电信诈骗：移动业务漏洞凸显 银行卡泄密规模200亿

本篇文章3309字，读完约8分钟

一个不寻常的短信诈骗案迅速走红，吸引了几乎所有手机安全公司和电信专家的讨论，并重复了整个诈骗案的过程。

几天前，北京移动的用户徐先生透露了这一消息。4月8日下午，他收到了“1065800”和“10086”的短信，促使店主订阅了一家财经杂志的手机报，费用为40元/半年。此次认购直接导致徐先生欠钱。徐先生误以为他是由运营商评估的，他想尽快退订，但他陷入了精心策划的欺诈陷阱。在回复了短信中的6位校验码后，支付宝、三张银行卡和百度钱包中的所有资产都被空.抢走了

根据多家安防公司和电信专家的审查情况，该诈骗嫌疑人(以下简称“嫌疑人”)在行动前已经获得了徐先生的身份证、手机号码、银行卡信息和网上营业厅登录密码，然后借助10086网上营业厅和139邮箱的官方运营商渠道，骗取了徐先生的校验码，完成了“自助换卡”。此时，在支付宝和银行的网络平台前，此时的犯罪嫌疑人是徐先生本人，而犯罪分子通过更改徐先生的密码轻松转移了他的财产。

这一事件再次发生后，中国移动成为公众批评的对象。2015年，全国公安机关电信诈骗案件59万起，同比增长32.5%。为此，国务院领导23个部委启动了打击电信网络新犯罪的部际联席会议制度，但仍未提及消除电信欺诈。

终极骗局

"诈骗者的业务水平可以称为顶峰."许多接受《21世纪经济报道》采访的电信行业专家(包括中国移动业务支撑系统规划部建设部俞长宁、中国电信辽宁分公司业务支撑系统部)表示:“据估计，中国移动内部业务人员中，大部分没有对业务了解透彻的骗子。”

这一系列欺骗行为涵盖了五个部分业务，如获取中国移动空白卡、在线营业厅自助订阅业务、业务退订、在线自助换卡、139邮箱收发短信。此外，犯罪嫌疑人还精通支付宝和百度银行的加密和绑定流程。

在获得徐先生的手机号码、10086营业厅登录密码、身份证及三张银行卡信息后，犯罪嫌疑人利用徐先生的手机号码登录北京移动10086在线营业厅，并订阅了一份财经杂志业务。此时，北京移动系统自动向徐先生的手机发送1065800和10086订阅提示信息，提示徐先生的手机因服务支付40元而欠费。

在过去的几年里，运营商已经多次接触到私下订购服务。当用户收到这样的短信时，他们的第一反应是唾弃运营商，然后想办法退订。

随后，犯罪嫌疑人登录上海移动用户施先生的139邮箱，给徐先生发了一条短信，短信内容为“请将验证码发送退订”，短信内容显示来源为“106581390”。记者联系了史先生，对方称“139信箱从未使用过”。139邮箱是中国移动为客户自动开通的免费服务，但师的邮箱被犯罪嫌疑人窃取，成为犯罪工具。

收到这条短信的徐下意识地将其视为一条商业退订短信。此时，犯罪嫌疑人通过10086网上营业厅激活了“自助换卡”业务，10086默认给徐先生发了一条短信:“您的6位usim卡的验证码是* * * * * *”。徐先生几乎毫不犹豫地将这组号码回复到了短信中，短信的来源是“106581390”。

之后，犯罪嫌疑人通过139信箱收到这组号码，并在网上营业厅完成了“自助换卡”的验证。在随后的操作中，他将许先生的手机号码写入了准备好的中国移动空白卡。这张空的白色sim卡成为公务卡，而许先生的sim卡则被报废和停用，手机自动进入“无sim卡”状态。

盗窃当天的犯罪嫌疑人使用该sim卡后，可以通过手机接收到徐先生的所有电话和短信，然后配合已经获得的支付宝、银行卡账号和身份证信息开始转移财产。进入"无sim卡"状态的徐先生，仍然挤在地铁回家的路上，而有了之前的"欠费"提示信息，他对此并不怀疑。

与目前主流的木马、病毒、伪基站欺诈等手段不同，前者主要利用虚假信息、网站等平台实施欺诈，消费者可以通过保持一定程度的警惕来识别这种欺诈。然而，所有的欺诈手段都是从北京移动的官方新闻频道借用的，而且手段新颖，相对难以识别。

移动业务漏洞

12日下午，北京移动正式回复手机号码通过海南海口ip登陆营业厅，使用客户自己的密码，通过客户出具的验证码成功换卡，业务流程正常。事实上，在整个过程中，北京移动判断登录者是自己，操作符合业务流程。北京移动提醒用户妥善保管并定期修改网站登录密码和客服密码。

但是有争议的是业务流程本身是否合理。当今天的手机号码已经与银行卡、支付宝、微信、qq等重要资产相关联时，自助换卡操作可以用一个6位数的验证码来完成。这是否符合电信服务的“可靠性”要求？

自助换卡服务源于4g时代。2014年，中国移动的4g用户迅速增长。为了改善用户体验，中国移动推出了“两个不同，一个快捷”的服务:用户不用注册或更换号码，就可以用4g usim卡取代原来的sim卡。中国移动免费向用户发送空白色sim卡，用户可以通过手机主动发送短信，使用原sim卡完成换卡操作。此操作要求持卡人用原sim卡发送换卡请求，安全性高。

但需要指出的是，由于中国移动省级公司自主设计的业务模式，北京、上海、广东等省市的移动公司也开始在网上营业厅和手机应用中进行自助换卡。同时，空各省的白色sim卡不仅掌握在手机手中，而且有权通过多种社会渠道发行。甚至这种sim卡也可以在淘宝上找到，这就带来了风险。

猎豹移动安全专家李铁军表示:“如果移动不紧急调整自助换卡业务和139邮箱短信收发业务，这种欺诈行为可能很快就会在全国蔓延。”他告诉记者，解决这个问题很简单。“自助换卡必须确认两次，并明确提示用户换卡操作；139邮箱的文本消息应该显示“这是来自xxx@139邮箱的消息。”添加这两个提示后，消费者困惑的可能性将大大降低。

据猎豹移动统计，中国已经有大量银行卡信息被泄露。李铁军说:“全国的诈骗犯每天会尝试登录2000-3000张银行卡，这些银行卡要与正确的身份证和手机号码信息相匹配。”据统计，每年被攻击的银行卡约有700-100万张，涉及金额近200亿元。如果这些欺诈者通过这种方式将这些手机号码转换成银行卡，这些银行卡将处于危险之中。

庞大的黑色数据产业链

微博账户@ micro Mars经徐先生授权披露了他的经历，支付宝和百度银行已承诺支付赔偿金。然而，中国银行(报价601988，买方)、中国工商银行(报价601398，买方)和中国招商银行(报价600036，买方)没有取得任何进展，自4月7日报警以来，公安机关也没有给予任何答复或进展。

中国有一个庞大的黑色数据产业链。网易、12306等大型网站都经历了数据泄露，大量用户数据在互联网的地下世界中被收集和流动，最终描绘出大量完整的用户肖像，许多互联网用户没有隐私。

目前，这种黑色产业链仍将长期存在。李铁军告诉记者:“公安机关打击这个黑色产业链是极其困难的。电子数据的取证和审理远比传统案件麻烦，执法也非常困难。一个案件可以在一两年内结案。”

自2000年以来，中国电信欺诈案件数量急剧增加，保持20%-30%的年增长率。2015年，全国公安机关电信诈骗案件59万起，同比增长32.5%，造成经济损失高达222亿元。为此，国务院领导23个部委启动了打击电信网络新违法犯罪的部际联席会议制度，但这次联席会议的目的只能是“减少电信诈骗犯罪空室”，而没有提及根除电信诈骗。

“许多漏洞汇集在一起，给了电信欺诈一个生存的空空间。”雨凝举了一个例子:“例如，身份证上的漏洞，被盗和丢失的身份证总是有效的，这种身份证在银行和运营商系统中是有效的。”此外，电信诈骗犯用于诈骗和转移资金的账户大多是从青海、贵州、甘肃等地区购买的，这些账户还包含手机号码、u盾、身份证和银行卡等完整信息，通过正规渠道难以避免。

自2015年以来，23个部委联合启动了电信欺诈防控工作，运营商和银行系统开始严格执行实名制，公安部也推出了“电信欺诈调查平台”，大大增加了电信欺诈的犯罪成本。然而，从目前的情况来看，电信欺诈者正在寻找更准确、更高效的欺诈手段，这显然领先于防控体系。

在当前电信欺诈猖獗的环境下，运营商的手机号码安全系统已经成为用户的最后一道防火墙。这不是三大运营商的荣誉，因为当所有的舆论都在关注运营商的时候，运营商就成了唯一不能推卸责任的部门。