这条短信千万小心！有人回复后“倾家荡产”
中央电视台
　　最近，一篇自述被骗经历的万余字长文，配发一系列截图证据，在网络上广为流传。经过多方联系，记者找到了当事人小许，一名参加工作不久的大学毕业生。由于回复了一条短信，他的支付宝、银行卡以及百度钱包内所有的资金一夜之间被“洗劫一空”。　　小许究竟是如何“中招”的？骗子是如何攻破他所有账户的？央视记者在调查中发现，一种全新的骗术已经出现并正在蔓延，不可不知、不得不防。　　诡异订阅付费服务 回复验证码退订手机竟瘫痪　　4月8日傍晚，挤在北京晚高峰的地铁里，小许连续收到了几条来自中国移动官方号码的短信。短信称，他已成功订阅了一项“手机报半年包”服务，并且实时扣费造成手机余额不足。△小许收到的短信截图　　小许很纳闷，因为他根本就没有订阅这个服务。紧接着又一条短信接踵而至，内容显示，只要回复“取消+验证码”即可退订该项服务，且3分钟之内退订免费。　　当小许正在琢磨“验证码”到底是什么时，手机上又收到了一条来自中国移动客服电话“10086”的短信，内容显示“您的USIM卡验证码为******（六位数字）”。小许并未多想，便编辑了“取消+六位验证码”的短信回复了过去。原以为成功避免了一次手机用户经常碰到的“吸费业务”，但他却惊讶地发现，自己的手机突然显示“无服务”，无论重启多少次都没有响应。　　支付宝一夜“归零” 网银账户皆“沦陷”　　当天晚上8点左右，小许的手机在无线网络下，接连收到了支付宝的转账提示，这意味着有人在另一个终端上操作他的支付宝账户。　　由于手机无法呼出挂失，情急之下，小许通过操作客户端解除了支付宝与三张银行卡的绑定，并且委托亲友拨打支付宝客服电话冻结账号。但是，当小许挂失完成后，发现支付宝没钱了，而且还在网银里跨行转账，每张银行卡余额均为零。　　更令小许感到恐惧的是，第二天他发现名下的招行、工行两张储蓄卡被人绑定在另一个在线支付平台“百度钱包”上，加上小许原本在“百度钱包”绑定的另一张中国银行卡，三张卡在事发当晚均进行了资金转移操作，并最终通过招行和工行的手机银行，以“短信验证码转账”全部转入了两个陌生账号。这意味着，就连他的银行账号也被攻破了。　　一条短信让小许一夜之间变得身无分文。　　诈骗分子设“连环局” 上演“偷天换日”　　小许的遭遇不仅让众多网民震惊，也在通信、互联网和银行业内引发了热议。从收到可疑短信，直到眼见自己的所有账户被彻底“洗劫一空”，整个过程只有3个多小时。骗子到底是通过怎样的手段“发起攻击”的？央视记者通过调查复盘了整个骗术过程，这实际上是一个“连环计”。　　第一计：破解移动官网密码 “劫持”手机发动攻击　　记者登录中国移动北京分公司官方网站，找到了“中广财经半年包”业务。自助订阅后立即扣费，记者收到的短信和小许接收到的内容完全一样，都来自“10086”。明明小许没有订阅，为何会收到订阅短信？根据中国移动的内部查证：4月8日17点54分，有人通过海南海口的一个IP地址，以小许的手机号成功登录了北京移动官方网站，不仅发起了手机报订阅，还在18点13分成功办理了一项名为“自助换卡”的业务。　　第二计：发“退订”短信 制造验证码假象　　骗子在攻破移动网站的登陆密码后，给小许订阅了“手机报”，并发了所谓“取消+验证码”的退订信息。这么做一是通过手机欠费让受害者产生担心心理；二是制造“退订”时需要“验证码”的假象。　　第三计：启动换卡流程 “退订”变“换卡”　　套取验证码是本次骗术的关键所在，骗局的核心就是“自助换卡”。　　上面提到，骗子在登陆移动官网后还发起了“自助换卡”业务。这是中国移动推出的一项在线服务，用户不必跑营业厅，直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效，旧卡同时作废。　　但是，自助换卡时系统会向用户发一个二次确认的验证码，也就是小许收到短信：USIM卡六位验证码XXX。只有把这个验证码再填回系统之后，才会发起后期的换卡工作。也就是说，这个验证码可以直接把之前手机的SIM卡废掉，原来的号码将会转移到另一张SIM卡。这是设局的关键，诈骗分子制造“退订”假象，就是要拿到这张新SIM卡。△小许收到的“验证码”短信截图　　而小许收到的这条来自10086系统自动发出的验证码，并未说明用途，也没有对验证码的泄露风险进行安全提示，结果将换卡的验证码误以为是退订用的回复给了骗子。小许认为，普通人没有接触过这方面信息的时候，是不知道验证码是有什么用处的。骗子正是在这个绝大多数用户不清楚的“信息盲点”上做文章，“嫁接”起了两项中国移动的官方业务，编造了整个骗局的“剧本”：　　对此，移动公司表示，目前不能准确解释小许的账号是如何被他人成功登录的，但如果密码设置过于简单，或与其他安全级别较低的网站密码相同，就可能会在反复尝试下被攻破。　　换卡无需“验明正身” 便捷还是隐患？　　小许的经历并非个例，不少有着同样遭遇的网友主动与小许联系，讲述自己被攻击的经过。信息安全专家把此类电信诈骗称作“补卡攻击”。　　记者体验了“自助换卡”的全部流程，与到营业厅当面办理不同，自助换卡全程都没有核验操作者的身份信息，仅需要准备一张未被写入号码信息的新卡，并将卡面上的编号输入网页，这张卡被业内称为“白卡”。　　据了解，这种“白卡”和领取人的手机号没有绑定关系，因而领取后可以写入任何手机号，不仅可以免费从官方途径获得，甚至在淘宝等网站上有人公开售卖。这就意味着，攻击者要“劫持”小许的手机卡，只需要以小许的手机号成功登录中国移动网上营业厅，并骗到那个没有任何提示说明的6位验证码，剩下的条件都可以轻易获取，不需要任何身份验证。　　“冷门”业务成了诈骗的“后门”　　回溯小许的遭遇记者发现，在这场“连环”骗局的几条短信中10086是中国移动统一客服号码、是中国移动手机报号码，令当事人深信不疑。就连此次事件中唯一一条由骗子编造的诈骗短信，也是利用“139邮箱”的一项“发短信”功能发出的。　　记者实际操作发现，如果接收短信的手机没有将发短信的邮箱所对应的手机号存储为联系人，接收到的信息均显示以“10658”开头。而中国移动旗下的“服务提供商业务号码”发送的“行业短信”大都以“10658”开头。攻击者看中的正是这个功能细节，不仅可以对诈骗短信进行伪装，骗取接收者的信任，还可以接收到当事人回复的关键验证码。　　因此，139邮箱的“发短信”功能被攻击者所用，成为骗局的重要一环。而这项中国移动已经推出8年的免费功能，很少有人真正了解它的操作细节，使用率也不高。　　诈骗分子在劫持小许手机的过程中，自始至终利用的都是中国移动的业务、工具和平台。一些用户眼中的“冷门”业务，成了极易被攻击者“盯上”的充满风险的“后门”。　　骗子是如何攻破全部账户的？　　攻击者在“劫走”当事人的手机卡后，第三方支付平台、甚至银行的安全验证都被接连突破。这一切是如何做到的？仅靠掌握短信验证码就可以实现吗？　　账户接连遭劫 个人信息泄露在先　　据工商银行客服介绍，只有取钱密码、银行卡号和手机完全掌握才能在网银上进行操作。这意味着，尽管短信验证码是每一步攻击的关键，但同时还分别需要身份证号和银行卡号。因而可以断定，小许的手机卡被“劫持”之前，他更多的“成套”个人信息已经被攻击者掌握了。　　据信息安全专家张耀疆介绍，个人信息已形成地下数据库。这个库里面会有大量的非常完整的个人信息的链条。比如姓名、家庭住址、手机号、银行卡号、银行的密码，其实在网络黑市里都有，而且是别人整理好的，不是零散的。　　短信验证码“不能承受之重”　　记者对本次事件所涉及的第三方支付平台和手机银行的关键业务进行操作汇总后发现：所有的在线支付都可以用手机号和静态密码登录，百度钱包直接可以用短信验证码登录；“更改登录密码”和“转账支付”也无一例外地需要依靠短信验证码完成；而对于第三方支付最重要的“支付密码”，支付宝也简化到仅凭短信验证码就可以更改。好比所有的鸡蛋都放在一个篮子里，导致了种种问题。　　可见，之所以小许的所有账户被“全线攻破”，是因为除了个人信息这把“钥匙”早已泄露外，第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。　　如何防范“验证码攻击”？　　面对此类针对短信验证码的“精准诈骗”和“组合攻击”，该如何保护自身安全？信息安全专家提示，如果只靠一个简单的静态密码，无法保证安全，下面这四招一定要记住：　　招数一：静态密码设置一定要复杂　　静态密码首先要足够复杂，并妥善保管防止泄露。其次，攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对"运营商"、"银行"等身份的手机短信和来电进行认真甄别，冷静应对。　　招数二：遭遇“干扰信息”仔细甄别莫慌张　　攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、“银行”等身份的手机短信和来电进行认真甄别，冷静应对。　　招数三：手机离奇“瘫痪” 紧急“挂失”当先　　如果手机通讯出现瘫痪，一定要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于"信息孤岛"时，冒名顶替机主身份窃取账户。　　招数四：最重要的是：短信验证码不要告诉任何人！　　电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。　　从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统，构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟：所谓“好的用户体验”，就像一架天平，一头是“便捷”，而另一头是任何时候都不能忽略的“安全”，这架天平的平衡一旦打破，所有的一切都会“归零”。(央视新闻)
正文已结束，您可以按alt+4进行评论
相关搜索：
看过本文的人还看了
[责任编辑：wydavisluo]
热门搜索：
Copyright & 1998 - 2016 Tencent. All Rights Reserved把手机号给陌生人会不会有什么风险_百度知道
把手机号给陌生人会不会有什么风险
我有更好的答案
为您推荐：
其他类似问题
您可能关注的内容
手机号的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。-img3.chouti.com
还可以输入150字
标题已超出10个字
你发布过于频繁，请2分钟后重新发布
登录后才可以发表评论哦！可以选择
赶紧当第一个评论者吧！
你可能感兴趣的新闻：
24小时你问我答 TOP 10
|||隐私政策|||意见与反馈||公告
版权所有：北京格致璞科技有限公司
手机号登录|用户名登录
中国香港(+852)
中国澳门(+853)
中国台湾(+886)
加拿大(+1)
马来西亚(+60)
新加坡(+65)
俄罗斯(+7)
一个月内自动登录
1 填写手机号 > 2 填写基本资料
中国香港(+852)
中国澳门(+853)
中国台湾(+886)
加拿大(+1)
马来西亚(+60)
新加坡(+65)
俄罗斯(+7)
获取验证码收不到短信？大家都在找：
当前位置：&&&连信iPhone版
同城交友，约会视频社交工具
连信iPhone版更新说明
优化一键加好友风控策略其他bug修复
连信iPhone版官方介绍
连信是一款同城，约会社交神器，附近美女帅哥一网打尽。咫尺之隔，阻挡不住两颗相遇的心。也许，Ta，就在你身边，开启一段新的故事，新的缘分。&- 交友？找对象？打发时间？统统立即实现&-&支持文字、、视频，想怎么聊就怎么聊&-&一键添加通讯录好友、附近的人&-&原创小视频，分享个性，秀出精彩&-&漂流瓶-说说心里的悄悄话，为自我排忧享乐
连信iPhone版截图
连信下载地址
安卓手机版
官网版本：3.0.0APP大小：44.8 MB
连信iPhone版评论
苹果手机不好用，没有附近的人功能，垃圾被封号 我申诉在哪里 瓶子附近人都用不了 下软件占内存么的一句可也用不了，什么都不能用，浪费我流量朋友推荐来的，微信太多工作领导了，这个很合适自己的需求，什么都不学 学人家微信封号！请问！你才多大的体量？垃圾软件！垃圾中的垃圾！
发现该APP下载安装使用错误或恶意扣费携带病毒，请
连信app相关搜索
版权所有 京ICP备号-5如果别人知道了手机号码会有什么风险和损失，例如骗子！_百度知道
如果别人知道了手机号码会有什么风险和损失，例如骗子！
我有更好的答案
没什么风险，你自己不要搭理就好了。要是有风险，每个人都会有风险了，随便输11个数字，都是一个电话，现在又是实名制。
我的手机号是身份证办理的，而身份证又办理其他，这样别人知道其他吗？
你的回答是我的勇气，谢谢
我的手机也是这样啊，而且我手机激活的时候也用的身份证。现在办卡都需要身份证实名认证的，没事的，要是真那么容易出事，这个国家也就快完了。
能给予你帮助我很高兴。
哦，你的回答是我的勇气采纳你，亲:)
谢谢，那采纳吧。😊😊
垃圾电话短信诈骗
再问你一下，手机号是身份证办理的，而身份证又办了银行卡，这样的话别人会知道银行卡号吗和身份证呢！！！
你的回答是我的勇气，谢谢
为您推荐：
其他类似问题
手机号码的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。}