一條退訂短信致男子傾家蕩產(chǎn):手機驗證碼并不安全

　　“一個‘退訂’短信傾家蕩產(chǎn)事件”復(fù)盤

　　手機短信驗證碼被指為信息安全的沙灘 便捷與安全依然兩難

　　■IT時報 吳雨欣

　　當手機中的應(yīng)用越來越多、綁定的服務(wù)也越來越多時，誰會想到一條短信引發(fā)的連鎖反應(yīng)，能讓一個人在一夜間傾家蕩產(chǎn)？近日，北京許先生的遭遇《中國移動，請你告訴我，為什么一條短信就能騙走我所有的財產(chǎn)？》在網(wǎng)上引起軒然大波，中國移動、中國銀行、中國工商銀行、 招商銀行 、 支付寶 、 百度 錢包、 網(wǎng)易 郵箱紛紛牽扯其中。

　　當《IT時報》記者通過許先生描述的被騙經(jīng)過，試著重走幕后黑手攻擊之路后才發(fā)現(xiàn)，這根鏈條風(fēng)譎云詭、環(huán)環(huán)緊扣，國內(nèi)地下數(shù)據(jù)交易市場的猖獗使用戶信息嚴重泄露；銀行批量發(fā)卡、辦卡審核不嚴的同時，網(wǎng)銀系統(tǒng)在線驗證身份信息薄弱；第三方支付在方便人們生活的同時也被攻擊者大肆利用……當銀行、第三方支付、互聯(lián)網(wǎng)企業(yè)越來越依賴手機短信來驗證“你是你”時，一個精通各項業(yè)務(wù)環(huán)節(jié)的騙子粉墨登場，利用運營商網(wǎng)上自助換卡，把自己變成用戶，開始一場肆無忌憚的掠奪。

　　復(fù)盤一：遠程可自助換卡 備卡或從內(nèi)部流出

　　4月8日，許先生在下班路上收到一條10086發(fā)來的短信，提示他開通了某雜志半年的手機報服務(wù)，在許先生回復(fù)退訂無效后，又收到一條類似于官方號碼發(fā)來的退訂需輸入“取消＋驗證碼”的短信和10086發(fā)來的USIM驗證碼短信。為了退訂業(yè)務(wù)，許先生沒多想就回復(fù)了6位驗證碼。之后，手機的SIM卡就一直處于無服務(wù)狀態(tài)。

　　許先生哪里會想到，這是騙子精心設(shè)下的局，自己的號碼訂了增值業(yè)務(wù)是真的，10086第一次發(fā)來的退訂信息和驗證碼也是真的，但都是騙子進入自己網(wǎng)廳后提出的請求。那條輸入“取消＋驗證碼”的短信是假的，這時騙子正在遠程申請SIM卡業(yè)務(wù)的“備卡激活”，短信驗證碼就是確認換卡的關(guān)鍵步驟。

　　在接下來的幾個小時里，騙子用許先生的SIM卡接收短信驗證碼，相繼攻破他的網(wǎng)易郵箱、支付寶及網(wǎng)銀，并為用戶綁定了百度錢包，盜取其資金。

　　在這場連環(huán)騙術(shù)中，除了騙子對中國移動網(wǎng)上營業(yè)廳自助訂閱業(yè)務(wù)、業(yè)務(wù)退訂、網(wǎng)上自助換卡、139郵箱收發(fā)短信等業(yè)務(wù)精通程度令人咋舌外，中國移動網(wǎng)上自助換卡業(yè)務(wù)流程設(shè)計也成為眾矢之的。

　　“在整個騙局中，騙子利用了正當?shù)臉I(yè)務(wù)規(guī)則，外加受害人對相關(guān)業(yè)務(wù)不熟悉騙取驗證碼，行騙手段具有可復(fù)制性，但如果運營商對業(yè)務(wù)規(guī)則進行修改，加強認證，騙子無法獲取驗證碼，則攻擊就會失敗。”360天眼實驗室的工作人員告訴《IT時報》記者。

　　如何才能異地自助換卡？中國移動北京公司的客服人員告訴《IT時報》記者，辦理人需在網(wǎng)站上申請一張備卡，登記郵寄地址后送卡到家，但地址僅限于北京，外省市不可享受此項服務(wù)。但據(jù)記者了解，此次事件中，騙子的IP地址在海南�？�，而且網(wǎng)上申請備卡除需填寫申請姓名、手機號、收貨地址外，依然需要短信驗證碼，既然此前許先生并未收到過申請備卡的短信驗證碼，那騙子的備卡是從哪來的呢？

　　“騙子可能通過內(nèi)部渠道拿到了備卡，也可能是網(wǎng)購渠道的備卡�！币晃徊辉妇呙�的業(yè)內(nèi)人士告訴《IT時報》記者。據(jù)該人士透露，在手機卡未嚴格執(zhí)行實名制前，不用本人的身份證也可以領(lǐng)卡。

　　記者在淘寶頁面中輸入“USIM卡”，出現(xiàn)了浙江移動、上海移動等地的4G USIM卡，這些備卡均可用于短信自助換卡，店主告訴《IT時報》記者：“雖是短信換卡的備卡，異地網(wǎng)上自助換卡也可以試試，但不保證成功�！�

　　復(fù)盤二：手機驗證碼可修改網(wǎng)銀密碼

　　“這是社會工程學(xué)詐騙的一種，也是欺騙性攻擊，利用補卡換卡，騙子在與許先生做心理上的較量，此外，騙子對許先生做過調(diào)查，已經(jīng)掌握了他的銀行卡、身份證號、手機號、中國移動網(wǎng)上營業(yè)廳的登錄密碼等大量信息，只缺最關(guān)鍵的一步，就是短信驗證碼�！眹鴥�(nèi)安全團隊Keen Team成員呂禮勝告訴《IT時報》記者。

　　短信驗證碼有多重要？以登錄支付寶為例，正常情況下，若有人在用戶不常用設(shè)備上登錄支付寶，用戶會收到短信提醒。即使不知道登錄密碼，但已經(jīng)給用戶換卡成功的騙子，可以通過短信驗證碼、證件號碼來重置密碼。

　　在此次事件中，因為已經(jīng)擁有許先生的SIM卡，收到異常登錄短信提醒的是騙子自己，另從許先生的手機支付寶依然與騙子保持同步登錄狀態(tài)來看，騙子并未利用手機短信驗證及其他身份信息重置登錄密碼和支付密碼，這也就說明，許先生的支付寶號及密碼可能早已泄露，被騙子掌握。

　　記者又嘗試以找回登錄密碼的方式登錄銀行網(wǎng)銀，雖然有些銀行要求找回登錄密碼必須拿銀行卡和身份證至銀行柜臺辦理，但有的銀行的網(wǎng)銀依然可以通過追加網(wǎng)銀賬號(在網(wǎng)銀中添加的銀行卡號)、身份證號碼、查詢密碼和手機驗證碼進行網(wǎng)銀重置。還有的銀行會提示用戶密碼是6至8位的數(shù)字、字母和數(shù)字字母組合，并可以連續(xù)嘗試輸入10次。在這樣的驗證機制下，騙子完全有機會根據(jù)用戶泄露的信息和技術(shù)手段對網(wǎng)銀登錄密碼進行重置。

　　值得注意的是，對各項業(yè)務(wù)了如指掌的騙子還利用手機接收短信驗證碼的方式攻破了許先生的163郵箱，用163郵箱關(guān)聯(lián)支付寶并下載支付寶的數(shù)字證書。這是用于用戶在新電腦上使用支付寶而安裝的證書，安裝過程依然需要輸入隨機驗證碼及短信驗證碼，而被騙子關(guān)聯(lián)的百度錢包，有2小時內(nèi)轉(zhuǎn)賬的超級轉(zhuǎn)賬功能且轉(zhuǎn)賬不收手續(xù)費。在百度錢包里添加銀行卡，需要的依然是銀行卡信息、姓名、身份證號、手機號、驗證碼。如果登錄密碼忘記，還可以通過短信驗證碼找回。

　　短短幾個小時里，對各項業(yè)務(wù)流程都掌握得爐火純青的騙子在與許先生搶錢，到最后，許先生什么也沒搶回來。

　　復(fù)盤三：余額1000元的支付寶賬號密碼可賣80元

　　“這個案例的關(guān)鍵點不僅在于用戶如何在騙子的誘導(dǎo)下泄露關(guān)鍵信息，還有一些地下黑庫信息的推波助瀾�！�360天眼實驗室的工作人員向《IT時報》記者介紹，日常生活中，用戶信息泄露的渠道很多。比如訂酒店提供的姓名、身份證號、手機號，如果該酒店管理不嚴或系統(tǒng)存在漏洞，用戶會在一瞬間泄露三個關(guān)鍵信息。此外，某省市的社保及新生兒信息也會被黑產(chǎn)人員通過論壇、貼吧、QQ群等進行販賣、收購，形成隱蔽而龐大的市場，這早已不是秘密。

　　菠菜、面單、料主包養(yǎng)、攔截馬、大小額通道這些表面上看起來與信息買賣無關(guān)的名稱，實際均是用于信息買賣的QQ群，為了增加隱蔽性，群頭像有時是一堆美女、有時則會標注隱晦的“穩(wěn)賺計劃”、“注冊有禮”等。

　　在記者加進的一個QQ群中，信息被稱為“料”，相較于售價幾毛錢的身份證、手機信息，兜售支付寶余額“料”和各大銀行“料”的人是群里的“大戶”。比如支付寶“料”，就包括了用戶的登錄密碼、支付密碼、手機號、身份證號和快捷賬號，余額1000元以下的支付寶售價80元、1000至3000元售價150元，額度越高，售價越高，大家均默契地先付款后拿“料”，拒絕做數(shù)據(jù)測試。當被記者追問為什么不自己操作時，一個賣主回答：“風(fēng)險太高，一個IP操作多了會被查�！�

　　在這個講究“十年打工一場夢，人無橫財不富裕，馬無夜草不肥”的群里，快遞面單信息、手機改號軟件、邊境背包人員接取款、黑錢還信用卡等服務(wù)一應(yīng)俱全，大家都等著靠做偏門生意成富翁。

　　“換卡攻擊沒有什么技術(shù)難度，關(guān)鍵就是要拿到用戶大量個人信息�！眳味Y勝說。據(jù)呂禮勝介紹，黑客拖庫、網(wǎng)站出售、各類電商訂單等渠道都可以成為用戶信息遭泄露、販賣的源頭，免費WiFi竊取、木馬釣魚盜號、通過偽基站發(fā)送釣魚短信等方式則可以作為不法分子盜取用戶信息的手段。

　　在《2015中國網(wǎng)站安全報告》中，據(jù)補天平臺統(tǒng)計顯示，補天平臺中的泄露信息漏洞，共有4個漏洞可以造成1億條以上的個人信息泄露，可能泄露個人信息量在6000萬到1億之間的漏洞共有11個。

　　2015年共有1410個漏洞可能造成網(wǎng)站上的個人信息泄露，這些漏洞共涉及網(wǎng)站1282個，可能或已造成泄露的個人信息量高達55.3億條。

　　行業(yè)對比方面，從平均每個漏洞泄露的信息量來看，醫(yī)療衛(wèi)生行業(yè)排在首位，平均每個泄露信息漏洞可能導(dǎo)致961萬條個人信息泄露，但醫(yī)療衛(wèi)生和教育培訓(xùn)類網(wǎng)站的泄露信息漏洞修復(fù)率卻極低。

　　記者觀察

　　不能把安全只建立在手機驗證碼上

　　“經(jīng)濟發(fā)達地區(qū)往往會成為通信網(wǎng)絡(luò)詐騙的重災(zāi)區(qū)，但通訊詐騙不是單方面某一人的責(zé)任，現(xiàn)在市面上依然有未實名的手機卡，銀行業(yè)務(wù)員為了業(yè)績批量發(fā)卡、違規(guī)辦卡都為破案增加了難度�！蹦呈泄�安局反通信網(wǎng)絡(luò)詐騙中心的工作人員告訴《IT時報》記者。2015年，該市通信網(wǎng)絡(luò)詐騙案件2萬余起，涉案金額近4億元，同比上升達21%。為打擊電信詐騙，該市成立了反通信網(wǎng)絡(luò)詐騙中心，三大運營商及六大商業(yè)銀行均參與其中，每單位派駐3人在公安局值班。

　　除了誰該為通訊詐騙負責(zé)外，建立在手機驗證碼沙灘上的互聯(lián)網(wǎng)安全大廈的安全性也成為討論的焦點。“人們一聽到通訊詐騙，總是會把矛頭對準運營商。許先生的遭遇，中國移動確實存在管理及業(yè)務(wù)流程設(shè)計上的疏忽，但銀行的實名制要比手機卡實名更具天然優(yōu)勢，也能控制得更好，在這種情況下，用比自己安全性低的短信驗證碼來作為保障用戶資金安全的關(guān)鍵屏障，實際是在降低安全性。” 獨立電信分析師付亮說。

　　如今，因為手機卡實名制、手機多屬于個人使用等因素促使越來越多的互聯(lián)網(wǎng)企業(yè)將手機短信驗證碼作為自己的安全屏障，可當手機短信驗證碼可以登錄、修改密碼等操作出現(xiàn)在直接或間接與資金相關(guān)聯(lián)的應(yīng)用時，大家似乎忽略了，操作手機甚至是使用SIM卡接收驗證碼的人不一定就是用戶本人。

　　“各大銀行網(wǎng)上銀行、網(wǎng)上商城、團購網(wǎng)站、票務(wù)公司等企業(yè)使用短信驗證，確實是依賴于手機卡實名制，能大大降低非法注冊，但我們也曾遇到有人持假身份證成功辦卡的情況。在我們的設(shè)備識出假身份證向后臺發(fā)布‘身份錯誤’指令時，有黑客攻擊系統(tǒng)，將錯誤指令改成正確指令，這個人就成功利用假身份證完成實名登記并辦理了相關(guān)業(yè)務(wù)�！蹦程摂M運營商的高管告訴《IT時報》記者。

　　但對于手機驗證碼成為與資金相關(guān)聯(lián)應(yīng)用的安全性問題，該高管頗為無奈地說：“目前，除了短信驗證碼，你認為還有什么其他可以大范圍應(yīng)用的驗證方式嗎？”

　　據(jù)了解，截至4月13日，支付寶已先行賠付了許先生在其平臺上流失的一萬多元資金，百度錢包承諾賠付但仍需提交材料走流程，被涉及的招商銀行、中國工商銀行、中國銀行依然沒有任何進展。其中一家銀行相關(guān)負責(zé)人在接受媒體采訪時表示：“該用戶的網(wǎng)上銀行轉(zhuǎn)賬功能在此之前已由本人開通，后因泄露包括銀行卡密碼在內(nèi)的主要個人信息導(dǎo)致賬戶資金受損�！便y行稱會全力配合警方處理。

　　中國移動的調(diào)查結(jié)果則顯示，自助換卡業(yè)務(wù)辦理流程正常，會積極配合相關(guān)部門，提供相關(guān)證據(jù)，進行后續(xù)查證。