最近,一篇受害人自述受骗经历的长文在网路上广为留传。作者称,由于回复了一条邮件,他的支付宝、银行卡以及百度钱包里所有的资金一夜之间被“洗劫一空”。真相到底怎样?记者在调查中发觉,一种全新的骗局早已出现并正在漫延,我们不可不知、不得不防。
一条邮件 一夜之间“倾家荡产”
“因为一条邮件,一夜之间,我的支付宝、所有的交行卡信息都被攻陷,所有交行卡的资金全部被转移,…那是一种一无所有的绝望。”
这篇万余字的长文配发一系列截图证据,描述了当事人遭受的全过程。文章在微博、微信平台上持续发酵,阅读转发超过780万,留言评论不断。
经过多方联系,记者找到了当事人小许,一名出席工作不久的大学毕业生。“漂”在上海辛苦挣来的所有积蓄说没就没了,至今令他心有余悸。
受害人 小许:一夜之间你所有钱财都一无所有。你能明白那个惊悚和崩溃的心理吗?都不是说伤心,是焦虑和崩溃,我认为我之前做的所有努力都是枉费的。
退订邮件暗藏玄机
4月8日傍晚,挤在上海晚高峰的轻轨里,小许连续收到了几条来自中国联通官方号码的邮件。短信称,他已成功订阅了一项“手机报半年包”服务,并且实时扣费导致了手机余额不足。
受害人 小许:我这时候就恼火了,因为我根本就没有订阅这个服务啊。紧接着就是十分怪异地又发了一条邮件,显示是我只要回复取消加验证码,在3分钟之内退订免费。
当小许正在寻思“验证码”到底是什么,他又收到了一条来自中国联通客服电话“10086”的邮件。
受害人 小许:上面写着。您好,您的USIM卡验证码为六位数字,然后就没了,就句号。这时候我就想我要退订这个业务,他也没有跟我说验证是哪些(用途),我就依照常规的思维,就取消加验证码发给他了。
原以为成功避开了一次手机用户常常见到的“吸费业务”,但小许却震惊地发觉,自己的手机忽然彻底截瘫了。
受害人 小许:重启了大约N次手机,然后它还是显示无服务。到家以后,有WIFI的时侯再冲值,去充了大约150块钱进去它还是没反应,这时候我就着急了。因为我手机是无服务状态,我也打不了10086的客服。
在线遭劫!支付宝一夜“归零”
这只是麻烦的开始,当天晚上8点左右,小许的手机在无线网路下,接连收到了支付宝的汇款提示,这意味着居然有人在另一个终端上操作他的支付宝帐户。
受害人 小许:这时候就不是盗窃,这种觉得是在抢钱。就我眼睁睁地看着他,把我的钱一笔一笔又一笔的转移,而且不是我个人操作的。
由于手机未能呼出销户,情急之下,小许只能通过操作客户端解除了支付宝与三张银行卡的绑定,并且委托亲友拨通支付宝客服电话冻结帐号。
受害人 小许:因为你晓得打客服(电话)是个十分平缓的过程,它一步一步各种各样的验证,…当我销户成功完成以后,发现我的支付宝没钱了。他不但攻占了我的支付宝,还在我财付通里发生跨行汇款。就发觉我后来每一张银行卡里,余额都是零。
百度钱包“被偷” 网银帐户“沦陷”
更令小许倍感焦虑的是,冻结支付宝帐户并没有使自己的建行卡甩掉被劫的“命运”。他第二天才发觉,自己名下的招商银行、工商银行两张储蓄卡,在他完全不知情的情况下,被人绑定在另一个在线支付平台“百度钱包”上,加上小许本来在“百度钱包”绑定的另一张中国银行卡,三张卡内的钱全部转到了两个陌生帐号。这意味着,就连他的建行帐号也被攻陷了。一条邮件让他一夜之间显得身无分文。
“嫁接”移动业务 精准“劫持”手机
小许的遭到除了让诸多网民轰动,也在通讯、互联网和建行业内引起了热议。从收到可疑邮件,直到眼见自己的所有帐户被彻底“洗劫一空”,整个过程只有3个多小时,所有那些不可思议,都是从收到那条订阅邮件开始的。记者从邮件入手展开了调查。
明明小许没有订阅,为何会收到订阅邮件?根据中国移动北京分公司的内部查证:4月8日17点54分,有人通过海南海口的一个IP地址,以小许的手机号成功登陆了北京移动官方网站,不仅发起了手机报订阅,还在18点13分成功申领了一项名为“自助换卡”的业务。
自助换卡:“双重关口”皆被攻克
“自助换卡”是中国移动推出的一项在线服务,通过这项业务用户毋须跑营业厅,直接通过在官方网站操作就可以更换4G手机卡。新卡立刻生效,旧卡同时作废。
经过“自助换卡”,相当于小许的手机在那一刻更换了机主,落到了他人手里。中国移动北京分公司表示,目前仍不能确切解释小许的帐号是怎样被别人成功登陆的,但若果密码设置过分简单,或与其他安全级别较低的网站密码相同,就可能会在反复尝试下被攻陷。
中国移动北京公司业务专家 孙鹏:第一道门是盗窃分子把门户网站的密码破解掉了,第二道门是他启动了换卡的流程,点击确认,我要发起换卡了,系统还会向他发一个二次确认的验证码,把这个验证码再填回系统以后,才会发起后期的换卡工作。
“致命”漏洞:关键信息缺少关键提示
攻击者要换卡,必须先晓得验证码。当时小许收到的这条来自10086的验证码,正是攻击者在网上发起换卡后,系统手动发到小许手机上的。但在这条20多字的邮件中,并未说明验证码的用途。
受害人 小许:可以说,他是以非常随意的心态来发给我,就告诉我这是个验证码,普通人没有接触过这方面信息的时侯,是不知道它是有哪些好处的。
骗局解密:利用“信息盲区”编造“剧本”
“USIM卡验证码”到底是什么?攻击者正是在这个绝大多数用户不清楚的“信息盲区”上做文章,“嫁接”起了两项中国移动的官方业务,编造了整个骗子的“剧本”:
先是破解密码登入官网,为当事人订阅增值业务并实现扣费,这是在营造恐慌氛围;再通过发送一条盗窃邮件,告诉当事人可以免费退订,但须要立刻回复“验证码”;趁着当事人正急于退订却搞不清“验证码”在那里,攻击者又在中国移动网上营业厅发起换卡业务,使系统手动向当事人发送10086邮件的“验证码”,这种及时跟进的“雪中送炭”,更会让当事人对骗子的“剧本”深信不疑;最终,面对这个没有任何安全提示的“验证码”,当事人会很容易沿着之前“剧本”的逻辑,积极主动地把它回复到到攻击者手中。利用当事人回复的“验证码”,攻击者完成“自助换卡”后,会借助成功“劫持”的手机使用权接收各种短信验证码,进一步对受害者的财产帐户发动功击。
受害人 小许:手机号不仅仅是你的通讯工具。它是你在互联网上的惟一身分账簿,意味着一旦你丧失你这个手机号的控制权,那你这个人就被抹除了。因为我遗失了那种手机号。其实在那一晚上我是没有身分的在互联网上,我的身分被另外一个人代替了。
风险失控:“冷门”业务变“后门”
小许的经历并非个例,不少有着同样遭到的网友主动与小许联系,讲述自己被功击的经过。信息安全专家把这种电信诈骗叫做“补卡功击”。记者在调查中发觉:一些本为便捷用户而开发的业务,却因用户普及程度较低,成了被攻击者“盯上”的饱含风险的“后门”。
记者体验了“自助换卡”的全部流程:注册登入联通网上营业厅,进入“自助换卡”页面并申请这项业务,只要将原手机卡收到的邮件“验证码”回填到网页,原卡的号码信息会被写入装在另一部手机里的新卡,而原手机卡立刻作废,几分钟即可完成操作,而且完全免费。
记者注意到,与到营业厅当面代办不同,自助换卡全程都没有核验操作者的身分信息,仅须要打算一张未被写入号码信息的新卡,并将卡面上的编号输入网页,这张卡被业内称为“白卡”。
中国移动北京公司业务专家 孙鹏:如果您是中国移动的顾客,您如今可以到营业厅,免费发放一张,或者说是我们通过寄送的形式给您寄过去。
记者:免费发放的时侯,需要核验身分信息吗?
中国移动北京公司业务专家 孙鹏:你只要是中国移动的顾客,我们都会给您一张白卡。
记者:不需要做任何身分验证?
中国移动北京公司业务专家 孙鹏:白卡本身是不需要做验证的。
白给的“白卡”:“便捷”还是“隐患”?
记者了解到,这种“白卡”和发放人的手机号没有绑定关系,因而发放后可以写入任何手机号,不仅可以免费从官方途径获得,甚至在天猫等网站上有人公开售卖。
这就意味着,攻击者要“劫持”小许的手机卡,只须要以小许的手机号成功登陆中国移动网上营业厅,并骗到哪个没有任何提示说明的6位验证码,剩下的条件都可以轻易获取,不需要任何身分验证。
信息安全专家 孟卓:曾经可能线下还要验一下身份证我们还要面对面沟通攀谈,但是在网上呢,可能还会有这些安全隐患在上面,现在你也永远不知道是一个什么样的人,他在那里在研究你的系统,在尝试着发觉你系统里的一些问题。
揭穿伪装:诈骗邮件披上“官方外衣”
回溯小许的遭到记者发觉,在构成这场“连环”骗局的几条邮件中10086是中国移动统一客服号码、10658000是中国移动手机报号码手机老收到短信验证码,令当事人深信不疑。就连这次风波中惟一一条由攻击者散布的盗窃邮件,也是借助“139邮箱”的一项“发短信”功能发出的。
记者实际操作发觉,如果接收邮件的手机没有将发短信的邮箱所对应的手机号储存为联系人,接收到的信息均显示以“10658”开头。而中国移动旗下的“服务提供商业务号码”发送的“行业邮件”大都以“10658”开头。攻击者看中的正是这个功能细节,不仅可以对盗窃邮件进行伪装,骗取接收者的信任,还可以接收到当事人回复的关键验证码。
因此,139邮箱的“发短信”功能被攻击者所用,成为骗子的重要一环。而这项中国移动早已推出8年的免费功能,很少有人真正了解它的操作细节,使用率也不高。
信息安全专家 张耀疆:所谓的小众业务,它有时效性的。按道理可能在某一时期它就有某一时期的一个作用,但实际上这个(行业)发展特别快,随着时间的延后,其实有些东西甚至你自己都忘记了。就是通常不太用,但是懂的人他都会打它主意,利用它。有时候时间长了,它就弄成侧门了。
验证码“撬开”全部帐户?
当事人的手机卡被“劫走”后,第三方支付平台、甚至建行的安全验证都被接连突破,这一切真的仅靠把握短信验证码就可以实现吗?
小许:他为何能够凭我的手机就才能破解我的财付通呢。
工商银行客服:第一必须得晓得您的财付通登陆密码,…如果他不知道登陆密码的情况下,他还须要您卡的密码。
小许:卡密码?
工商银行客服:对,就是卡的取钱密码,就那六位数卡取钱密码。如果密码、卡号和手机他完全把握他能够做这种交易。
这意味着,尽管短信验证码是每一步功击的关键,但攻击者还须要受害者的建行卡号等更多的信息。因而可以推断,小许的手机卡被“劫持”之前,他的“成套”个人信息早已被攻击者把握了。
尽管早已向民警报了案,而且支付宝和百度钱包也在案件破获之前,对小许在该支付平台上损失的金额进行了先行赔付,但小许仍在通过各类途径寻求答案。他焦虑的是,不知自己还有什么关键信息早已被别人所把握。
信息安全专家 张耀疆:个人信息在网上通过各种各样的方法去推测碰撞,最终汇集到一起,形成一个地下的一个数据库。那么这个库上面会有大量的十分完整的个人信息的一个链条。比如你的姓名、家庭住址、手机号、银行卡号、银行的密码,其实都在网路的黑市上面,而且是他人整理好的,不是零散的,这个就十分可怕。
短信验证码“不能承受之重”
近年来,在个人信息窃取交易更加泛滥的大背景下,单一的静态信息如帐号、密码早已不能保证各种身分验证,尤其是在线支付的安全。因此从工行开始,越来越多行业的安全策略采用了“双因素认证”的理念。简单的说,就是“用户自己晓得的信息”这把“钥匙”已经不安全了,必须用随着时间、事件等诱因随机形成的一次性密码再加上“另一把锁匙”,同时拥有“两把锁匙”的人才会开一把锁。而这把“新锁匙”从最初的网银、令牌开始,越来越多的“集成”到了智能手机上,“短信验证码”已经成为现在在线支付“双因素认证”的“必选项”。
之所以小许的所有帐户被“全线攻占”,是因为不仅个人信息这把“钥匙”早已泄密外, “双因素认证”的第二把锁匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。
记者对本次风波所涉及的第三方支付平台和手机建行的关键业务进行操作汇总后发觉:所有的在线支付都可以用手机号和静态密码登入,百度钱包直接可以用短信验证码登陆;“更改登入密码”和“转账支付”也无一例外地须要借助邮件验证码完成;而对于第三方支付最重要的“支付密码”,支付宝居然简化到仅凭邮件验证码就可以修改。
小许:如果我的手机号早已失窃走了,因为我可以确定这一点,他还须要别的能够把我的钱转走吗?
招商银行客服:转账的话是须要您的提款密码,跟验证码的,但是假如说他是网上支付的话,就是只须要验证码就可以了。
信息安全专家 张耀疆:验证码这个东西,它可以做可各种各样的动作,比如说寻回你的帐号密码,那么这样就造成哪些呢?其实你个人的帐号密码和验证码就变为一体了,它弄成一个诱因了。那么原先设计当中的双诱因的功效就大大的减少。就把所有的猪肉都置于如此一个篮子上面,导致了种种的问题。
如何防范“验证码功击”
从小许的遭到中我们应当得到哪些警示?面对这种针对短信验证码的“精准盗窃”和“组合功击”,又该怎么保护自身安全?信息安全专家为你们“支招”。
信息安全专家 孟卓:现在互联网发展到这个地步,很多这些计算机服务器,它的运算能力早已很高了,包括带宽如今也很宽了,4位数验证码,我们可能会在行业里会做一个测试进行猜解,不到一万次就猜下来了,基本上几分钟就搞定了。
专家提示,从笔记本到手机都面临着木马病毒、“钓鱼”网站等黑客技术的安全恐吓,如果只靠一个简单的静态密码,无法保证安全。因而,首先一定要保证静态密码足够复杂,并妥善保管避免泄密。
“四招”防范“验证码功击”
一、静态密码设置一定要复杂
其次,攻击者常常借助各类手段对邮件进行伪装,并千方百计地对功击对象进行欺骗、甚至威胁。所以一定要对"运营商"、"银行"等身分的手机邮件和来电进行认真甄别,冷静应对。
二、遭遇“干扰信息”仔细甄别莫慌张
每个人手机上,可能就会出现过各类的干扰信息,那么若果在我们风险意识并不是很强的情况下,很容易被这些干扰信息所欺骗,就会形成后续的一系列的损失。
三、手机诡异“瘫痪” 紧急“挂失”当先
另外,如果手机通信出现截瘫,一定要马上查清故障缘由。如非手机本身或讯号故障,要立即销户手机卡手机老收到短信验证码,并及时冻结第三方支付和建行帐户,避免攻击者趁用户处于"信息孤岛"时,冒名顶替机主身分泄露帐户。
四、短信验证码 不能告诉任何人!!!
最最重要的是:短信验证码不要告诉任何人!电信运营商和提供相关服务的企业只会将短信验证码下发给用户,绝对不会要求用户通过邮件或电话进行所谓“回复验证码”的操作。
支付宝安全发言人表示,基本上现今市面上任何的验证码,它都不会有再度上行的过程。也就是说它只会双向地告诉你,它的验证码是多少,不会再度要求你,说你把你的验证码发送给它。所以说,任何问你要验证码的都是骗局。
从联通运营商、到第三方支付平台、再到正在涉足互联网的建行系统,构成了现在我们每个人信息和财产安全的链条。小许的遭到给这一连串以“安全”为“生命线”的行业叩响了警钟:所谓“好的用户体验”,就像一架天平,一头是“便捷”,而另一头是任何时侯都不能忽视的“安全”,这架天平的平衡一旦打破,所有的一切就会“归零”。