半岛全媒体记者 景毅
前些天,一起“离奇”电信诈骗案引发广泛关注。一位何姓先生的手机号莫名其妙成为别人的“副号”,并导致其一夜间被盗刷5万多元。近日,最新的调查结果显示,不法分子是通过破解手机云服务平台,回复副号业务申请短信,从而实现远程将受害人手机号变副号,再通过拦截短信验证码,在互联网金融平台进行消费以及贷款等业务。云服务、副号、自助换卡、积分兑换……记者调查发现,这些原本便民的业务因用户普及程度不高,反而成为不法分子实施诈骗的“帮凶”。保证用户安全的最后一道防线“短信验证码”在这些冷门业务的掩护下屡屡失守,一起起“离奇”的电信诈骗案频频出现。
一觉醒来,5万多元被盗刷
在互联网这个虚拟世界里,证明“你”就是“你”的所有证据,只有你的手机号、验证码、邮箱、身份证号等有限的几个证据。如果这些信息被不法分子掌握,对方就会在这个虚拟空间里变成你,甚至比你还像你,让真正的你瞬间倾家荡产。手机用户何先生就遭遇了一场身份被盗的离奇事件。
2月3日,刚起床的何先生发现自己的手机处于远程锁定状态,更奇怪的是,当他登录电脑解锁后发现,他的手机在凌晨被不断的销毁资料并锁定。他的两家电商平台账户被人登录,并以“白条”的形式下单购买了2台笔记本和2台手机,其一张不常用银行卡申请了两笔共五万多元的贷款,贷款到账后又被迅速转走。
何先生表示,自己的手机曾收到一条业务短信,通知其手机号被一个陌生号码以设置副号的形式接管了。
记者从运营商处了解到,该业务一项一张SIM卡多个号码业务,用户可以开通虚拟副号,也可以绑定已有的实体号码,主副号随时开关切换。开通该业务后,用户在网购、交友、注册账号时,可以用副号,隐藏主号,从而避免遭到电话骚扰甚至电信诈骗。
记者进一步了解到,如果其中一个号码关机或者无法接通,相关电话及短信信息将自动发送到另一个号码上。不法分子正是利用这一点,将原本发送到何先生手机上的短信验证码拦截并发送到自己的手机上。
然而,记者体验发现,想要完成副号设置,必须要机主通过并回复验证短信,而何先生再三强调,在此期间,自己从未对手机进行过任何操作。
近日,经运营商公司及手机厂商联合调查发现,不法分子是利用手机的云服务业务和副号业务,远程操控了何先生的手机,进而完成盗刷。
据了解,由于何先生的手机云服务设置密码过于简单,被不法分子攻破。此后不法分子再利用云服务的“回复短信”接口,远程对何先生收到的副号申请短信进行回复,从而成功在机主不知情的情况下将其手机号设置成了副号。完成这一步后,不法分子继续利用云服务的“找回手机—销毁资料”功能,迫使何先生手机持续处于离网状态。不法分子再利用已掌握的何先生个人信息,登录各大金融平台,平台原本发给何先生的验证码也就顺利发到了不法分子的手机上,进而完成盗刷和贷款。
回条短信,男子瞬间破产
事后,云服务提供商表示将在远程管理功能中关闭“回复短信”接口,以及采用了加强对弱密码和异常登录情况的检测与风险控制;对云服务远程管理手机的重要功能开启密保问题或短信验证码的二次验证等措施。运营商方面也表示,鉴于此类事件,今后将进一步提升业务安全级别。
有不少用户担心,假如以后收到类似的冷门业务短信又该如何处理?
去年4月初,许先生也遭遇了一场隐蔽在冷门业务之中的电信诈骗。许先生的手机忽然收到一条短信:来源为“1065800”的号码发来了一条短信杂志。接着,来源为运营商的号码发来了一条短信,提醒他开通了中广财经业务,同时发来的还有一条“USIM卡6位验证码******”的短信。
正在许先生纳闷的时候,另一个号码发来了这样一条短信:您成功订阅了中广财经40元/半年,3分钟退订免费。如需退订请编辑短信‘取消+校验码’至本条短信退订。”
由于这几条短信接连而至,为了防止自己被订业务,许先生便按照最后一条短信的要求,将刚刚收到的验证码外加取消二字发给了来信方。
然而短信发出后不久,许先生的手机就显示没有信号,等他发现异常并登录网站查询时,其支付宝及三张银行卡内的数万元存款已被转走。
360手机安全专家陈迪告诉记者,整个骗局的关键就在于这个“USIM卡验证码”。诈骗分子需要预先准备一张空白的4G USIM卡。目前,在网上可以轻松买到一张空白的4G USIM卡。然后向运营商申请自助更换USIM卡业务。这个业务的完成需要被更换的卡主用收到的验证码证明身份并同意换卡。于是骗子借退订电信增值业务迷惑受害者回复验证码到骗子设定的号码。受害者以为自己是在退订业务,实际上已经把最重要的验证信息给了骗子。骗子利用这个验证码,直接在异地复制一张USIM卡,从而导致真正的USIM卡失效。这样一来,机主的手机号码就会被诈骗分子完全控制。事发后,运营商暂停网站的自助换卡业务。
验证码,骗子追逐的核心
近年来,在个人信息泄露交易愈发猖獗的大背景下,单一的静态信息如身份证号、手机号、账号、密码已经不能保证各类身份验证,尤其是在线支付的安全。因此从银行开始,越来越多行业的安全策略采用了“双因素认证”的理念。而这把“新钥匙”从最初的U盾、令牌开始,越来越多的“集成”到了智能手机上,“短信验证码”已经成为如今在线支付的必备项。
陈迪介绍,短信验证码具有用户体验好,成本相对较低的优势,但其以短信发送单次密码的方式,安全风险显而易见。由于业务系统与用户手机短信之间单向的信息传递,且验证码均是通过明文进行传递,极易发生短信通道被劫持、手机盗用、山寨钓鱼网站和手机中木马病毒的问题,进而引发验证码劫持、非授权访问等安全威胁。
“要是我熟悉的业务,我肯定不会乱点。”在太平路工作的张先生在接受记者回访时感慨道。此前,张先生因为误点了伪基站发来的一条“积分换奖金”的短信链接,由于不了解该业务,一向谨慎的张先生一时好奇便随手点了链接。尽管他及时发现了弹出的网页有问题,但其并未意识到,他的手机已经被悄悄安装了木马,导致其随后收到的银行转账验证码被自动转发给了木马作者,张先生卡里的7800元存款被全部转走。-类似张先生这样的诈骗事件相当普遍,不法分子使出各种招式,最终目标都是骗得验证码。
《2016年中国电信诈骗形势分析报告》显示,通过用户标记及吐槽信息统计发现,在用户接到所有诈骗信息及诈骗电话中,虚假的金融理财诈骗最多,占43.2%;其次是身份冒充诈骗,占25.2%。而在2016年高发的身份冒充类诈骗中,冒充电信运营商的诈骗数量最多,占比为26.0%。
在猎网平台2016年接到的手机端用户举报数量中,有4265人是通过银行转账、第三方支付、手机充值等方式给不法分子转账,占比66.4%;其次,有1132人在虚假钓鱼网站上支付,占比17.6%;在钓鱼网站填写账号密码等信息后,被盗刷的用户有605人,占比9.4%;安装木马软件从而被盗刷的用户有284人,占比4.4%;扫二维码支付的有107人,占比1.7%;主动告知验证码从而被盗刷的有28人,占比0.4%。
切莫忽视手机异常情况
陈迪坦言,面对此类事件,无论是运营商,云服务平台,还是支付平台、银行方面,都有责任去提升防护壁垒,保障消费者的利益。
安全专家建议,广大网友应为各种网络账号设置高强度密码,尽量使用大小写字母、数字和特殊符号的组合。此外,不同网站采用不同的密码,把盗号风险降到最低。
互联网金融平台方面,提醒用户尽量不要去注册小型不安全的网站,避免个人信息被盗用;在不同的互联网平台尽量使用不同的登录密码和支付密码,避免使用出生年月,或者比较简单的数字排列作为账户密码;在公共场合不要轻易连接免费WiFi,不要点击不明来路的短信链接,以免被木马病毒入侵。
从支付企业的角度来说,应该充分意识到短信验证码的安全性缺陷,一定要查处自家产品的信任链,不能把各类安全业务如修改密码和改绑手机证书的最后条件全靠短信验证码,另外用多种验证方式来保护用户的安全,如安全问题、指纹识别、人脸识别都是可以和短信验证码互为补充来进行身份验证的。
“不要把鸡蛋都放在一个篮子里,也就是说不要把所有的‘钥匙’都留给手机,一旦手机被人攻破,所有的防线都将瓦解。”陈迪表示。
最重要的是,用户要保护好自己的手机号,运营商服务密码一定要牢记,不要透露给任何人。但凡涉及短信验证码的业务都要格外留意,千万不要将验证码以任何形式转发或者告知第三方。如果手机出现无故停机状况,建议用户第一时间联系手机运营商,切莫忽视手机异常,谨防手机号被不法分子控制。若用户发现互联网金融账户异常,要及时报警,并第一时间拨打客服热线反馈问题。