前段时间一篇受害人自述被骗经历的长文在网络上广为流传,作者称“由于回复了一条短信,我的支付宝、所有的银行卡信息都被公婆、所有银行卡的资金全部被转移。甚至在长达一晚上的时间里,我的手机处于瘫痪状态,打不出电话。”一夜之间,所有的积蓄都没了,那是一种恐惧和崩溃的绝望!真想究竟是怎么回事呢?记者在调查中发现,这种情况已经出现并且在蔓延,不可不知,不得不防。
受害者在某天傍晚连续收到来自中国移动官方号码的短信,短信称“您一成功订阅了手机报半年包业务,并且实时扣费,造成了余额不足。”紧接着,就是非常诡异地又发了一条短信,显示是,只要回复取消加验证码,在三分钟之内退订免费。当受害者正在琢磨验证码是什么的时候,又收到一条短信,上面写着“您好,您的SIM卡验证码为六位数。”受害人想要退订业务,于是就编辑的“取消加验证码”的消息。而就在发完短信之后,受害人的手机突然打不了电话了,重启了N次手机,还是显示无服务。受害人便回家等到有wifi 的视乎去充值,充了袋盖150块钱进去,手机还是没反应,因为手机一直是无服务状态,受害人开始着急起来,同时打不了10086的客服。后面可怕的事情来了,在有无线网络的情况下,受害人的手机接连收到支付宝的转账信息,这意味竟然与有人在另一端操作者他的支付宝账户,受害人,就这样眼睁睁的看着别人把自己的钱一笔一笔的转移走,而且这还不是本人操作的!!!不仅如此,受害人紧接查看银行卡,结果发现,余额为零!!!
之后发现自己的两张银行卡在他完全不知情的情况下,被人绑定在另一个在线的支付平台——百度钱包上,加上受害人之前绑定在百度钱包上的一张中国银行卡,三张银行卡全部沦陷,银行账号全部被攻破。一条短信,让他一夜之间变得身无分文。
那么当事人究竟是一步步怎样陷入的骗局呢?
攻击者利用“USIM卡验证码到底是什么?”这个绝大多数用户不清楚的信息盲点上做文章,嫁接起两项中国移动的官方业务,制造了整个骗局!
首先攻击者先破解密码登陆管网,为当事人订阅增值业务并实现扣费,营造恐慌气氛,再通过发送一条诈骗短信,告诉当事人可以免费退订,但需要立即回复“验证码”,趁着当事人急于退订,却搞不清验证码在哪里的时候,攻击者又在中国移动网上营业厅发起换卡业务,使系统自动向当事人发送10086短信的验证码,这种及时更新的雪中送炭,更会让当事人对骗局深信不疑,最终对于这个没有任何安全提示的验证码,当事人会很容易积极主动的将“验证码”回复到攻击者的手中。利用当时人回复的验证码,攻击者完成“自助换卡”,利用成功劫持的手机使用权,接收各类短信验证码,进一步对受害者的财产账户发动攻击!
有信息安全方面的专家讲“个人信息,在网上通过各种各样的方式去猜测、碰撞,最终惠及到一起,最终形成地下信息库,那么这个库里面会有大量的完整的个人信息的一个链条,比如你的姓名、佳通住址、手机号、银行卡号、银行卡密码等等一系列这样的信息,其实都在网络的黑市里面,而且都是别人整理好的,不是零散的,这个就非常可怕!”
广大宝宝们要从这件悲惨的手机勒索中得到些警示啦!对于验证码之类的精准诈骗和组合攻击,广大宝宝们准备好如何接招了吗?小编介绍四招防范验证码攻击。
1、保证静态密码设置一定要足够复杂,并妥善保管防止泄露;
2、一定要对运营商、银行等身份的手机短信和来电,进行认真甄别,冷静对待,千万别慌。每个人手机上都会出现各种干扰信息,如果我们在这种风险意识并不是很强的情况下,很容易被这种干扰信息所误导,就会产生后续的一系列的损失。
3、如果手机出现离奇瘫痪情况,若非手机本身或信号故障,就立刻挂失手机卡,并及时冻结第三方支付和银行账户,避免攻击者趁用户处于信息误导时,趁机顶替用户身份窃取账户;
4、最最最重要的是:短信验证码不要告诉任何人!!!重要的事情说三遍:验证码一定不要告诉任何人!不要告诉任何人!!不雅告诉任何人!!!
电信运营商和提供相关服务的企业,只会将短信验证码下发给用户,绝对不会要求用户通过短信验证码或者电话进行所谓“回复验证码”的操作。基本上现在市面上所有的验证码都不会有再次上行的一个过程,也就是说,它只会单项的告诉你验证码是多少,不会再次要求你说,你吧你的验证码发送给它。
所以!任何问你要验证码的都是骗子!!
