网友亲历诈骗！安全专家详解：一个验证码如何让你倾家荡产

本篇文章3493字，读完约9分钟

最近，一篇名为“记录|经历在线欺诈，互联网如何让我身无分文？”在互联网上广泛传播。

作者说他莫名其妙地收到了一条“订阅增值服务”的短信，并根据提示回复了“取消+验证码”，于是他漫长的噩梦开始了:

手机号码无效，半天之内，支付宝和银行卡上的资金就被一个空.扫光了

然而，遭受巨大损失的作者并没有完全理解他的钱最终是如何被黑客窃取的。

作为爱与正义的守护者，雷Feng.com(搜索“雷锋网”寻求公众关注)有义务采访腾讯手机管家的安全专家丹尼尔卢赵华，详细分析欺诈过程中每一步的技术细节。现在请把安全带系在你的童鞋上。老司机会带你上路。

核引信——作者的噩梦始于拥挤的地铁车厢。

他的手机突然收到一条短信:一份短信杂志是从号码“1065800”发来的。

随后，“10086”号发来了一条短信，提醒他“开通中国广电金融半年套餐业务”。

与此同时，还有一条“余额不足”的短信。

就在他疑惑和愤怒的时候，号码从“10658139013816280086”发出了一条短信:

您已成功订阅中国移动(中国广电金融)半年40元，取消订阅3分钟免费。如果您需要退订，请编辑短消息“取消+检查代码”以退订此短消息。”署名“中国移动”。

[骗子假装10086向受害者发送网络钓鱼消息(只有最后的验证码来自真实的10086)]

到目前为止，所有证据都指向“邪恶的”中国移动。观众一定会认为，中国移动再次欺负无辜的消费者，并私下为客户订购垃圾增值服务。是的，受害者本人也是。这时，作者的心大概是:“给我盲目设置什么业务？我还需要40元/半年，搞什么鬼？”然而，他立即注意到这项服务可以通过短信退订。“中国移动仍然是有道德的，”当他收到另一条来自“10086”的短信时，他想:“亲爱的客户，你的usim卡的6位验证码是* * * * * *”。只想尽快退订这一残破业务的作者根本没有注意到“usim卡验证码”，直接回答了“取消+* * * * *(验证码)”。

[受害者不知道，并将更改后的usim卡的验证码发送给了说谎者]

从收到第一条短信到作者对验证码的回复，地铁可能没有走过一站，一切似乎都很正常。然而，一个巨大的阴谋将他拖入了深渊。。。

让我们来看看这条令人眼花缭乱的短信背后发生了什么:

赵华告诉雷锋。

这是电信欺诈的典型手段。整个骗局的关键就在于这个“usim卡验证码”。

诈骗者需要提前准备一张空·怀特的4g usim卡。目前，你可以很容易地在淘宝和其他电子商务平台上用空怀特购买4g usim卡。然后，欺诈者向运营商申请独立变更usim卡业务。完成此服务需要验证码。因此，诈骗者迷惑受害者，将验证码(实际上是更换新usim卡的验证信息)回复到特定的短消息端口(诈骗者收到)。受害者认为他是在退订生意，但实际上给了骗子最重要的认证信息。

通过使用该验证码，欺诈者可以直接在不同的地方复制usim卡，从而导致真正的usim卡失效。这样，所有者的手机号码将完全被欺诈者控制。

[自助换卡业务经营者的欺诈过程]谁是“你”？如果突然有一天，你看到一个和你一模一样的人，他声称他就是你，甚至知道你所有的个人信息和朋友，那么“你”是你还是“他”是你？

在网络世界中，只有少数有限的证据可以证明“你”就是“你”，比如你的手机号码、验证码、电子邮件地址和身份证号码。如果坏人掌握了这些信息，他会一点一点地变成你在网络空间里的空，甚至更像你，以至于真正的你无法争辩。

让我们继续讲这个悲伤的故事。

果然，作者很快发现他的手机失去了信号。(此刻，他的手机卡已经过期，而骗子手中的空白卡已经生效。)他认为自己因为恶意扣分而被扣分，所以他打算回家再处理一次。然而，当我回到家，笔者发现连中国移动的客服号码“10086”都无法拨打，甚至在换手机时也没有信号。然而，手机目前仍能接收wi-fi信号。“坏消息”是通过无线网络传来的。

支付宝突然出现，出现了两个消费提醒:一个是“5元游戏币充值”；一个是“余额宝到中国招商银行”的小额转账。从那以后，雪一样的传送信息源源不断地涌出。

[支付宝转账信息]

大多数操作是将支付宝的余额分批转移到银行卡上。提交人的第一反应是打电话给支付宝客服冻结他的账户，但他绝望地发现他的手机仍然没有信号。此刻，家里没有其他人。在短暂的空·怀特之后，作者终于想到了解开银行卡。然而，资金转移得太快了。当提交人解开银行卡时，账户里几乎没有钱了。然而，就在这个时候，骗子没有办法把钱转到银行卡上，所以他非常生气，用最后一百美元给一个手机号码充值。(当作者调查这个数字时，它停止了工作。(

当然，整个事情还没有结束，但是让我们停下来看看这个骗子到目前为止是怎么做到的:

卢给了他的分析:

此时，最关键的环节是骗子控制了所有者的支付宝。理论上，有很多方法可以窃取支付宝的权利。目前，大多数邮箱依靠短信验证码进行二次认证。欺诈者可以通过手机号码检索密码或使用短信验证码进入邮箱，从而篡改邮箱密码，然后使用手机号码和邮箱检索支付宝密码并安装支付证书。以便在不同的地方直接登录支付宝进行操作。

此时，理论上，资金还没有离开作者的控制，只能从支付宝到银行卡。所以他紧急登录了他的网上银行，但惊讶地发现网上银行的密码被篡改了，所以他无法登录。目前，他无法掌握自己的账户信息，他任由坏人摆布。在这个时候，他挽回损失的唯一办法就是报告他的银行卡丢失了。由于他的手机没有信号，他紧急联系他的女朋友报告银行的损失。由于支付宝连接了多张银行卡，在听了无数银行自助语音的废话后，挂失的时间比预期的要长。在所有的银行卡都被报失后，作者已经竭尽所能。

第二天，当提交人去银行打印自来水时，他发现他所有银行卡上的所有资金都被转移走了，一分钱也不剩。直到今天晚上，他才发现他原来的163信箱密码也被更改了。

[诈骗者利用受害者的邮箱在不同的地方安装支付宝的数字证书]

作者不明白为什么这个无耻的骗子可以更改他的网上银行密码。

卢判断道:

事实上，诈骗者已经通过手机验证更改了所有者邮箱的密码。这时，骗子的筹码是:所有者的电话号码、电子邮件地址、姓名和银行卡账号。目前，很多网银密码不需要u盾，所以这些芯片足以修改他的网银密码。

对于某些银行，用户可能还需要提供诸如身份证号码等信息。然而，这仍然不能阻止欺诈者。因为在互联网上，有很多平台出售大量的个人信息。大多数人的身份证号码、生日信息和其他基本信息都可以在地下市场找到，所以可以说不费吹灰之力。

掌握受害者手机的个人隐私信息和usim卡可以完全代替受害者的身份进行资金转账等操作。

冷端在银行的转账清单上。作者发现了罪犯的资金转移轨迹。他们将作者的钱从不同的银行卡收集到一张卡上，然后通过银行的网上银行进行统一。(骗子这样做的原因可能是因为银行控制有点松，可以在短时间内转移大量资金。此外，作者还在详细的转账清单上发现了从百度钱包转账的几笔资金。也就是说，当欺诈者用支付宝收款时，他们也用百度钱包做同样的事情。可怕的是，作者自己已经卸载百度钱包很长时间了，甚至忘记了登录密码。

[百度钱包被骗子用来转移资金]

通过调查，笔者了解了答案:百度钱包的密码可以通过手机号码轻松检索，新的银行卡可以通过“银行卡信息、姓名、身份证号码、手机号码和验证码”与百度钱包自由关联。

这一事件的冷淡不仅在于资金损失的结束，还在于提交人报案后，警方反应迟缓，无所作为。此外，它还涉及到:支付宝、百度钱包、运营商和银行的安全机制都未能阻止骗子。

为了还原整个骗局发展的逻辑，可以清楚地看到，骗子通过受害者的手机号码逐步扩大了攻击范围，掌握了越来越多的个人信息。在网络空的房间里，一个冰冷的身体通过手机号码、验证码、电子邮件地址和身份证号码的“画皮”逐渐变成了一个活生生的人。

抱怨支付宝和银行糟糕的验证机制似乎不公平。由于全面的安全性和易用性，支付宝和银行不会在您每次更改密码时都提供身份证原件并出示。

卢对说道。

这种欺诈的主要原因是usim卡被恶意复制，因为受害者意外泄露了验证码等信息。但显然，运营商和银行都有义务在一些关键步骤中加强对用户的提醒。

因为几乎所有的欺诈步骤都使用恶意复制的usim卡。因此，如果您发现您的usim卡被诈骗者控制，您必须在最短时间内将您的个人身份证带到营业厅申请取消恶意复制的usim卡服务，以避免黑客的恶意使用。

对欺诈过程的分析不能节省一分钱，但可以让其他人逃脱同样的骗局。

我们在建筑森林中，感到安全；

然而，看着由0和1组成的网络空间空，世界仍然是一个狂野的地方。