陆兆华表示，如果只是回复短信而未有其它操作并不会导致手机中毒，希望民众不要被误导产生恐慌。针对即将春节的诈骗案件、木马病毒活跃的高峰期，陆兆华建议民众不要打开任何信息中的陌生网址，不要随便安装来历不明的APP软件，也不要随意去连接那些不明公共WiFi。最好能安装专业手机安全软件保护手机安全。如腾讯手机管家可有效的识别恶意网址，查杀手机木马病毒，有效防范各类诈骗。
腾讯手机管家安全专家拆解盗刷案件
据银行工作人员透露，该市民的钱是通过一种网上支付工具完成的盗刷，这说明市民的网络支付工具账号密码已经泄露，而接下来就是利用网络支付工具通过购物洗钱的方式盗刷网络支付工具捆绑的快捷支付银行卡，而这一步必须要有市民的手机支付验证码。
那么，犯罪分子如何获得了用户的网络支付工具账号密码呢？腾讯手机管家安全专家分析称，犯罪分子很可能通过&撞库&方式获得了网络支付工具账号密码，这就如同前几日13万铁路12306用户个人信息泄露一样，通过攻击网游论坛等安全薄弱的网络平台，获取用户的账号密码（一般为邮箱、手机号为账号），再将这些账号密码与某网络支付工具进行批量登录实验，由于用户一般习惯使用相同的账号密码进行注册，导致犯罪分子&撞库&成功，登录到该受害市民耿先生的网络支付工具账户中，看到用户的身份证、姓名、手机号信息。
手机管家安全专家分析盗刷案全过程
接着向该手机号以&某某（用户真实名字）老同学，你的照片，恶意网址&为内容发送欺诈短信，收到短信者看到自己真实姓名，所以放松警惕点开恶意网址，导致手机下载安装木马病毒（案例中的名为&体检&的绿色机器人App）。然后，犯罪分子通过网络支付工具发起&快捷支付&，这时受害市民耿先生的手机会收到支付验证短信，而手机木马病毒则拦截并将短信内容转发至指定手机号，利用窃取的手机支付验证码，完成盗刷。整个过程受害市民耿先生全然不知。
陆兆华亦表示，由于犯罪分子窃取了用户的身份证号、姓名、手机号等所有个人信息，并在受害人手机植入可窃取手机支付验证码的木马病毒，所以完全可以对支付宝等第三方支付工具进行密码修改操作，然后实施危害更大的转账、提取网络理财账号资金等行为。
手机管家安全专家支招应对
其实，这类盗刷银行卡行为的恶意短信和木马病毒并非首次发现。腾讯手机管家此前查杀的&聚会陷阱&就是此类木马病毒，该木马病毒还可以机主身份后台偷偷发送带有恶意网址链接的短信自传播。
对于此类盗取用户银行卡的恶意案件，腾讯手机管家安全专家陆兆华建议广大手机用户：
首先，为网银、第三方支付工具设置与普通网络账号不同的用户名和密码。铁路12306被&撞库&成功，还有本案中的受害人网络支付工具被&撞库&成功都因为其使用了与其他网络账号相同的账号密码。同时，账号密码的规范设置方式为&大写字母+小写字母+数字+符号&。
其次，不要点开任何信息中的陌生网址链接。&聚会陷阱&病毒可以在后台模仿机主向手机联系人发送诈骗短信，所以即使是亲朋好友发来的短信中有陌生网址，也不要打开。除了陌生网址外，信息中的400电话也不拨打，这都可能是诈骗电话。
再次，安装专业手机安全软件，可拦截恶意网址、诈骗短信，并可查杀手机木马病毒。本案中的受害人如果安装了腾讯手机管家，在打开网址的时候，手机管家就会提示为恶意网址，而安装绿色机器人App恶意软件的时候也会进行提醒。而且手机管家还有&安全短信&功能，防止手机木马病毒窃取手机支付验证短信，这也可免遭银行卡被盗刷。
本网站试开通微、小企业商家广告业务；维修点推荐项目。收费实惠有效果！欢迎在QQ或邮箱联系！
试试再找找您想看的资料
资料搜索：
查看相关资料 & & &
　　　同意评论声明
　　　发表
尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款
copyright & &广电电器(中国梧州) -all right reserved& 若您有什么意见或建议请mail: & &
地址： 电话：(86)774-2826670&为什么大多诈骗短信经不起推敲还会有人相信？_知识号
说三道四 最新新闻话题新闻专题评论
> 新闻内容
为什么大多诈骗短信经不起推敲还会有人相信？
“XX集团举行三十周年大庆典，您的手机号码获得了20万大奖。”“爸我在外嫖娼被抓手机被没收，快汇5万保释费到XX。”为什么诈骗短信看上去那么弱智？这样弱智的短信还有人信吗？骗子就不能有点创新吗？社会冷知识诈骗社会心理学德高，喜好研究骗术这叫营销式筛选。你看到一个信息，扫一眼，不靠谱。这只是说明你不是我的客户。假设我发放,
“XX集团举行三十周年大庆典，您的手机号码获得了20万大奖。”“爸我在外嫖娼被抓手机被没收，快汇5万保释费到XX。”为什么诈骗短信看上去那么弱智？ 这样弱智的短信还有人信吗？骗子就不能有点创新吗？社会冷知识诈骗社会心理学德高，喜好研究骗术这叫营销式筛选。你看到一个信息，扫一眼，不靠谱。这只是说明你不是我的客户。假设我发放了100万条信息，我写的很逼真，很让人心动，那么可能我需要联系的人有10万。这不是我想要的结果，我只想要【1个】信奉我为神，我说什么都信的客户。举例：1折 iphone4s 1280元 双卡双待网易搜狐等大型门户站上都有【1折原装正品iphone4s】链接，点开页面，显示关键词：台湾原厂生产、iOS7系统、双卡双待、价格1280元。1、价格12802、双卡双待3、ios7系统4、台湾生产这4点如果任意一点引起你的嗤之以鼻，这只是证明你不是我的客户而已，仅此而已。如果这4点你都相信了，那么我还能说什么让你不相信我呢？/*************8.13.上午***********/今天上午一来，哇，好多赞同、评论、新答案，我一个一个看完，脑袋有点新东西和大家分享一下。有的同学把看上去很傻的短信当【概率】来处理，是不恰当的。“我的农行卡号是****” 这样的才是【概率】。我说一个羊皮卷里讲的犹太人【射箭与中靶】故事，这个是纯粹的【概率】。1，发100万条Email，邮件内容：『我能帮你预测下一场英超球赛比分，下场球赛之前我会提前2小时给你球赛获胜信息』2，比赛前2小时，发50万条 A队获胜。发50万条B队获胜。3，球赛完后，必然会有50万条是正确的。4，下场球赛比赛前2小时，发25万条 A队获胜。发25万条B队获胜。
........n，下场球赛比赛前2小时，发50条 A队获胜。发50条B队获胜。这个最后50人是不是会信奉发Email的人为神呢？这个时候主动联系这50人，说一起集资豪赌世界杯，话说这50人会怎么回复？胡越刚好看到了，转一下http://www./article/303539/Albert_JIAO你肯定收到过诈骗短信。你可曾担心过，那些诈骗短信编得如此劣质，骗子们会不会饿死？其实，他们才没那么笨。XX集团举行三十周年大庆典，您的手机号码获得了20万大奖。爸我在外嫖娼被抓手机被没收，快汇5万保释费到XX。相信用过手机的人都收到过类似的短信，你有没有这样的疑问：这些已经被媒体曝光成千上万次骗术为什么还是一再出现？骗子们看上去实在太不好学了，怎么也不开拓创新一下理念，这么out的东西还有人信吗？最近，微软的研究人员回答了这个问题，骗子才没我们想的那么简单。从“尼日利亚王子”说起在 英文 Email 里，最流行的垃圾邮件就是“尼日利亚王子”，大体故事情节是尼日利亚几位高官要把巨额资金以“国家秘密”的形式转移到国外，需要使用你的名义和银行账户， 转移成功之后你将获得上千万美元中的 10% 作为酬劳。如果答应和这些“高官”合作，过一段时间骗子就会以事情进展不顺利为由，让你先垫付一点“微不足道”的手续费和打点官员的小费，付过几次钱之 后，对方就变得无影无踪。“尼日利亚王子”就是这样一种没有任何高明之处的诈骗方式。一封“尼日利亚王子”邮件这 种骗术在之前的纸制信件里就开始流传，后来是通过传真，再到后来的电子邮件，已经有几十年的历史了，可谓“经久不衰”。由于不断被冒用名义，尼日利亚政府 在 1991 年不得不公开发表声明不存在这回事，不过这封邮件直到今天依然很流行。微软的研究人员想弄清楚的是，这封文笔都不通顺、谷歌一下就能找到的邮件为什么还一 直在被骗子使用。他们为何不写些生动形象、新颖逼真的版本？依据损失而设定的灵敏度在回答这个问题前，我们先把目光移向与诈骗邮件风马牛不相及的防火警报器。在 宿舍里，火灾报器常常半夜里叫起来，最后却发现是虚惊一场，它为什么这么不靠谱？这大概是因为警报器的本身“水平有限”，传感器总是不能区分真正的火灾和 吸烟产生的烟雾、空气湿度变化、气温过高这些正常情况，因而就会产生两种错误：不应该响的时候乱响（false positive）和该响的时候不响（false negative）。可是 false positive 和 false negative 两种情况总是一个变小另一个就变大。如果把警报器调的灵敏一些，它就会经常没火的时候乱响，但是有火的时候失灵的几率就小了很多；如果让警报器迟钝一些， 就不会半夜里总是把人吵醒，可是真着了火它也容易不响。警报器的灵敏度是一把双刃剑，什么样的灵敏度才是适当的，要视 false positive 和 false negative 两种后果造成的损失（即成本）大小而定。对于警报器来说，如果没火的时候乱响，损失不大，可是真有了火灾它没有发挥作用，就会造成巨额财产损失甚至生命危 险，权衡利弊，我们宁愿把防火警报器调的灵敏一些，让它乱响几次以防万一。警报器不该响的时候响、该响的时候不响的困扰也存在于其他很多场 景，不过灵敏度却未必总是要越高越好。例如在法庭上，如果对一个嫌疑人的指控证据不充足，处于“半有罪半无罪”的状态，法庭也会像火灾报警器一样犯两个错 误：把好人冤枉成坏人（false positive）和把坏人当好人放了（false negative）。这种情况下如果把灵敏度调得高一点，就意味着“宁可错杀一千，不可放过一个”；如果把灵敏度调得低一点，就意味着“永远不冤枉一个好 人”。比较一下两种情况的造成的损失，如果把一个好人误判为有罪，这样的冤案哪怕只有几起，也会让法庭的公信力大大下降，比暂时放掉一个坏人的损失要大得 多。所以大多数国家在这里会把敏感度调得比较低，这就是所谓的“疑罪从无”。骗子没有看上去那么笨回到最初的问题上来，灵敏度和诈骗短信有什么关系？微软研究人员认为，骗子发电子邮件和上述情形有共通之处。对 于骗子来说，目标就是在茫茫人群中找到一个受骗者，把钱骗到手。不过，大家要搞清楚的是，仅仅对骗子的电子邮件有兴趣，回复了邮件，只能称得上“上钩”， 最后把钱汇到骗子手里才称得上被骗。人群里最后上当的人的比例跟电子邮件内容没很大关系，因为上钩者不会只因为最初的邮件内容就汇钱给骗子，更关键的是接 下来与骗子的联系情况，一旦“上钩者”发现不对头的地方，就会中断与骗子的联系。电子邮件的质量相当于“灵敏度”，会先把人群里一部分可能上当的人筛选出 来。骗子们的false positive和false negative就是：false positive：把人群里本来不容易上当受骗的人钓上来了，进行行骗。false negative：错过了人群里很傻很天真的人，没有骗到他们。容 易看出，骗子整体的骗术相当低劣，而如今人们警惕性又越来越高，能上当的人的比例少之又少，可能只有万分之一。如果“尼日利亚王子”的邮件写得像福尔摩斯 侦探小说一样滴水不漏，相当于把灵敏度调高，false positive会变大，false negative会变小，这就意味着骗子起初需要联系的人变多了，但最后真正上当交钱的人未必会增加多少，结果不见得划算。那骗子在两种情况下的成本各是什么呢？false positive：骗子进行这种诈骗也不是没有投资，群发邮件没有多少成本，可是如果跟钩上来的鱼一对一联系起来，成本就变大了。如果联系的人比较多，需 要雇用更多的“客服”，需要开更多的银行账户，需要制作更多的假材料，甚至还有把“放蛇”的警察引进来这种风险成本。最后这些不傻也不天真的人会在深入的 交流之后发觉真相，拒绝交钱给骗子，那骗子就是白忙了。false negative：很简单，最后交钱的人少了，骗到的钱也减少了。综 合下来就是，彻底把一个人的钱骗到手概率不大，false positive成本不小，false negative成本没想象的大，三个因素合到一起会迫使骗子降低钓鱼的灵敏度。他们故意发一些很假的邮件，这样上当的都是些“真傻”的受害者，可以减少 跟“钓上来的鱼”辛苦联系一番，最后却一分钱没骗到的情形。这一方面说明，现在这年代骗子们行骗的成本越来越高，这个行业越发不景气。另一方面也说明，骗 子们其实还是很有商业头脑的。参考资料：[1] Why do Nigerian Scammers Say They are from Nigeria?[2] Nigerian Scamvczh，专业造轮子，资深汕头人。github id: vczh傻逼才好骗啊，所以把一个诈骗短信搞成这样，不就是为了把题主你这样的聪明人筛选出去嘛，剩下的就是傻逼了。简单粗暴。知乎用户，惟抄袭原创与绑架用户最无良可耻。讲一个故事。一个做红酒生意的经销商，一日收到一条诈骗短信：“请汇款到农行账户xxxxxxxx。”作为一个久经沙场的生意人，他百思不得其解：“为什么诈骗短信看上去那么弱智，依然还是有人上当？”为了体现自己的聪明才智，他决定保存下来。久而久之就忘了这事。整整一年后，在一次交易中他给骗子汇出了2000万人民币。就因为正好账户变更，而他一年前没删的短信被他误认为是打货款的短信。这是个真实的故事，也许骗子也没料到一年后还会有人上当，最后2000万还是弄回来了。在银行这种事情多了去了，甚至是自己就是派出所的民警也会有上当的时候。ScottDong，前律师只说一句话：约炮同理。李南奇，遇酒且呵呵，人生能几何。诈骗这种事看的是时机，这叫大面积撒网重点培养，正好在银行准备转帐就收到帐号短信，正好客户要来本地出差就收到他嫖娼被抓的求救电话，小孩联系不上正好接到他摔破头的电话，就算是平时很警惕的人，心里也会顿一顿，要在脑子里过一过，手快的话钱已经出去了。所以在你看来弱智的诈骗手段，在时机正确的目标那里，简直就是瞌睡了有人送枕头啊。匿名用户草答一下，吃饭去，回来修正。上面的答案，你们有没有考虑发短信也要钱？短信发送要有频率限制？尼日利亚王子也好，足球诈骗也好，是基于E-mail，而不是短信！短信诈骗是基于短信的，短信是要花钱的，谢谢。虽然有盈利，但是更多的是赔钱的。更多人，现在已经转移到了电话诈骗了，400电话什么的精准定位也已经被玩了好多年了。所以，这事情的第一步，你们就估计错了。诈骗短信的发送，分玩的和不会玩的。先说不会玩的：不懂行的人，在短信发送的时候，是随机的……事先对手机号没有任何筛选，他们为什么发？市场？NO，他们只是听说这种东西有效果而已。听说，你懂吗？然后去买一个短信群发器，买一堆卡。你没看错，是买一堆卡，然后专门发短信，一个群发器，发送xx条什么的（一些地区，运营商还对发送频率有限制什么的，其实挺累的，发送量也一般）。然后，盈利什么的靠人品……真靠人品，这种短信，一些人第一次收到了甜头，会继续玩，没有的，玩几次不玩了。不要以为骗子多聪明，很多错字连篇的。再说会玩的：这类骗子相对好一点，他会对买来或者采集来的手机号进行分析，然后用群发器发送。相对于刚入门的，效果好一点。所以，一般年长的人，容易接到儿女出事的短信，工作的人，容易接到转账的短信，低收入人群更容易收到中奖短信。难道就没人想过为什么你刚买了房子就有短信提示你xx地方的装修这事情吗？另外，你确定所有短信都那么弱智？送一个新鲜的，上当地的不少呢。其实，更多情况是靠电话来精准忽悠的，400电话，几百块钱就能搞定，变号器也便宜的要死，对一个人精准分析之后进行诈骗，性价比比短信好得多。短信这东西，已经逐渐的走进历史殿堂了。这种方式，更多的时候是靠心里。当亲人出事的时候，第一次接到这种短信的时候，很多人在紧张情况下就信了，只不过现在玩的多了，大家都当作是骗子，不过一些上了年纪的老人，刚刚离开小城镇的人（没有贬低的意思，只是信息不对称造成的）依旧会信。蔡小帅不这样的话，怎么能把傻子都筛选出来呢，如果编得很完美，这样傻子和聪明人都会初步上当，从而和骗子对话，但是最终汇钱的只有傻子，骗子就会白费功夫和聪明人对话。如果短信很弱智，那么愿意和骗子对话的，基本都是傻子了，最终转账付费的比例就会很大了。姜钧，一个南北干货批发十年从业者。有食品内幕。看了得票第一的。忍不住要写。可文笔又不行，想去黏贴来。其实表达好一个意思就对了。最形象的比喻就是(调高过滤筛子的密度，或者是调高防火喷水器的警报阀门一样)太低了，或者谎话编的像真的一样，那第一步骗来的人就太多了，那第二步的成本就太大了。把骗术弄得这么低劣，如果还有相信的人，还有人打电话去的话，那以后的成功率会不会就比较高呢！道理差不多就是这样了。第一次这这么长。赶紧跑。知乎用户在特定时间，特定的情况下，这样的短信就可能变得不弱智了，我举个真实的例子，使我们的顾客遇到的。情况如下：顾客没有网银，只好用汇款购物，已经在旺旺上告知工行账号了。那天，顾客刚出门要去汇款，有个短信过来的，说银行卡坏了，换另外一个工行账号打款。结果她自然而然的就觉得这是我们发出的短信，把钱打过去了，然后来告知我们发货，我们查了又查，就是没有查到汇款，就打电话过去问，顾客说不是你们发短信说换账号了么？这时我们想到顾客被骗了，但是又能怎么样呢，只能让顾客去报警解决，我们愿意作证。知乎用户教给大家举报的方法。号码*诈骗内容发送给12321蔡念洋，成长期一个比较出名的诈骗手法在一个手机号码段内，将12万人分为12组，分别发送"本期六*合*彩特码"和十二个生肖。等第一期开奖后，选取中了的生肖的那组，再把这一万人分为12组，分别发送"本期六*合*彩特码"和十二个生肖。等第二期开奖后，再选取中了的那组继续发。最后会有69人左右收到了连续三期都预测中了六*合*彩特码的短信。这时再发送给这69人"要想知道这期六*合*彩特码，打***钱到***账号"只要一个人中招就能回本，要是你第一次收到这样的短信，你会中招吗？任天涯，终究是个俗人......不这样怎么把能被骗到的笨蛋筛选出来啊。说个我本人的事，因为工作原因，所以我手机外泄比较严重。N多骗子找我，玩的就是你猜猜我是谁那套把戏。弱智吧？一听就能听出来。不过我的手机接听免费，所以基本上我每次都要和骗子玩上两三天，等到骗子气急败坏的时候在迅速问候他全家和他祖宗结束。显然我给骗子造成了一定的成本耗费，如果都像我这样玩骗子，估计骗子就破产了。所以骗子应该很不喜欢我这种客户，那么那些弱智的东西把我恶心开是个比较好的选择。陈强，小说/杂/游戏/因为秉持的便是广撒网来捕鱼的做法，只要有一个头脑一发热或太天真的家伙，便赚了。骗子的客户本也不是精的猴也似的普通人，给他们群发短信，只是用短信来将这些人过滤下去，好筛出真正相信骗局的客户来。知乎用户，斯人已逝假作真时真亦假。说个我自己的。前几年，有次在外面手机丢了，偷我手机的那几只新疆人被我抓住一只，揪到附近的警局报案。因为有事要和麻麻联系，我就借了警察叔叔的手机打过去，麻麻明显没听到；于是我就短信过去，大意是，我手机被偷了，在警局备案，迟点回家。结果，我那超级警惕的娘亲直接把这条信息忽视了。。。唉。唐俊，农民伯伯一般不推敲，秉承两个原则一般不上当：1、不贪。不贪大、小便宜，各种中奖、借钱凡是与钱相关的直接忽略。2、不惊。重要的事情亲人一般都会给你打电话，而不是发短信，谈定点。梦飞，一介草民切身体会： 一次在外地急用钱，便就近找了一台看起来十分破旧的atm跨行取了几百块钱，正在担心atm的安全性的时候，手机收到一条短信，“您尾号为****银行卡支出2000元，详情请咨询******（大概就是这个意思）”，顿感心里一慌，还好真正的短信提示随后就到。。。简而言之，当基数足够大时，任何小概率时间都会成为必然Alldryc，新媒体运营果壳的答案过于理论化和想当然了，最大的问题是”傻“与”不傻“是不能按一条短信的回复来筛选的，难道从朋友嘴里知道这条短信是骗子的人就更有可能不傻吗？反过来说岂不是越是听信传言的人越容易被骗么？实际上这也就是问这个问题的人真正想问的点。不用果壳的答案也可以得到解答。创新一种骗术是需要成本的，而短信端的受众群体并不deserve它，骗子会拿它来编成红头文件什么骗高官等。靠短信生存的骗子核心竞争力并不在创新，而是在客服和逃跑的执行力上。匿名用户遇到过这样一个情况。新办的手机卡从来没有收到这样的信息“钱打到这个卡吧，xxxxxxxxxxxxxxxxxx，农行，xxx”，直到有一天。要还朋友的钱，朋友前一天晚上发来卡号，当晚有事，没来得及转账，第二天，收到陌生短信“钱还没打吧，之前那卡已坏不用了，重发个新卡给你，款就转到这张农行卡上：XXXXXXXXXXXXXXXX，XX。”后经过和朋友核实，没有这回事。不知道是概率问题，还是骗子最新有什么新技术了？唐霖，学得越多，发现自己不懂的就越多上当的人总是少数，骗子只是他们行骗的基数特别大。就像那个预测足球比赛结果的例子一样
浏览：87发布： 8:34:14
浏览：28发布： 20:14:09
浏览：75发布： 12:46:16
浏览：78发布： 15:01:08
浏览：84发布： 9:19:45
浏览：68发布： 9:29:06
浏览：79发布： 16:20:45
浏览：83发布： 14:58:26
浏览：23发布： 20:13:53
浏览：68发布： 20:32:46【紧急】10086这条短信千万小心！有人回复后“倾家荡产”了...
【紧急】10086这条短信千万小心！有人回复后“倾家荡产”了...
【紧急】10086这条短信千万小心！有人回复后"倾家荡产"了...
央视财经最近，一篇自述被骗经历的万余字长文，配发一系列截图证据，在网络上广为流传。经过多方联系，记者找到了当事人小许，一名参加工作不久的大学毕业生。由于回复了一条短信，他的支付宝、银行卡以及百度钱包内所有的资金一夜之间被“洗劫一空”。小许究竟是如何“中招”的？骗子是如何攻破他所有账户的？央视记者在调查中发现，一种全新的骗术已经出现并正在蔓延，不可不知、不得不防。一、诡异订阅付费服务 回复验证码退订手机竟瘫痪4月8日傍晚，挤在北京晚高峰的地铁里，小许连续收到了几条来自中国移动官方号码的短信。短信称，他已成功订阅了一项“手机报半年包”服务，并且实时扣费造成手机余额不足。△小许收到的短信截图小许很纳闷，因为他根本就没有订阅这个服务。紧接着又一条短信接踵而至，内容显示，只要回复“取消+验证码”即可退订该项服务，且3分钟之内退订免费。当小许正在琢磨“验证码”到底是什么时，手机上又收到了一条来自中国移动客服电话“10086”的短信，内容显示“您的USIM卡验证码为******（六位数字）”。小许并未多想，便编辑了“取消+六位验证码”的短信回复了过去。原以为成功避免了一次手机用户经常碰到的“吸费业务”，但他却惊讶地发现，自己的手机突然显示“无服务”，无论重启多少次都没有响应。二、支付宝一夜“归零” 网银账户皆“沦陷”当天晚上8点左右，小许的手机在无线网络下，接连收到了支付宝的转账提示，这意味着有人在另一个终端上操作他的支付宝账户。由于手机无法呼出挂失，情急之下，小许通过操作客户端解除了支付宝与三张银行卡的绑定，并且委托亲友拨打支付宝客服电话冻结账号。但是，当小许挂失完成后，发现支付宝没钱了，而且还在网银里跨行转账，每张银行卡余额均为零。更令小许感到恐惧的是，第二天他发现名下的招行、工行两张储蓄卡被人绑定在另一个在线支付平台“百度钱包”上，加上小许原本在“百度钱包”绑定的另一张中国银行卡，三张卡在事发当晚均进行了资金转移操作，并最终通过招行和工行的手机银行，以“短信验证码转账”全部转入了两个陌生账号。这意味着，就连他的银行账号也被攻破了。&一条短信让小许一夜之间变得身无分文。三、诈骗分子设“连环局” &上演“偷天换日”小许的遭遇不仅让众多网民震惊，也在通信、互联网和银行业内引发了热议。从收到可疑短信，直到眼见自己的所有账户被彻底“洗劫一空”，整个过程只有3个多小时。骗子到底是通过怎样的手段“发起攻击”的？央视记者通过调查复盘了整个骗术过程，这实际上是一个“连环计”。第一计：破解移动官网密码 “劫持”手机发动攻击记者登录中国移动北京分公司官方网站，找到了“中广财经半年包”业务。自助订阅后立即扣费，记者收到的短信和小许接收到的内容完全一样，都来自“10086”。明明小许没有订阅，为何会收到订阅短信？根据中国移动的内部查证：4月8日17点54分，有人通过海南海口的一个IP地址，以小许的手机号成功登录了北京移动官方网站，不仅发起了手机报订阅，还在18点13分成功办理了一项名为“自助换卡”的业务。第二计：发“退订”短信 制造验证码假象骗子在攻破移动网站的登陆密码后，给小许订阅了“手机报”，并发了所谓“取消+验证码”的退订信息。这么做一是通过手机欠费让受害者产生担心心理；二是制造“退订”时需要“验证码”的假象。第三计：启动换卡流程 &“退订”变“换卡”套取验证码是本次骗术的关键所在，骗局的核心就是“自助换卡”。上面提到，骗子在登陆移动官网后还发起了“自助换卡”业务。这是中国移动推出的一项在线服务，用户不必跑营业厅，直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效，旧卡同时作废。但是，自助换卡时系统会向用户发一个二次确认的验证码，也就是小许收到短信：USIM卡六位验证码XXX。只有把这个验证码再填回系统之后，才会发起后期的换卡工作。也就是说，这个验证码可以直接把之前手机的SIM卡废掉，原来的号码将会转移到另一张SIM卡。这是设局的关键，诈骗分子制造“退订”假象，就是要拿到这张新SIM卡。△小许收到的“验证码”短信截图而小许收到的这条来自10086系统自动发出的验证码，并未说明用途，也没有对验证码的泄露风险进行安全提示，结果将换卡的验证码误以为是退订用的回复给了骗子。小许认为，普通人没有接触过这方面信息的时候，是不知道验证码是有什么用处的。骗子正是在这个绝大多数用户不清楚的“信息盲点”上做文章，“嫁接”起了两项中国移动的官方业务，编造了整个骗局的“剧本”：对此，移动公司表示，目前不能准确解释小许的账号是如何被他人成功登录的，但如果密码设置过于简单，或与其他安全级别较低的网站密码相同，就可能会在反复尝试下被攻破。四、换卡无需“验明正身” &便捷还是隐患？小许的经历并非个例，不少有着同样遭遇的网友主动与小许联系，讲述自己被攻击的经过。信息安全专家把此类电信诈骗称作“补卡攻击”。记者体验了“自助换卡”的全部流程，与到营业厅当面办理不同，自助换卡全程都没有核验操作者的身份信息，仅需要准备一张未被写入号码信息的新卡，并将卡面上的编号输入网页，这张卡被业内称为“白卡”。据了解，这种“白卡”和领取人的手机号没有绑定关系，因而领取后可以写入任何手机号，不仅可以免费从官方途径获得，甚至在淘宝等网站上有人公开售卖。这就意味着，攻击者要“劫持”小许的手机卡，只需要以小许的手机号成功登录中国移动网上营业厅，并骗到那个没有任何提示说明的6位验证码，剩下的条件都可以轻易获取，不需要任何身份验证。五、“冷门”业务成了诈骗的“后门”回溯小许的遭遇记者发现，在这场“连环”骗局的几条短信中10086是中国移动统一客服号码、是中国移动手机报号码，令当事人深信不疑。就连此次事件中唯一一条由骗子编造的诈骗短信，也是利用“139邮箱”的一项“发短信”功能发出的。记者实际操作发现，如果接收短信的手机没有将发短信的邮箱所对应的手机号存储为联系人，接收到的信息均显示以“10658”开头。而中国移动旗下的“服务提供商业务号码”发送的“行业短信”大都以“10658”开头。攻击者看中的正是这个功能细节，不仅可以对诈骗短信进行伪装，骗取接收者的信任，还可以接收到当事人回复的关键验证码。因此，139邮箱的“发短信”功能被攻击者所用，成为骗局的重要一环。而这项中国移动已经推出8年的免费功能，很少有人真正了解它的操作细节，使用率也不高。诈骗分子在劫持小许手机的过程中，自始至终利用的都是中国移动的业务、工具和平台。一些用户眼中的“冷门”业务，成了极易被攻击者“盯上”的充满风险的“后门”。△【视频】诈骗分子如何“撬动”全部账户？六、骗子是如何攻破全部账户的？攻击者在“劫走”当事人的手机卡后，第三方支付平台、甚至银行的安全验证都被接连突破。这一切是如何做到的？仅靠掌握短信验证码就可以实现吗？账户接连遭劫 &个人信息泄露在先据工商银行客服介绍，只有取钱密码、银行卡号和手机完全掌握才能在网银上进行操作。这意味着，尽管短信验证码是每一步攻击的关键，但同时还分别需要身份证号和银行卡号。因而可以断定，小许的手机卡被“劫持”之前，他更多的“成套”个人信息已经被攻击者掌握了。据信息安全专家张耀疆介绍，个人信息已形成地下数据库。这个库里面会有大量的非常完整的个人信息的链条。比如姓名、家庭住址、手机号、银行卡号、银行的密码，其实在网络黑市里都有，而且是别人整理好的，不是零散的。短信验证码“不能承受之重”记者对本次事件所涉及的第三方支付平台和手机银行的关键业务进行操作汇总后发现：所有的在线支付都可以用手机号和静态密码登录，百度钱包直接可以用短信验证码登录；“更改登录密码”和“转账支付”也无一例外地需要依靠短信验证码完成；而对于第三方支付最重要的“支付密码”，支付宝也简化到仅凭短信验证码就可以更改。好比所有的鸡蛋都放在一个篮子里，导致了种种问题。可见，之所以小许的所有账户被“全线攻破”，是因为除了个人信息这把“钥匙”早已泄露外，第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。七、如何防范“验证码攻击”？面对此类针对短信验证码的“精准诈骗”和“组合攻击”，该如何保护自身安全？信息安全专家提示，如果只靠一个简单的静态密码，无法保证安全，下面这四招一定要记住：招数一：静态密码设置一定要复杂&& 静态密码首先要足够复杂，并妥善保管防止泄露。其次，攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对"运营商"、"银行"等身份的手机短信和来电进行认真甄别，冷静应对。招数二：遭遇“干扰信息”仔细甄别莫慌张攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、“银行”等身份的手机短信和来电进行认真甄别，冷静应对。招数三：手机离奇“瘫痪” 紧急“挂失”当先如果手机通讯出现瘫痪，一定要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于"信息孤岛"时，冒名顶替机主身份窃取账户。招数四：最重要的是：短信验证码不要告诉任何人！电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统，构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟：所谓“好的用户体验”，就像一架天平，一头是“便捷”，而另一头是任何时候都不能忽略的“安全”，这架天平的平衡一旦打破，所有的一切都会“归零”。你会喜欢来源：央视新闻（ID：cctvnewscenter）本文编辑：姜美羊
发表评论：
馆藏&99623
TA的推荐TA的最新馆藏[转]&}