一條短信陷入詐騙迷魂陣，驗證碼模式暴露多重支付隱患

【移動通信網(wǎng)】這是一個手機響鈴不止的時代、一個隱私信息裸奔的時代。眼下，詐騙短信儼然成為不法分子的斂財集中營。近日，北京市民許先生因一條“訂閱增值業(yè)務”的短信陷入迷魂陣，最終導致半天之內(nèi)支付寶、銀行卡上的資金被席卷一空。專家認為，這一“殺傷力”極大的連環(huán)騙術是典型的綜合利用“個人信息、USIM補換卡、改號軟件發(fā)送詐騙短信”的新型詐騙案件。

通訊信息詐騙頻發(fā)、騙子屢屢得逞，除了騙子手段“高明”之外，更關鍵的是，短信驗證碼模式存在的多重漏洞以及背后環(huán)環(huán)相扣的互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈為騙子大開方便之門。有效遏制日益猖獗的通訊信息詐騙亟待多方聯(lián)動。

短信引發(fā)網(wǎng)絡劫案，新型詐騙現(xiàn)兩種套路

在信息社會高速運轉的同時，通訊信息詐騙的巨大黑手也正伸向純善的廣大網(wǎng)民。除了電話洗腦式的詐騙外，短信詐騙、網(wǎng)頁種木馬、網(wǎng)頁和電話混合型詐騙、移動客戶端詐騙等技術型詐騙花樣翻新。其中，短信詐騙正成為不法分子斂財主陣地。360互聯(lián)網(wǎng)安全中心發(fā)布的《2015年中國手機安全狀況報告》顯示，詐騙短信是被騙用戶接觸詐騙信息的首要途徑。

中獎兌換信息、信用卡額度提升、淘寶刷單、各式補貼、水電欠費、快遞包裹有毒、聚會照片……各種詐騙短信輪番轟炸，無論行騙事由如何變換，其背后的技術手段大體分為兩種。

一種是USIM補換卡，即“個人信息+偽基站改號軟件發(fā)送詐騙短信+USIM補換卡”。北京的許先生（@趣火星）微博發(fā)布《為什么一條短信就能騙走我所有的財產(chǎn)？》稱，其4月8日先后收到“1065800”、“10086”的短信，提示“開通了中廣財經(jīng)半年包業(yè)務”。隨后“106581390”發(fā)來短信：“您成功訂閱了中國移動的（中廣財經(jīng)）40元/半年，3分鐘退訂免費。如需退訂請編輯短信‘取消+校驗碼’至本條短信退訂”。緊接著“10086”發(fā)來短信：“尊敬的客戶，您的USIM卡6位驗證碼為******”。許先生在回復“取消+驗證碼”后，手機號碼當即失效，隨之支付寶、三張銀行卡、百度錢包里的資金分文不剩。

專家復盤了整個事件流程：不法分子事先獲取了許先生的身份證、手機號、銀行卡信息、網(wǎng)上營業(yè)廳登陸密碼，然后借助10086網(wǎng)上營業(yè)廳、139郵箱的官方運營商渠道騙取了其校驗碼，從而完成“自助換卡”，再用手中空白的4GUSIM卡偷天換日，使許先生的SIM卡作廢，最終輕而易舉通過更改密碼等方式轉走財產(chǎn)。

另一種是木馬，即“個人信息+改號軟件發(fā)送詐騙短信+短信/網(wǎng)頁鏈接植入木馬攔截支付驗證碼”。據(jù)《都市女報》報道，2015年12月30日，濟南市民劉女士收到10086發(fā)送的“積分兌換”短信，隨即點開鏈接，當天夜里便收到5000元的匯款信息和3998元的手機交易信息。濟南市公安局民警稱，騙子發(fā)送的短信中暗藏木馬程序或釣魚網(wǎng)站鏈接，誘使受害人點擊、安裝后，便可輕易獲取其銀行卡卡號、密碼及相關驗證信息，進而通過第三方支付平臺消費套現(xiàn)。

驗證碼模式存漏洞，地下黑市暗流涌動

公安部數(shù)據(jù)顯示，2015年，全國公安機關共立通訊信息詐騙案件59萬起，同比增長32.5%，造成經(jīng)濟損失高達222億元，較去年的107億元實現(xiàn)了翻番。騙子屢屢得逞所出何因？

一方面，各種身份驗證碼在整個過程中暴露出多重漏洞。在網(wǎng)絡消費中，短信驗證碼一直被認為是較為安全的手段，殊不知，在網(wǎng)絡詐騙手法層出不窮的當下，一旦手機被騙子控制，相關安全設置將形同虛設，

另一方面，網(wǎng)絡空間存在著一個規(guī)模龐大的地下“黑市”。日前，央視揭密銀行卡盜刷產(chǎn)業(yè)鏈，爆料者老徐稱其用5分鐘就能搞到1000多條銀行卡信息。據(jù)調(diào)查，這個黑色產(chǎn)業(yè)鏈條上分工明確，銀行卡信息被稱為“料”，搜集銀行卡信息的人叫“下料人”，而把銀行卡的錢往外轉的人即“洗料人”�！傲稀钡膩砺分饕�有三種：一是利用偽基站“包裝”后向用戶發(fā)送含有釣魚網(wǎng)站的短信；二是架設免費WiFi竊取個人信息；三是改裝POS機提取銀行卡信息，即所謂的“軌道料”，其數(shù)量少但賣價高。而在“洗料”環(huán)節(jié)，攔截短信驗證碼主要有兩種方法：一是向目標手機里發(fā)送木馬病毒；二是近距離干擾手機信號。把受害者銀行卡里的錢轉出到“料主”指定的卡號里，“洗料人”將獲得30%到50%的提成。

綜觀而言，大型網(wǎng)站發(fā)生用戶數(shù)據(jù)泄露，衍生出銀行卡、身份證等個人信息的買賣；偽基站、改號軟件橫行，冒充運營商、銀行等發(fā)送詐騙短信；170、171號段淪為通訊信息詐騙的重災區(qū)；運營商補卡身份審核、網(wǎng)絡運營商驗證碼方式的身份審核機制存在漏洞……這一切都給騙子提供了可乘之機，使大量用戶數(shù)據(jù)在互聯(lián)網(wǎng)的地下世界匯集、流動，最終描繪出完整的用戶畫像，成為滋生信息裸奔、財產(chǎn)洗劫的土壤。

多方聯(lián)動擊打猖獗詐騙

2015年以來，國務院牽頭由23部委啟動打擊治理電信網(wǎng)絡新型違法犯罪工作部際聯(lián)席會議制度，公安部也推出了“電信詐騙偵辦平臺”，運營商、銀行系統(tǒng)開始嚴格貫徹實名制，以上種種大幅提高了詐騙的犯罪成本，但仍未提及根除通訊詐騙。從目前形勢來看，通訊信息詐騙這個黑色產(chǎn)業(yè)鏈仍將長期存在，詐騙分子仍在不斷尋找更精準、高效且明顯領先于防治體系的新型詐騙手法。獵豹移動安全專家李鐵軍表示：“對公安機關來說，打擊這個黑色產(chǎn)業(yè)鏈極為困難。電子數(shù)據(jù)的取證、審理都遠比傳統(tǒng)案件麻煩，執(zhí)法很困難，一個案子辦完得一兩年�！�

通訊信息詐騙猖獗，未來如何有效遏制？首先，應著力探索、改進互聯(lián)網(wǎng)平臺的各種身份驗證模式。李鐵軍認為，對于此次的USIM補換卡連環(huán)詐騙，中國移動需緊急調(diào)整自助換卡業(yè)務和139郵箱短信收發(fā)業(yè)務，“自助換卡必須二次確認，明確提示用戶換卡操作的事項；而139郵箱的短信，則應顯示‘這是來自XXX@@139郵箱的消息’”，從而降低消費者被迷惑的可能性。

其次，通訊詐騙早已不局限于垃圾短信的簡單范疇，也不是單靠運營商一己之力可以整治的。提高對于詐騙的“免疫力”，須法律監(jiān)管、市場各方、用戶等聯(lián)動。譬如，為應對垃圾短信、詐騙短信泛濫的問題，工信部近期緊急約談了3家實名制落實不到位的虛擬運營商并責成他們立即進行整改，而蝸牛移動、迪加等部分虛擬運營商目前出臺了諸如關停號碼或暫停短信功能等推動實名制的強硬措施。