降到最低。

　　互聯網金融平臺方面,提醒用戶盡量不要去注冊小型不安全的網站,避免個人信息被盜用；在不同的互聯網平臺盡量使用不同的登錄密碼和支付密碼,避免使用出生年月,或者比較簡單的數字排列作為賬戶密碼；在公共場合不要輕易連接免費WiFi,不要點擊不明來路的短信鏈接,以免被木馬病毒入侵。

　　從支付企業的角度來說,應該充分意識到短信驗證碼的安全性缺陷,一定要查處自家產品的信任鏈,不能把各類安全業務如修改密碼和改綁手機證書的最后條件全靠短信驗證碼,另外用多種驗證方式來保護用戶的安全,如安全問題、指紋識別、人臉識別都是可以和短信驗證碼互為補充來進行身份驗證的。

　　“不要把雞蛋都放在一個籃子里,也就是說不要把所有的‘鑰匙’都留給手機,一旦手機被人攻破,所有的防線都將瓦解。”陳迪表示。

　　最重要的是,用戶要保護好自己的手機號,運營商服務密碼一定要牢記,不要透露給任何人。但凡涉及短信驗證碼的業務都要格外留意,千萬不要將驗證碼以任何形式轉發或者告知第三方。如果手機出現無故停機狀況,建議用戶第一時間聯系手機運營商,切莫忽視手機異常,謹防手機號被不法分子控制。若用戶發現互聯網金融賬戶異常,要及時報警,并第一時間撥打客服熱線反饋問題。

　　 [編輯: 張珍珍]