一條“退訂”短信，喪盡所有錢財

任笑元+++++溫婧

最近，一名北京網(wǎng)友發(fā)布的“為什么一條短信就能騙走我所有的財產(chǎn)？”的文章，在網(wǎng)絡(luò)廣為傳播。據(jù)該網(wǎng)友爆料，他收到一條“訂閱增值業(yè)務(wù)”的短信，根據(jù)提示回復(fù)了“取消+驗證碼”之后，半天之內(nèi)支付寶、銀行卡上的資金被席卷一空。不法分子到底是采取什么樣的電信詐騙手段，完成了這一卑劣的盜竊行為呢？

對此，有關(guān)安全專家表示，這是一起典型的綜合利用“個人信息+ USIM補(bǔ)換卡+改號軟件發(fā)送詐騙短信”的電信詐騙案件。

事件：回復(fù)短信“TD”退訂引發(fā)噩夢

“2016年4月8日，周五，下班回家地鐵上。我的手機(jī)忽然收到一條短信：顯示來源為‘1065800的號碼發(fā)來了一條短信雜志。這種垃圾雜志看多了，我第一反應(yīng)是回復(fù)‘TD。該短信回復(fù)我‘發(fā)的指令不正確?！?/p>

隨后，該用戶相繼收到顯示為“10086”，以及“10658139013816280086”發(fā)來的信息，提示已開通“中廣財經(jīng)半年包業(yè)務(wù)”，“如需退訂請編輯短信‘取消+驗證碼至本條短信退訂”。而在另一條顯示來源為“10086”的信息中，該用戶收到“尊敬的客戶，您的USIM卡6位驗證碼為******”。此時，用戶只想快點退訂這個破業(yè)務(wù)，壓根兒不知道USIM卡驗證碼是什么，于是回復(fù)了“取消+******”。

此后，該網(wǎng)友的支付寶、支付寶所綁定的招商銀行和工商銀行的賬戶，陸續(xù)發(fā)生轉(zhuǎn)賬。甚至，在該用戶緊急將支付寶的銀行卡解綁之后，“我馬上檢查我的網(wǎng)銀。然后我悲傷地發(fā)現(xiàn)，我的中國銀行、招商銀行網(wǎng)銀根本登不上，密碼已經(jīng)被篡改了。而我能登上的工商銀行卡網(wǎng)銀，一查交易明細(xì)，網(wǎng)銀此時竟也在發(fā)生轉(zhuǎn)賬。”

“時間太短?！痹摼W(wǎng)友寫道，銀行要打進(jìn)客服電話，“所有卡都掛失完成，已耗去大半小時，一切為時晚矣。我知道，此時，我支付寶和銀行卡里所有的錢都沒了……”

該網(wǎng)友第二天到各個營業(yè)廳打印交易流水，確認(rèn)“兩張卡都已空空如也”。更確認(rèn)對方“不但攻破了我支付寶的賬號，連各個銀行的網(wǎng)銀也逐個攻破”，包括163郵箱密碼也被篡改。其間還包括，對方在該用戶完全不知情的情況下，將“我的3張銀行卡都綁定關(guān)聯(lián)了百度錢包”，用于轉(zhuǎn)賬。

該網(wǎng)友文中稱，“被問及需要哪些信息才能把我的卡關(guān)聯(lián)百度錢包時，客服說‘銀行卡信息、姓名、身份證號、手機(jī)號、驗證碼。而我至今仍不明白，對方是如何搞定我這些信息的?！痹摼W(wǎng)友表示，當(dāng)晚已向警方報案。

進(jìn)展：移動已確認(rèn)辦理“短信業(yè)務(wù)”IP地址在?？?/p>

北京移動在核查之后，很快就上述事件給予回復(fù)說明，并通過官微進(jìn)行了公布。北京移動表示，經(jīng)公司內(nèi)部查證，獲知相關(guān)情況如下：2016年4月8日17時54分，手機(jī)號碼152****1249通過靜態(tài)密碼（客戶自設(shè)密碼）方式，登錄北京移動官方網(wǎng)站，經(jīng)網(wǎng)站彈屏二次確認(rèn)后，辦理“中廣財經(jīng)半年包”業(yè)務(wù)，IP地址顯示登錄地點為海南海口；18時13分，手機(jī)號碼152****1249以同樣方式登錄網(wǎng)站辦理更換4G USIM卡業(yè)務(wù)。系統(tǒng)向客戶本機(jī)下發(fā)換卡二次確認(rèn)驗證碼（6位USIM驗證碼），該驗證碼被輸入后，換卡成功。前后過程僅用了19分鐘。

北京移動指出，以上業(yè)務(wù)辦理流程正常。公司將積極配合有關(guān)部門，提供相關(guān)證據(jù)，進(jìn)行后續(xù)查證。同時提醒客戶：為保護(hù)您的財產(chǎn)安全，請妥善保管并定期修改網(wǎng)站登錄密碼和客服密碼；請勿將系統(tǒng)下發(fā)的業(yè)務(wù)辦理驗證密碼轉(zhuǎn)發(fā)和泄露給他人；如收到不知情業(yè)務(wù)開通短信，請發(fā)送短信“0000”到10086查詢及退訂所訂購的業(yè)務(wù)，有疑問可進(jìn)一步致電10086咨詢。

事件發(fā)生后，支付寶的相關(guān)人士表示在跟進(jìn)中。根據(jù)事主所寫，支付寶目前已經(jīng)賠付一筆在支付寶上非用戶本人操作的充值行為以及非本人操作轉(zhuǎn)賬行為帶來的手續(xù)費。另外，支付寶已經(jīng)承諾在事主提交相關(guān)材料，并且在保險公司審核后，有可能會全款賠付。此外，百度錢包也表示在跟進(jìn)中。

破解：機(jī)主實際上配合別人完成遠(yuǎn)程“補(bǔ)卡操作”

專業(yè)人士分析認(rèn)為，上述案例信息中提及的“USIM卡驗證碼”是整個事件的關(guān)鍵之一。

“為什么犯罪分子要如此大費周章？就是首先要設(shè)置圈套，騙取用戶的驗證碼?！狈治稣J(rèn)為，案例情況很有可能是犯罪分子通過登錄機(jī)主的網(wǎng)上營業(yè)廳，先提交訂閱申請，之后利用機(jī)主著急退訂的心理，緊接著發(fā)來釣魚短信，誘使機(jī)主回復(fù)“取消+驗證碼”，套取了系統(tǒng)下發(fā)給用戶的真實的驗證碼。之后又申請了換卡，進(jìn)而確認(rèn)驗證碼換卡成功，而后再發(fā)生更為嚴(yán)重的網(wǎng)銀資產(chǎn)的盜取。

獵豹移動安全專家李鐵軍告訴記者，根據(jù)該網(wǎng)友披露的信息，用戶的手機(jī)卡被別人補(bǔ)辦，機(jī)主遭遇了電信詐騙中的“補(bǔ)卡攻擊”。李鐵軍指出，盡管這一案例仍存在一些疑問，但初步來看，銀行賬戶被盜根本原因，在于機(jī)主不恰當(dāng)?shù)靥幚砹艘恍┒绦判畔?。從客觀效果來看，相當(dāng)于機(jī)主配合“別人”完成了手機(jī)的補(bǔ)卡操作。機(jī)主的手機(jī)卡實際已經(jīng)在別人的手上，在這樣的情況下，就很有可能引發(fā)一系列的網(wǎng)銀被盜問題。

李鐵軍介紹說，案例中涉及的遠(yuǎn)程補(bǔ)辦業(yè)務(wù)，來源于國內(nèi)運營商的一項4G服務(wù)。2G或者3G、4G用戶升級、換發(fā)4G卡，可以不必到營業(yè)廳辦理。通過網(wǎng)上營業(yè)廳提交申請，運營商收到申請后，寄發(fā)空白USIM卡給用戶，用戶拿到后，通過換卡操作步驟說明，可以遠(yuǎn)程激活新卡生效。從這一案例來看，李鐵軍表示，不法分子很有可能利用非正規(guī)途徑獲得的空白USIM，在案件中通過改號軟件，偽造了一條短信發(fā)到受害人手機(jī)上，進(jìn)而騙取獲得了用戶的真實驗證碼，之后換卡成功。“當(dāng)然案例中還有一些情況目前交代不是很清楚，需要公安機(jī)關(guān)的進(jìn)一步調(diào)查?！崩铊F軍表示。

疑點：詐騙實施前，網(wǎng)友個人信息可能已泄露

此外，攻擊者為什么能在很短的時間內(nèi)完成盜竊？李鐵軍認(rèn)為，這說明攻擊者提前已經(jīng)有足夠的準(zhǔn)備，掌握了一定的用戶信息。

“騙子要重置號碼，一般需要身份證號、郵箱信息、銀行賬號等等。這些信息是之前已被攻擊者掌握，還是在事件中陸續(xù)破解，仍需公安機(jī)關(guān)的調(diào)查。”但從網(wǎng)友描述攻擊者很快完成了密碼的重置以及登錄等信息來看，李鐵軍分析，很有可能之前已有信息泄露的發(fā)生。

據(jù)360安全專家分析，按照受害人目前的描述，判斷這是一起典型的綜合利用“個人信息+ USIM補(bǔ)換卡+改號軟件發(fā)送詐騙短信”的電信詐騙案件。根據(jù)百度錢包的關(guān)聯(lián)來看，很有可能在詐騙實施之前，騙子已經(jīng)獲取了受害人的銀行卡號、身份證號、姓名、手機(jī)號等個人信息。在這種情況下，騙子只需要得到受害人的短信驗證碼，即可進(jìn)行包括網(wǎng)銀、支付寶、百度錢包的所有轉(zhuǎn)賬操作。于是，騙子選擇利用移動的USIM補(bǔ)換卡業(yè)務(wù)，直接竊取用戶的手機(jī)卡，并由此可以掌握該網(wǎng)友的全部手機(jī)短信，包括轉(zhuǎn)賬必需的“驗證碼短信”內(nèi)容。

由于該案例不同于一般的網(wǎng)絡(luò)詐騙犯罪分子的行動動機(jī)，并且根據(jù)事主現(xiàn)在的描述，該事件仍有一些疑點。因此，其他用戶也無需過度恐慌，可以說，該案可能是一個“極端案例”。

提示：任何時候都不要把驗證碼給別人

李鐵軍指出，伴隨不法分子詐騙方式與技術(shù)手段的花樣翻新，電信詐騙有可能威脅到每一個人。“經(jīng)常在網(wǎng)上泡的人，其實都存在個人信息的不同程度泄露?！崩铊F軍認(rèn)為。信息泄露已經(jīng)防不勝防，對于普通人，需要注意的是，任何時候都不要把自己的驗證碼給其他人。其中，尤其是收到與銀行、支付系統(tǒng)以及個人賬戶有關(guān)的短信，一定要確認(rèn)自己把全部短信內(nèi)容完整看完，切忌匆忙處理，更要避免貿(mào)然把驗證碼誤發(fā)給別人。

此外，李鐵軍建議，作為防范，每個人都應(yīng)提前做好一些應(yīng)急預(yù)案。比如一旦發(fā)生手機(jī)突然失效、沒有信號，是被攻擊的典型現(xiàn)象，必要時第一時間要凍結(jié)銀行卡，凍結(jié)第三方支付賬號，這些只要借一部手機(jī)就可以完成。一旦發(fā)生諸如此類的意外情況，要有足夠的風(fēng)險意識，不能放任自己成為信息孤島，也不能等待或者猶豫，要立即采取措施防范。

聲音：誰該為電信詐騙事件負(fù)責(zé)？

在上述案例中，網(wǎng)友在文中最后也發(fā)出質(zhì)疑，運營商與銀行等各種環(huán)節(jié)，究竟誰該為這一事件負(fù)責(zé)？對此，中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領(lǐng)律師表示，類似電信詐騙，由于具體詐騙方式非常多，所以需要結(jié)合具體案例的過程來看。其中厘清騙子如何獲得信息是關(guān)鍵步驟之一。進(jìn)而要結(jié)合具體案例分析，界定其中是否涉及有過錯責(zé)任方。

“追究責(zé)任的前提是，對方有過錯?！本途W(wǎng)友文中透露的案例，趙占領(lǐng)認(rèn)為，如果是用戶手機(jī)卡被復(fù)制后，網(wǎng)銀密碼是通過驗證碼重置被攻破盜取，則支付環(huán)節(jié)的責(zé)任初步看較為難以界定。而涉及運營商的環(huán)節(jié)，趙占領(lǐng)認(rèn)為，關(guān)鍵要看USIM卡的補(bǔ)辦環(huán)節(jié)是否有問題。如果犯罪分子去營業(yè)廳補(bǔ)辦，需要用身份證，運營商在辦理USIM卡中有審核身份的責(zé)任。而如果確認(rèn)補(bǔ)卡申請與用戶網(wǎng)上營業(yè)廳密碼泄露有關(guān)，則目前也很難界定運營商的責(zé)任。

“最終需要公安機(jī)關(guān)通過刑事立案，抓獲嫌疑人，才能具體厘清犯罪的過程和手段。目前來看，受害人還很難判斷和證明包括運營商和銀行等支付方該負(fù)什么樣責(zé)任?！壁w占領(lǐng)指出。