10658000 晚上8点左右

　　视频加载…

　　央视新闻编辑曲、、张省

　　近日，一篇一万多字的长文，配以一系列截图，在网上广为流传。经过多方联系，记者找到了当事人小许，一名刚刚参加工作的大学毕业生。由于回复了一条短信，他支付宝、银行卡、百度钱包里的资金一夜之间全部被“洗劫一空空”。

　　小许是怎么“被抓”的？骗子是怎么攻破他所有账户的？央视记者在调查中发现，一种全新的骗术已经出现并正在蔓延，我们不得不对此有所警觉和防范。

　　奇怪的订阅支付服务回复验证码退订手机居然瘫痪了

　　4月8日晚，在北京晚高峰时段的地铁上，小许连续收到几条来自中国移动官方号码的短信。短信说他成功订阅了一个“手机报半年包”服务，实时扣费导致手机余额不足。

　　△小许收到的短信截图

　　小许很困惑，因为他根本没有订购这项服务。然后又是一条短信，内容显示回复“取消+验证码”即可退订服务，3分钟内免费退订。

　　正当小许疑惑“验证码”是什么的时候，他的手机上收到了一条来自中国移动客服号码“10086”的短信，短信内容为“您的USIM卡验证码为* * * * *(六位数)”。小许没有多想，就编辑了“取消+六位验证码”的短信，回复了过去。本以为成功避开了一个手机用户经常遇到的“吸费业务”，他却惊讶地发现，自己的手机突然显示“无服务”，无论重启多少次都没有反应。

　　支付宝一夜“归零”网银账户全部“沦陷”

　　晚上8点左右，小许的手机在无线网络下连续收到支付宝的转账提示，这意味着有人在另一个终端上操作他的支付宝账户。

　　由于手机无法呼出挂失，情急之下，小许通过操作客户端解除了支付宝与三张银行卡的绑定，委托亲友拨打支付宝客服冻结账户。然而，当小许挂失时，他发现支付宝没钱了，而且还在网银进行跨行转账，每张银行卡的余额为零。

　　令小许惊恐的是，第二天，他发现自己名下的两张招商银行和工商银行的储蓄卡已经绑定了另一个在线支付平台“百度钱包”。此外，百度钱包中小许原本绑定的另一张中国银行卡，事发当晚三张卡均有转账操作，最后均以“短信验证码转账”通过招行和工行的手机银行转账至两个陌生账户。这意味着，就连他的银行账户也被攻破了。

　　一条短信让小许一夜之间身无分文。

　　骗子们设下“连环局”，上演“窃天换日”

　　小许的经历不仅震惊了许多网民，也在通信、互联网和银行部门引起了热烈的讨论。从收到一条可疑短信，到看到自己所有账号完全“洗劫一空空”，整个过程只需要3个多小时。到底骗子是通过什么手段“发动攻击”的？央视记者通过调查重复了整个行骗过程，这其实是一个“连环计划”。

　　第一招:破解手机官网密码，“劫持”手机发起攻击。

　　记者登录中国移动北京分公司官网，找到了“中广金融半年包”的业务。自订后，费用立即扣除。记者收到的短信和小许收到的一模一样，都来自“10086”。为什么小许没有订阅，却收到了订阅消息？据中国移动内部核实，4月8日17时54分，有人通过海南海口某IP地址，使用小许手机号成功登录北京移动官网，不仅发起了手机报订阅，还于18时13分成功办理了一项名为“自助补卡”的业务。

　　第二招:发送“退订”短信，制造验证码假象。

　　骗子攻破手机网站登录密码后，为小许订阅了“手机报”，并发送了所谓的“取消+验证码”退订短信。一种是通过手机欠费让受害者担心；二是制造“退订”时需要“验证码”的假象。

　　第三招:启动换卡流程“退订”到“换卡”

　　捕捉验证码是这个骗局的关键，骗局的核心是“自助补卡”。

　　如上所述，骗子在登陆移动官网后还推出了“自助换卡”业务。这是中国移动推出的一项在线服务。用户无需去营业厅，直接在官网操作即可更换4G手机卡。新卡立即生效，旧卡同时作废。

　　但自助卡更换时，系统会向用户发送第二个确认验证码，即小许收到一条短信:USIM卡的六位验证码XXX。只有将这个验证码填回系统后，才会启动后期的换卡工作。也就是说，这个验证码可以直接废掉之前手机的SIM卡，原来的号码会转移到另一张SIM卡上。这是设置的关键。诈骗分子制造了“退订”的假象，也就是为了得到这张新的SIM卡。

　　△小许收到的“验证码”短信截图

　　但小许是从10086系统自动收到这个验证码的，并没有说明其用途，也没有对验证码的泄露风险进行安全提示。结果他误以为换卡验证码是给骗子的退订回复。小许认为，普通人在没有接触过这些信息时，不知道验证码有什么用。正是在这个“信息盲区”，绝大多数用户并不知道，骗子大做文章，“嫁接”了中国移动的两个官方业务，编造了整个骗局的“剧本”:

　　对此，移动公司表示，目前无法准确解释小许的账号是如何被他人成功登录的，但如果密码设置过于简单，或者密码与其他安全级别较低的网站相同，则可能在多次尝试后被攻破。

　　不“验证身份”换卡是方便还是隐患？

　　小许的经历并不独特。许多有相同经历的网友主动联系小许，讲述他们被攻击的故事。信息专家将这种电信诈骗称为“换卡攻击”。

　　记者体验了“自助补卡”的全过程，与营业厅面对面办理流程不同。在自助换卡的整个过程中，没有对操作人员的身份信息进行验证。只需要准备一张新的没有写号码信息的卡，并将卡表面的号码输入到网页中。这张卡在业内被称为“白卡”。

　　据了解，这种“白卡”与收件人的手机号码没有绑定关系，收到后可以写入任何手机号码。不仅可以从官方渠道免费获得，甚至可以在淘宝等网站公开出售。这意味着，攻击者想要“劫持”小许的手机卡，只需要用小许的手机号成功登录中国移动网上营业厅，在没有任何提示的情况下，骗走6位验证码即可。其余条件无需任何认证即可轻松获得。

　　“冷门”业务成了诈骗的“后门”。

　　回到在小许的遭遇，记者发现，在这个“连环”骗局的几条短信中，10086是中国移动的统一客服号码，10658000是中国移动的手机报号，让当事人深信不疑。就连这起事件中唯一一条骗子编造的诈骗短信，也是利用“139邮箱”的一个“发短信”功能发出的。

　　据记者实际操作，如果接收短信的手机没有存储该短信邮箱对应的手机号码为联系人，则接收到的信息将全部以“10658”开头显示。中国移动“服务商业务号”发送的“行业短信”大多以“10658”开头。攻击者感兴趣的正是这个功能细节，既可以伪装诈骗短信骗取接收方的信任，又可以接收到对方回复的密钥验证码。

　　因此，139邮箱的“发短信”功能被攻击者利用，成为骗局的重要一环。中国移动的这个免费功能已经推出8年了。很少有人真正了解它的操作细节，使用率也不高。

　　在劫持小许手机的过程中，诈骗分子总是使用中国移动的业务、工具和平台。一些用户眼中的“冷门”业务，变成了容易被攻击者盯上的高风险“后门”。

　　作弊者是如何攻破所有账户的？

　　攻击者“抢”走当事人手机卡后，第三方支付平台乃至银行的安全验证相继被突破。这都是怎么做到的？仅仅掌握短信验证码就能实现吗？

　　账号接连被抢，个人信息先泄露。

　　工行客服称，只有在取款密码、银行卡号、手机都完全掌握的情况下，才能进行网银操作。这意味着，虽然短信验证码是每次攻击的关键，但也需要分别输入身份证号和银行卡号。因此，可以断定，在小许的手机卡被“劫持”之前，攻击者已经掌握了他的更多“成套”个人信息。

　　据信息安全专家张耀江介绍，个人信息已经形成了一个地下数据库。这个库中会有很多非常完整的个人信息链。比如姓名，家庭住址，手机号，银行卡号，银行密码，网上黑市都有，而且是别人整理的，不是零散的。

　　短信验证码“不能承受之重”

　　记者对此次事件涉及的第三方支付平台运营和手机银行关键业务进行汇总后发现，所有网上支付均可使用手机号和静态密码登录，百度钱包可使用短信验证码直接登录；无一例外，“更改登录密码”和“转账支付”都需要通过短信验证码完成；对于第三方支付最重要的“支付密码”，支付宝也简化为只能通过短信验证码更改。比如所有鸡蛋都放在一个篮子里，导致各种问题。

　　由此可见，小许所有账号之所以被“全线攻破”，除了已经泄露的个人信息“钥匙”之外，第二把钥匙“手机验证码”也因为手机卡被“抢”走而落入攻击者手中。

　　如何防范「验证码攻击」？

　　面对这种针对短信验证码的“精准诈骗”和“组合攻击”，如何保护自己的安全？信息专家建议，如果仅仅依靠简单的静态密码，无法保证自己的安全。以下四招一定要记住:

　　招数一:静态密码设置一定要复杂。

　　首先，静态密码要足够复杂，妥善保管，防止泄露。其次，攻击者往往利用各种手段伪装短信，千方百计误导甚至恐吓目标。所以一定要仔细甄别“运营商”和“银行”的短信和来电，冷静处理。

　　招数二:遇到“干扰信息”不要慌

　　攻击者往往通过各种手段伪装短信，千方百计误导甚至恐吓目标。所以一定要仔细甄别“运营商”和“银行”的短信和来电，冷静处理。

　　招数三:手机离奇“瘫痪”，紧急“挂失”带头。

　　如果手机通讯瘫痪，一定要马上找出故障原因。非手机本身或信号故障，要立即挂失手机卡，及时冻结第三方支付和银行账户，防止攻击者在用户处于“信息孤岛”时冒充机主盗取账户。

　　招数四:最重要的是:短信验证码的事不要告诉任何人！

　　电信运营商和提供相关服务的企业只会向用户发送短信验证码，绝不会通过短信或电话要求用户“回复验证码”。

　　从电信运营商，到第三方支付平台，再到正在进入互联网的银行系统，构成了今天我们每个人信息和财产安全的链条。小许的经历给一系列以“安全”为生命线的行业敲响了警钟:所谓“良好的用户体验”就像一个天平，一端是便捷，另一端是任何时候都不能忽视的安全。这种平衡的平衡一旦被打破，一切都会“归零”。