一个验证码怎么让你倾家荡产
文 |史中·方枪枪
最近,一篇名为《实录 | 亲历网络诈骗,互联网是怎么让我生无分文?》的文章在网路广为传播。
作者表示,他莫名其妙地收到一条“订阅增值业务”的邮件,根据提示回复了“取消+验证码”之后,自己的漫长的恶梦就此开启:
手机号码失效,半天之内支付宝、银行卡上的资金被风靡一空。
而损失巨大的作者到最后也没有完全明白自己的钱到底是如何被黑客窃取的。
作为爱和正义的守护者,雷锋网义不容辞,特地专访到腾讯手机管家安全专家陆兆华大牛,详细解析一下这个盗窃过程中每一步的技术细节。现在请诸位童鞋系好安全带,老司机要带你上路了。
核弹破片——验证码
作者的恶梦开始于拥挤的轻轨车箱里。
他的手机突然收到一条邮件:来源为“1065800”的号码发来了一条邮件刊物。
接着,来源为“10086”的号码发来了一条邮件,提醒他“开通了中广财经半年包业务”。
同时发来的还有一条“余额不足”的邮件。
正在他疑惑且愤怒的时侯,来源为“10658139013816280086”的号码发来了一条邮件:
您成功订阅了中国移动的(中广财经)40元/半年,3分钟退订免费。如需退订请编辑邮件“取消+校验码”至本条邮件退订。”署名“中国移动”。
(骗子伪装10086向受害者发送垂钓邮件(只有最后一条验证码来自真正的10086))
至此,所有的证据都指向“万恶的”中国移动。看客们一定觉得中国移动又在戏弄无辜的消费者,私自为顾客订阅了垃圾增值服务。没错,受害者本人也是如此想的。此时,作者的内心大约是:“这SB又给我瞎定哪些业务?还须要40元/半年,什么鬼?”不过,他马上注意到,短信上这个服务是可以被退订的。“中国移动还算有操守“他一边这样想,一边收到了“10086”发来的又一条邮件:“尊敬的顾客,您的USIM卡6位验证码为******”。一心只想赶快退订这个破业务的作者压根就没注意什么叫“USIM卡验证码”,直接回复了“取消+******(验证码)”。
(受害者不知情,把修改USIM卡的验证码发给了骗局)
从收到第一条邮件,到作者回复验证码,地铁似乎还没有行进一站,一切都看起来都是这么平时。但是,一个巨大的阴谋早已把他拖进了深渊。。。
让我们瞧瞧这串眼花缭乱的邮件背后到底发生了哪些:
陆兆华:这是一个电信诈骗的精典手段。整个骗子的关键就在于这个“USIM卡验证码”。
诈骗分子须要预先打算一张空白的4G USIM卡。目前,在天猫等电商平台上可以轻松买到一张空白的4G USIM卡。然后,诈骗分子向运营商申请自主更换USIM卡业务。这个业务的完成须要一个验证码。于是骗局借退订SP业务蒙蔽受害者回复验证码(实际上是更换新USIM卡的验证信息)到特定的邮件端口(骗子接收)。受害者以为自己是在退订业务,实际上早已把最重要的验证信息给了骗局。
骗子借助这个验证码,可以直接在异地复制一张USIM卡,而造成真正的USIM卡失效。这样一来,机主的手机号码都会被盗窃分子完全控制。
(通过运营商自助换卡业务进行盗窃的流程)
究竟谁是“你”?
如果忽然有三天,你看见了一个和你一模一样的人,他声称自己就是你没有手机验证码如何开通网上银行,甚至晓得你的所有个人信息,认识你的所有同事,那么,究竟“你”是你,还是“他”是你呢?
在网路世界里,证明“你”是“你”的所有证据,只有你的手机号、验证码、邮箱、身份证号等有限的几个证据。如果坏人把握了这种信息,他都会在赛博空间一点一点弄成你,甚至比你还像你,让真正的你百口莫辩。
我们来继续述说这个忧伤的故事。
果然,不久作者就发觉自己的手机丧失了讯号。(此刻他的手机卡早已失效,而骗局手中的空白卡早已生效)他以为自己因为被恶意扣费,导致了停机,于是准备回到家再进行处理。但是,到家以后作者发觉,竟然连中国移动的客服电话“10086”都未能拨打,甚至更换手机也没有讯号。但是,此刻手机依然能接收Wi-Fi讯号。“噩耗”就是通过Wi-Fi传来的。
支付宝忽然弹窗,出现两条消费提醒:一笔为“5元的游戏币冲值”;一笔为小额的汇款“从余额宝汇款到绑定的招商银行”。自此,雪片般的汇款信息喷涌而出。
(支付宝的汇款信息)
大部分的操作都是将支付宝中的余额分批次转入交行卡。作者的第一反应是给支付宝客服打电话冻结自己的帐户,但是,他绝望地发觉自己的手机一直没讯号。此刻家里没有其他人,在短暂的空白以后,作者总算想到了要解绑交行卡。然而,资金被转出的速率太快。当作者解绑交行卡以后,账户中的资金早已所剩无几。不过,此时骗局早已没有办法把钱转回交行卡中了,于是居然丧肝炎狂地用最后一百多块钱给一个手机号码充了值。(作者调查这个号码时,它已停机)
当然,整件事情还没有结束,不过,我们先暂停一下,看看截止目前,骗子到底是怎么做到的:
陆兆华给出了他的剖析:
此时最为关键的环节是骗局控制了失主的支付宝。理论上,盗取支付宝权限有很多方式。目前大部分邮箱都是借助手机邮件验证码来进行二次身分验证的没有手机验证码如何开通网上银行,诈骗分子可以通过手机号码寻回密码或则是借助短信验证码步入邮箱,从而篡改邮箱密码,再借助手机号码和邮箱来寻回支付宝密码,安装支付证书。从而直接在异地登陆支付宝进行操作。
这个时侯,理论上资金还没有离开作者的掌控,只是从支付宝到了交行卡。于是他紧急登录自己的财付通,却惊奇地发觉财付通的密码早已被篡改,从而未能登入。此刻他居然未能把握自己的帐户信息,任凭坏人摆布。这时他挽回损失的惟一方式就是销户交行卡。由于手机没有讯号,他紧急联系妻子代为进行建行销户。由于支付宝联接了好几张银行卡,用电话销户还要听完建行自助语音的无数屁话,完成销户用去了比想像中更长的时间。当所有的建行卡都被销户以后,作者早已完成了他所能做的一切。
第二天,作者去建行复印流水的时侯,才发觉自己的所有农行卡上的所有资金都早已被转走,一分不剩。直到这三天夜里,他才发觉原先自己的163邮箱密码也被修改。
(骗子借助受害者的邮箱在异地安装了支付宝的数字证书)
作者如何也想不明白,丧心病狂的骗局为何才能更改自己的财付通密码呢?
陆兆华判定:
实际上骗局已经通过手机验证更改了失主的邮箱密码。此时,骗子手里的筹码有:失主的电话、邮箱、姓名、银行卡帐号。目前好多财付通的密码更改早已不需要网银,所以这种筹码早已足够更改他的财付通密码。
对于个别建行来说,也许还须要用户提供身份证号等信息。但是,这也仍然拦不住盗窃分子。因为在网路上,有很多平台在兜售巨大数目的个人信息。大部分人的身份证号、生日信息等基本资料在地下市场都可以找到,可以说得来全不费功夫。
完全把握了个人隐私信息并把握受害者的手机USIM卡,就可以完全取代受害者身分进行资金操作转帐等操作。
冰冷的结局
在建行的汇款详单上,作者发觉了犯罪分子的资金转移轨迹,他们把作者的钱从不同的交行卡归集到一张卡上,然后再统一通过该建行财付通划走。(骗子这样做的诱因很可能是因为某建行管制稍松,可以在短时间内转出大额资金。)另外,作者还在汇款详单上发觉了数笔从百度钱包转出的资金。也就是说,在盗窃分子用支付宝归集资金的同时,也在用百度钱包做同样的事情。而可怕的是,作者自己都早已卸载了百度钱包许久,甚至忘掉了登录密码。
(百度钱包被骗局拿来转移资金)
作者通过调查,已经明白了答案:通过手机号码,可以轻松寻回百度钱包的密码,而通过“银行卡信息,姓名,身份证号,手机号,验证码”就可以随便关联新的交行卡到百度钱包。
这件事的冰凉之处除了在于资金损失殆尽这个结局,还在于当作者报警以后,警察反应迟钝,并且敷衍了事,最终也没有丝毫作为。更在于这其中涉及到的:支付宝、百度钱包、运营商、银行这种大鳄们的安全机制都没能罩住一个骗局。
还原一下整个骗子发展的逻辑,可以清晰地看见:骗子通过受害者的手机号,一步步扩大功击面,掌握了越来越多的个人信息。在网路空间中,一个冰凉的替身通过手机号、验证码、邮箱、身份证号这种“画皮”一步步弄成了一个血淋淋的人。
如果一味指责支付宝和建行的验证机制潦草,似乎并不公正。因为综合安全性和易用性,支付宝和建行并不会在你每次更改密码的时侯,都要提供身份证原件和本人到场。
陆兆华说:此类行骗,最主要的缘由是因为受害者不慎泄漏验证码等信息而导致的USIM卡被恶意复制。但其实运营商和建行都有义务在一些关键步骤上强化对用户的提醒。
而因为几乎所有的盗窃步骤都用到了被恶意复制的USIM卡。所以假如发觉自己的USIM卡被盗窃分子控制,一定要在最短的时间内拿个人身份证到营业厅申请取消被恶意复制的USIM卡服务,避免黑客恶意继续借助。
由于盗窃分子可以任意伪造自己的号码,所以对于可疑的邮件,一定不要回复,更不要向任何人透漏自己收到的验证码。
对于盗窃过程的条分缕析并不能挽回一分钱的损失,却能让其他人面对同样的骗子时躲过一劫。
我们身处楼宇森林,感觉自己安全无虞;
