一條退訂短信致男子傾家蕩產(chǎn):手機(jī)驗(yàn)證碼并不安全

　　“一個(gè)‘退訂’短信傾家蕩產(chǎn)事件”復(fù)盤(pán)

　　手機(jī)短信驗(yàn)證碼被指為信息安全的沙灘 便捷與安全依然兩難

　　■IT時(shí)報(bào) 吳雨欣

　　當(dāng)手機(jī)中的應(yīng)用越來(lái)越多、綁定的服務(wù)也越來(lái)越多時(shí)，誰(shuí)會(huì)想到一條短信引發(fā)的連鎖反應(yīng)，能讓一個(gè)人在一夜間傾家蕩產(chǎn)？近日，北京許先生的遭遇《中國(guó)移動(dòng)，請(qǐng)你告訴我，為什么一條短信就能騙走我所有的財(cái)產(chǎn)？》在網(wǎng)上引起軒然大波，中國(guó)移動(dòng)、中國(guó)銀行、中國(guó)工商銀行、 招商銀行 、 支付寶 、 百度 錢(qián)包、 網(wǎng)易 郵箱紛紛牽扯其中。

　　當(dāng)《IT時(shí)報(bào)》記者通過(guò)許先生描述的被騙經(jīng)過(guò)，試著重走幕后黑手攻擊之路后才發(fā)現(xiàn)，這根鏈條風(fēng)譎云詭、環(huán)環(huán)緊扣，國(guó)內(nèi)地下數(shù)據(jù)交易市場(chǎng)的猖獗使用戶(hù)信息嚴(yán)重泄露；銀行批量發(fā)卡、辦卡審核不嚴(yán)的同時(shí)，網(wǎng)銀系統(tǒng)在線(xiàn)驗(yàn)證身份信息薄弱；第三方支付在方便人們生活的同時(shí)也被攻擊者大肆利用……當(dāng)銀行、第三方支付、互聯(lián)網(wǎng)企業(yè)越來(lái)越依賴(lài)手機(jī)短信來(lái)驗(yàn)證“你是你”時(shí)，一個(gè)精通各項(xiàng)業(yè)務(wù)環(huán)節(jié)的騙子粉墨登場(chǎng)，利用運(yùn)營(yíng)商網(wǎng)上自助換卡，把自己變成用戶(hù)，開(kāi)始一場(chǎng)肆無(wú)忌憚的掠奪。

　　復(fù)盤(pán)一：遠(yuǎn)程可自助換卡 備卡或從內(nèi)部流出

　　4月8日，許先生在下班路上收到一條10086發(fā)來(lái)的短信，提示他開(kāi)通了某雜志半年的手機(jī)報(bào)服務(wù)，在許先生回復(fù)退訂無(wú)效后，又收到一條類(lèi)似于官方號(hào)碼發(fā)來(lái)的退訂需輸入“取消＋驗(yàn)證碼”的短信和10086發(fā)來(lái)的USIM驗(yàn)證碼短信。為了退訂業(yè)務(wù)，許先生沒(méi)多想就回復(fù)了6位驗(yàn)證碼。之后，手機(jī)的SIM卡就一直處于無(wú)服務(wù)狀態(tài)。

　　許先生哪里會(huì)想到，這是騙子精心設(shè)下的局，自己的號(hào)碼訂了增值業(yè)務(wù)是真的，10086第一次發(fā)來(lái)的退訂信息和驗(yàn)證碼也是真的，但都是騙子進(jìn)入自己網(wǎng)廳后提出的請(qǐng)求。那條輸入“取消＋驗(yàn)證碼”的短信是假的，這時(shí)騙子正在遠(yuǎn)程申請(qǐng)SIM卡業(yè)務(wù)的“備卡激活”，短信驗(yàn)證碼就是確認(rèn)換卡的關(guān)鍵步驟。

　　在接下來(lái)的幾個(gè)小時(shí)里，騙子用許先生的SIM卡接收短信驗(yàn)證碼，相繼攻破他的網(wǎng)易郵箱、支付寶及網(wǎng)銀，并為用戶(hù)綁定了百度錢(qián)包，盜取其資金。

　　在這場(chǎng)連環(huán)騙術(shù)中，除了騙子對(duì)中國(guó)移動(dòng)網(wǎng)上營(yíng)業(yè)廳自助訂閱業(yè)務(wù)、業(yè)務(wù)退訂、網(wǎng)上自助換卡、139郵箱收發(fā)短信等業(yè)務(wù)精通程度令人咋舌外，中國(guó)移動(dòng)網(wǎng)上自助換卡業(yè)務(wù)流程設(shè)計(jì)也成為眾矢之的。

　　“在整個(gè)騙局中，騙子利用了正當(dāng)?shù)臉I(yè)務(wù)規(guī)則，外加受害人對(duì)相關(guān)業(yè)務(wù)不熟悉騙取驗(yàn)證碼，行騙手段具有可復(fù)制性，但如果運(yùn)營(yíng)商對(duì)業(yè)務(wù)規(guī)則進(jìn)行修改，加強(qiáng)認(rèn)證，騙子無(wú)法獲取驗(yàn)證碼，則攻擊就會(huì)失敗�！�360天眼實(shí)驗(yàn)室的工作人員告訴《IT時(shí)報(bào)》記者。

　　如何才能異地自助換卡？中國(guó)移動(dòng)北京公司的客服人員告訴《IT時(shí)報(bào)》記者，辦理人需在網(wǎng)站上申請(qǐng)一張備卡，登記郵寄地址后送卡到家，但地址僅限于北京，外省市不可享受此項(xiàng)服務(wù)。但據(jù)記者了解，此次事件中，騙子的IP地址在海南�？冢�而且網(wǎng)上申請(qǐng)備卡除需填寫(xiě)申請(qǐng)姓名、手機(jī)號(hào)、收貨地址外，依然需要短信驗(yàn)證碼，既然此前許先生并未收到過(guò)申請(qǐng)備卡的短信驗(yàn)證碼，那騙子的備卡是從哪來(lái)的呢？

　　“騙子可能通過(guò)內(nèi)部渠道拿到了備卡，也可能是網(wǎng)購(gòu)渠道的備卡。”一位不愿具名的業(yè)內(nèi)人士告訴《IT時(shí)報(bào)》記者。據(jù)該人士透露，在手機(jī)卡未嚴(yán)格執(zhí)行實(shí)名制前，不用本人的身份證也可以領(lǐng)卡。

　　記者在淘寶頁(yè)面中輸入“USIM卡”，出現(xiàn)了浙江移動(dòng)、上海移動(dòng)等地的4G USIM卡，這些備卡均可用于短信自助換卡，店主告訴《IT時(shí)報(bào)》記者：“雖是短信換卡的備卡，異地網(wǎng)上自助換卡也可以試試，但不保證成功�！�

　　復(fù)盤(pán)二：手機(jī)驗(yàn)證碼可修改網(wǎng)銀密碼

　　“這是社會(huì)工程學(xué)詐騙的一種，也是欺騙性攻擊，利用補(bǔ)卡換卡，騙子在與許先生做心理上的較量，此外，騙子對(duì)許先生做過(guò)調(diào)查，已經(jīng)掌握了他的銀行卡、身份證號(hào)、手機(jī)號(hào)、中國(guó)移動(dòng)網(wǎng)上營(yíng)業(yè)廳的登錄密碼等大量信息，只缺最關(guān)鍵的一步，就是短信驗(yàn)證碼�！眹�(guó)內(nèi)安全團(tuán)隊(duì)Keen Team成員呂禮勝告訴《IT時(shí)報(bào)》記者。

　　短信驗(yàn)證碼有多重要？以登錄支付寶為例，正常情況下，若有人在用戶(hù)不常用設(shè)備上登錄支付寶，用戶(hù)會(huì)收到短信提醒。即使不知道登錄密碼，但已經(jīng)給用戶(hù)換卡成功的騙子，可以通過(guò)短信驗(yàn)證碼、證件號(hào)碼來(lái)重置密碼。

　　在此次事件中，因?yàn)橐呀?jīng)擁有許先生的SIM卡，收到異常登錄短信提醒的是騙子自己，另從許先生的手機(jī)支付寶依然與騙子保持同步登錄狀態(tài)來(lái)看，騙子并未利用手機(jī)短信驗(yàn)證及其他身份信息重置登錄密碼和支付密碼，這也就說(shuō)明，許先生的支付寶號(hào)及密碼可能早已泄露，被騙子掌握。

　　記者又嘗試以找回登錄密碼的方式登錄銀行網(wǎng)銀，雖然有些銀行要求找回登錄密碼必須拿銀行卡和身份證至銀行柜臺(tái)辦理，但有的銀行的網(wǎng)銀依然可以通過(guò)追加網(wǎng)銀賬號(hào)(在網(wǎng)銀中添加的銀行卡號(hào))、身份證號(hào)碼、查詢(xún)密碼和手機(jī)驗(yàn)證碼進(jìn)行網(wǎng)銀重置。還有的銀行會(huì)提示用戶(hù)密碼是6至8位的數(shù)字、字母和數(shù)字字母組合，并可以連續(xù)嘗試輸入10次。在這樣的驗(yàn)證機(jī)制下，騙子完全有機(jī)會(huì)根據(jù)用戶(hù)泄露的信息和技術(shù)手段對(duì)網(wǎng)銀登錄密碼進(jìn)行重置。

　　值得注意的是，對(duì)各項(xiàng)業(yè)務(wù)了如指掌的騙子還利用手機(jī)接收短信驗(yàn)證碼的方式攻破了許先生的163郵箱，用163郵箱關(guān)聯(lián)支付寶并下載支付寶的數(shù)字證書(shū)。這是用于用戶(hù)在新電腦上使用支付寶而安裝的證書(shū)，安裝過(guò)程依然需要輸入隨機(jī)驗(yàn)證碼及短信驗(yàn)證碼，而被騙子關(guān)聯(lián)的百度錢(qián)包，有2小時(shí)內(nèi)轉(zhuǎn)賬的超級(jí)轉(zhuǎn)賬功能且轉(zhuǎn)賬不收手續(xù)費(fèi)。在百度錢(qián)包里添加銀行卡，需要的依然是銀行卡信息、姓名、身份證號(hào)、手機(jī)號(hào)、驗(yàn)證碼。如果登錄密碼忘記，還可以通過(guò)短信驗(yàn)證碼找回。

　　短短幾個(gè)小時(shí)里，對(duì)各項(xiàng)業(yè)務(wù)流程都掌握得爐火純青的騙子在與許先生搶錢(qián)，到最后，許先生什么也沒(méi)搶回來(lái)。

　　復(fù)盤(pán)三：余額1000元的支付寶賬號(hào)密碼可賣(mài)80元

　　“這個(gè)案例的關(guān)鍵點(diǎn)不僅在于用戶(hù)如何在騙子的誘導(dǎo)下泄露關(guān)鍵信息，還有一些地下黑庫(kù)信息的推波助瀾�！�360天眼實(shí)驗(yàn)室的工作人員向《IT時(shí)報(bào)》記者介紹，日常生活中，用戶(hù)信息泄露的渠道很多。比如訂酒店提供的姓名、身份證號(hào)、手機(jī)號(hào)，如果該酒店管理不嚴(yán)或系統(tǒng)存在漏洞，用戶(hù)會(huì)在一瞬間泄露三個(gè)關(guān)鍵信息。此外，某省市的社保及新生兒信息也會(huì)被黑產(chǎn)人員通過(guò)論壇、貼吧、QQ群等進(jìn)行販賣(mài)、收購(gòu)，形成隱蔽而龐大的市場(chǎng)，這早已不是秘密。

　　菠菜、面單、料主包養(yǎng)、攔截馬、大小額通道這些表面上看起來(lái)與信息買(mǎi)賣(mài)無(wú)關(guān)的名稱(chēng)，實(shí)際均是用于信息買(mǎi)賣(mài)的QQ群，為了增加隱蔽性，群頭像有時(shí)是一堆美女、有時(shí)則會(huì)標(biāo)注隱晦的“穩(wěn)賺計(jì)劃”、“注冊(cè)有禮”等。

　　在記者加進(jìn)的一個(gè)QQ群中，信息被稱(chēng)為“料”，相較于售價(jià)幾毛錢(qián)的身份證、手機(jī)信息，兜售支付寶余額“料”和各大銀行“料”的人是群里的“大戶(hù)”。比如支付寶“料”，就包括了用戶(hù)的登錄密碼、支付密碼、手機(jī)號(hào)、身份證號(hào)和快捷賬號(hào)，余額1000元以下的支付寶售價(jià)80元、1000至3000元售價(jià)150元，額度越高，售價(jià)越高，大家均默契地先付款后拿“料”，拒絕做數(shù)據(jù)測(cè)試。當(dāng)被記者追問(wèn)為什么不自己操作時(shí)，一個(gè)賣(mài)主回答：“風(fēng)險(xiǎn)太高，一個(gè)IP操作多了會(huì)被查�！�

　　在這個(gè)講究“十年打工一場(chǎng)夢(mèng)，人無(wú)橫財(cái)不富裕，馬無(wú)夜草不肥”的群里，快遞面單信息、手機(jī)改號(hào)軟件、邊境背包人員接取款、黑錢(qián)還信用卡等服務(wù)一應(yīng)俱全，大家都等著靠做偏門(mén)生意成富翁。

　　“換卡攻擊沒(méi)有什么技術(shù)難度，關(guān)鍵就是要拿到用戶(hù)大量個(gè)人信息�！眳味Y勝說(shuō)。據(jù)呂禮勝介紹，黑客拖庫(kù)、網(wǎng)站出售、各類(lèi)電商訂單等渠道都可以成為用戶(hù)信息遭泄露、販賣(mài)的源頭，免費(fèi)WiFi竊取、木馬釣魚(yú)盜號(hào)、通過(guò)偽基站發(fā)送釣魚(yú)短信等方式則可以作為不法分子盜取用戶(hù)信息的手段。

　　在《2015中國(guó)網(wǎng)站安全報(bào)告》中，據(jù)補(bǔ)天平臺(tái)統(tǒng)計(jì)顯示，補(bǔ)天平臺(tái)中的泄露信息漏洞，共有4個(gè)漏洞可以造成1億條以上的個(gè)人信息泄露，可能泄露個(gè)人信息量在6000萬(wàn)到1億之間的漏洞共有11個(gè)。

　　2015年共有1410個(gè)漏洞可能造成網(wǎng)站上的個(gè)人信息泄露，這些漏洞共涉及網(wǎng)站1282個(gè)，可能或已造成泄露的個(gè)人信息量高達(dá)55.3億條。

　　行業(yè)對(duì)比方面，從平均每個(gè)漏洞泄露的信息量來(lái)看，醫(yī)療衛(wèi)生行業(yè)排在首位，平均每個(gè)泄露信息漏洞可能導(dǎo)致961萬(wàn)條個(gè)人信息泄露，但醫(yī)療衛(wèi)生和教育培訓(xùn)類(lèi)網(wǎng)站的泄露信息漏洞修復(fù)率卻極低。

　　記者觀(guān)察

　　不能把安全只建立在手機(jī)驗(yàn)證碼上

　　“經(jīng)濟(jì)發(fā)達(dá)地區(qū)往往會(huì)成為通信網(wǎng)絡(luò)詐騙的重災(zāi)區(qū)，但通訊詐騙不是單方面某一人的責(zé)任，現(xiàn)在市面上依然有未實(shí)名的手機(jī)卡，銀行業(yè)務(wù)員為了業(yè)績(jī)批量發(fā)卡、違規(guī)辦卡都為破案增加了難度。”某市公安局反通信網(wǎng)絡(luò)詐騙中心的工作人員告訴《IT時(shí)報(bào)》記者。2015年，該市通信網(wǎng)絡(luò)詐騙案件2萬(wàn)余起，涉案金額近4億元，同比上升達(dá)21%。為打擊電信詐騙，該市成立了反通信網(wǎng)絡(luò)詐騙中心，三大運(yùn)營(yíng)商及六大商業(yè)銀行均參與其中，每單位派駐3人在公安局值班。

　　除了誰(shuí)該為通訊詐騙負(fù)責(zé)外，建立在手機(jī)驗(yàn)證碼沙灘上的互聯(lián)網(wǎng)安全大廈的安全性也成為討論的焦點(diǎn)�！叭藗円宦�(tīng)到通訊詐騙，總是會(huì)把矛頭對(duì)準(zhǔn)運(yùn)營(yíng)商。許先生的遭遇，中國(guó)移動(dòng)確實(shí)存在管理及業(yè)務(wù)流程設(shè)計(jì)上的疏忽，但銀行的實(shí)名制要比手機(jī)卡實(shí)名更具天然優(yōu)勢(shì)，也能控制得更好，在這種情況下，用比自己安全性低的短信驗(yàn)證碼來(lái)作為保障用戶(hù)資金安全的關(guān)鍵屏障，實(shí)際是在降低安全性�！� 獨(dú)立電信分析師付亮說(shuō)。

　　如今，因?yàn)槭謾C(jī)卡實(shí)名制、手機(jī)多屬于個(gè)人使用等因素促使越來(lái)越多的互聯(lián)網(wǎng)企業(yè)將手機(jī)短信驗(yàn)證碼作為自己的安全屏障，可當(dāng)手機(jī)短信驗(yàn)證碼可以登錄、修改密碼等操作出現(xiàn)在直接或間接與資金相關(guān)聯(lián)的應(yīng)用時(shí)，大家似乎忽略了，操作手機(jī)甚至是使用SIM卡接收驗(yàn)證碼的人不一定就是用戶(hù)本人。

　　“各大銀行網(wǎng)上銀行、網(wǎng)上商城、團(tuán)購(gòu)網(wǎng)站、票務(wù)公司等企業(yè)使用短信驗(yàn)證，確實(shí)是依賴(lài)于手機(jī)卡實(shí)名制，能大大降低非法注冊(cè)，但我們也曾遇到有人持假身份證成功辦卡的情況。在我們的設(shè)備識(shí)出假身份證向后臺(tái)發(fā)布‘身份錯(cuò)誤’指令時(shí)，有黑客攻擊系統(tǒng)，將錯(cuò)誤指令改成正確指令，這個(gè)人就成功利用假身份證完成實(shí)名登記并辦理了相關(guān)業(yè)務(wù)�！蹦程摂M運(yùn)營(yíng)商的高管告訴《IT時(shí)報(bào)》記者。

　　但對(duì)于手機(jī)驗(yàn)證碼成為與資金相關(guān)聯(lián)應(yīng)用的安全性問(wèn)題，該高管頗為無(wú)奈地說(shuō)：“目前，除了短信驗(yàn)證碼，你認(rèn)為還有什么其他可以大范圍應(yīng)用的驗(yàn)證方式嗎？”

　　據(jù)了解，截至4月13日，支付寶已先行賠付了許先生在其平臺(tái)上流失的一萬(wàn)多元資金，百度錢(qián)包承諾賠付但仍需提交材料走流程，被涉及的招商銀行、中國(guó)工商銀行、中國(guó)銀行依然沒(méi)有任何進(jìn)展。其中一家銀行相關(guān)負(fù)責(zé)人在接受媒體采訪(fǎng)時(shí)表示：“該用戶(hù)的網(wǎng)上銀行轉(zhuǎn)賬功能在此之前已由本人開(kāi)通，后因泄露包括銀行卡密碼在內(nèi)的主要個(gè)人信息導(dǎo)致賬戶(hù)資金受損�！便y行稱(chēng)會(huì)全力配合警方處理。

　　中國(guó)移動(dòng)的調(diào)查結(jié)果則顯示，自助換卡業(yè)務(wù)辦理流程正常，會(huì)積極配合相關(guān)部門(mén)，提供相關(guān)證據(jù)，進(jìn)行后續(xù)查證。