一条短信陷入诈骗迷魂阵，验证码模式暴露多重支付隐患

【移动通信网】这是一个手机响铃不止的时代、一个隐私信息裸奔的时代。眼下，诈骗短信俨然成为不法分子的敛财集中营。近日，北京市民许先生因一条“订阅增值业务”的短信陷入迷魂阵，最终导致半天之内支付宝、银行卡上的资金被席卷一空。专家认为，这一“杀伤力”极大的连环骗术是典型的综合利用“个人信息、USIM补换卡、改号软件发送诈骗短信”的新型诈骗案件。

通讯信息诈骗频发、骗子屡屡得逞，除了骗子手段“高明”之外，更关键的是，短信验证码模式存在的多重漏洞以及背后环环相扣的互联网黑色产业链为骗子大开方便之门。有效遏制日益猖獗的通讯信息诈骗亟待多方联动。

短信引发网络劫案，新型诈骗现两种套路

在信息社会高速运转的同时，通讯信息诈骗的巨大黑手也正伸向纯善的广大网民。除了电话洗脑式的诈骗外，短信诈骗、网页种木马、网页和电话混合型诈骗、移动客户端诈骗等技术型诈骗花样翻新。其中，短信诈骗正成为不法分子敛财主阵地。360互联网安全中心发布的《2015年中国手机安全状况报告》显示，诈骗短信是被骗用户接触诈骗信息的首要途径。

中奖兑换信息、信用卡额度提升、淘宝刷单、各式补贴、水电欠费、快递包裹有毒、聚会照片……各种诈骗短信轮番轰炸，无论行骗事由如何变换，其背后的技术手段大体分为两种。

一种是USIM补换卡，即“个人信息+伪基站改号软件发送诈骗短信+USIM补换卡”。北京的许先生（@趣火星）微博发布《为什么一条短信就能骗走我所有的财产？》称，其4月8日先后收到“1065800”、“10086”的短信，提示“开通了中广财经半年包业务”。随后“106581390”发来短信：“您成功订阅了中国移动的（中广财经）40元/半年，3分钟退订免费。如需退订请编辑短信‘取消+校验码’至本条短信退订”。紧接着“10086”发来短信：“尊敬的客户，您的USIM卡6位验证码为******”。许先生在回复“取消+验证码”后，手机号码当即失效，随之支付宝、三张银行卡、百度钱包里的资金分文不剩。

专家复盘了整个事件流程：不法分子事先获取了许先生的身份证、手机号、银行卡信息、网上营业厅登陆密码，然后借助10086网上营业厅、139邮箱的官方运营商渠道骗取了其校验码，从而完成“自助换卡”，再用手中空白的4GUSIM卡偷天换日，使许先生的SIM卡作废，最终轻而易举通过更改密码等方式转走财产。

另一种是木马，即“个人信息+改号软件发送诈骗短信+短信/网页链接植入木马拦截支付验证码”。据《都市女报》报道，2015年12月30日，济南市民刘女士收到10086发送的“积分兑换”短信，随即点开链接，当天夜里便收到5000元的汇款信息和3998元的手机交易信息。济南市公安局民警称，骗子发送的短信中暗藏木马程序或钓鱼网站链接，诱使受害人点击、安装后，便可轻易获取其银行卡卡号、密码及相关验证信息，进而通过第三方支付平台消费套现。

验证码模式存漏洞，地下黑市暗流涌动

公安部数据显示，2015年，全国公安机关共立通讯信息诈骗案件59万起，同比增长32.5%，造成经济损失高达222亿元，较去年的107亿元实现了翻番。骗子屡屡得逞所出何因？

一方面，各种身份验证码在整个过程中暴露出多重漏洞。在网络消费中，短信验证码一直被认为是较为安全的手段，殊不知，在网络诈骗手法层出不穷的当下，一旦手机被骗子控制，相关安全设置将形同虚设，

另一方面，网络空间存在着一个规模庞大的地下“黑市”。日前，央视揭密银行卡盗刷产业链，爆料者老徐称其用5分钟就能搞到1000多条银行卡信息。据调查，这个黑色产业链条上分工明确，银行卡信息被称为“料”，搜集银行卡信息的人叫“下料人”，而把银行卡的钱往外转的人即“洗料人”。“料”的来路主要有三种：一是利用伪基站“包装”后向用户发送含有钓鱼网站的短信；二是架设免费WiFi窃取个人信息；三是改装POS机提取银行卡信息，即所谓的“轨道料”，其数量少但卖价高。而在“洗料”环节，拦截短信验证码主要有两种方法：一是向目标手机里发送木马病毒；二是近距离干扰手机信号。把受害者银行卡里的钱转出到“料主”指定的卡号里，“洗料人”将获得30%到50%的提成。

综观而言，大型网站发生用户数据泄露，衍生出银行卡、身份证等个人信息的买卖；伪基站、改号软件横行，冒充运营商、银行等发送诈骗短信；170、171号段沦为通讯信息诈骗的重灾区；运营商补卡身份审核、网络运营商验证码方式的身份审核机制存在漏洞……这一切都给骗子提供了可乘之机，使大量用户数据在互联网的地下世界汇集、流动，最终描绘出完整的用户画像，成为滋生信息裸奔、财产洗劫的土壤。

多方联动击打猖獗诈骗

2015年以来，国务院牵头由23部委启动打击治理电信网络新型违法犯罪工作部际联席会议制度，公安部也推出了“电信诈骗侦办平台”，运营商、银行系统开始严格贯彻实名制，以上种种大幅提高了诈骗的犯罪成本，但仍未提及根除通讯诈骗。从目前形势来看，通讯信息诈骗这个黑色产业链仍将长期存在，诈骗分子仍在不断寻找更精准、高效且明显领先于防治体系的新型诈骗手法。猎豹移动安全专家李铁军表示：“对公安机关来说，打击这个黑色产业链极为困难。电子数据的取证、审理都远比传统案件麻烦，执法很困难，一个案子办完得一两年。”

通讯信息诈骗猖獗，未来如何有效遏制？首先，应着力探索、改进互联网平台的各种身份验证模式。李铁军认为，对于此次的USIM补换卡连环诈骗，中国移动需紧急调整自助换卡业务和139邮箱短信收发业务，“自助换卡必须二次确认，明确提示用户换卡操作的事项；而139邮箱的短信，则应显示‘这是来自XXX@@139邮箱的消息’”，从而降低消费者被迷惑的可能性。

其次，通讯诈骗早已不局限于垃圾短信的简单范畴，也不是单靠运营商一己之力可以整治的。提高对于诈骗的“免疫力”，须法律监管、市场各方、用户等联动。譬如，为应对垃圾短信、诈骗短信泛滥的问题，工信部近期紧急约谈了3家实名制落实不到位的虚拟运营商并责成他们立即进行整改，而蜗牛移动、迪加等部分虚拟运营商目前出台了诸如关停号码或暂停短信功能等推动实名制的强硬措施。

1、回复“YD5GAI”免费领取《中国移动：5G网络AI应用典型场景技术解决方案白皮书》

2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21》

3、回复“YD6G”免费领取《中国移动：6G至简无线接入网白皮书》

4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》》

5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书》

6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解》

7、回复“YDSL”免费领取《中国移动算力并网白皮书》

8、回复“5GX3”免费领取《R1623501-g605G的系统架构1》