新华社等媒体都报道了一种新型诈骗方式——手机“副号”钓鱼骗局。一位何姓先生的手机号莫名其妙成为别人的“副号”,一夜间被盗刷5万元。此类利用短信验证码的骗局实在需要好好揭露一番——
手机“副号”究竟是个“什么鬼”?看到这则新闻后,许多人都会心生这样的疑问。它并不是大家熟悉的家庭亲情号或者企业内部号,主打特定人群间打电话有优惠。而是一种新兴的业务,大概从2015年12月才开始兴起的。它是用来干嘛的呢?看下面这个广告就明白了——
“副号”的相关宣传,它主打的是保护隐私,避免骚扰
现代社会,在各处办业务都少不得留个手机号。手机号曝光之后,免不了收到大量的营销信息乃至诈骗短信。“副号”的作用是防骚扰,给用户一个清静的空间。发布网络信息或者对外留联系方式的时候,留“副号”,而与之绑定的主号可以收到副号的信息、电话。可以说,初衷绝对是好的,也是一块很有潜质的业务。
然而好归好,在一些通信商那里却留着“后门”——1.两个不同机主信息的号可以自由绑定在一起;2.当“副号”一关机,所有的短信、电话都可以涌向“主号”。
何先生的手机号被骗子“接管”了将近两天
两个“后门”便为一些不法之徒利用了。以这位何先生为例,整个诈骗的过程是这样的——1.骗子首先购买大量的手机号码、身份证信息、银行卡资料,圈定范围。2.骗子给这些圈定的用户大量地发送请求其手机号为“副号”的短信来钓鱼。3.何先生稀里糊涂回了个Y,成为“副号”,中招。4.何先生的手机关机(可能是夜间睡觉主动关机,可能是被“主号”手机控制关机,也可能是被攻击关机……原因多样),所有发到何先生手机号上的信息都跑到了骗子所持有的“主号”上。5.骗子利用已经掌握的银行卡等信息,再配合第三方支付和短信验证码,成功刷走五万。
运营商为“副号”业务提供了非常“贴心”的功能,却容易被别有用心者利用
央视报道过的小许要比何先生更倒霉,被转光了所有的积蓄。骗子利用的是一个叫“自助换卡”的冷门业务。该服务的核心精神是,让顾客不用去营业厅,通过在官网申请就可以4G新卡换旧卡,新卡生效之时便是旧卡作废之日。相当于号码都被人劫持了,里面的转款验证码自然随便用。
“自助换卡”的路径之一是原号码的主人在官网上输入手机收到的验证码。骗人的步骤如下:1.首先买到当事人的个人信息,其中可能包括运营商官网的登录密码。2.登录官网后,为当事人订一个增值业务制造恐慌情绪。3.向当事人的手机发送假消息,表示如果要退订服务的话要回复验证码。4.以极快地速度利用冒充的官方号发送当事人办理“自助换卡”的验证码。5.当事人在对乱扣费的增值业务恐慌之时,极易上钩,把“自助换卡”的验证码当作补卡验证码发过去。6.接下来骗子已经控制住当事人的手机号了,自然为所欲为。
应该说,这些冷门业务确实提供了便利。但是由于在流程设置时未能充分地考虑防诈骗的问题,给予了一些骗子很大的“后门”。真是弄巧成拙。
要想骗走钱,有一个前提——掌握被骗者的身份证号码、银行卡号码和密码等个人信息。由于个人信息泄露严重,这些信息非常容易便可以在黑市上买到。去年,南都曾经做过一个非常详尽的调查报道,只花了700元,记者便买到了同事几乎所有的隐私信息,包括四大银行存款记录、手机实时定位、手机通话记录等等。
个人信息泄露和贩卖如此严重的情况下,骗子很容易便能上手了。而通过短信验证码来转款,又是其中最便捷的获利手段之一。骗子不用编写大段大段的谎言,也不用亲自打电话,甚至还不用等被骗者去ATM机或者银行柜台转款,嗖地一下,钱就划走了。
因为在移动支付时代,手机动态验证码成为许多平台的主力验证方式。尽管不少的专家也在质疑它存在漏洞、隐患,但是还找不到更好的替代。这里大致总结一下利用短信验证码诈骗的模式——
防不胜防也得防。短信验证码诈骗中,手机运营商、第三方支付平台等都很难撇清自己的责任。而庞大的个人信息贩卖黑市,则从个人信息泄露到贩卖再到利用,是一条特别完整的黑色链条,要打击它,涉及方方面面,在此不赘述。
单就验证码问题而言,手机运营商和第三方支付平台提供便利服务当然是好事情,没有因噎废食的必要,只是有两点常见漏洞需要弥补:1.尽到详尽提示的义务,有的短信只说“您的验证码是XX”,而不说明具体这个验证码是拿来做什么的,自然有误导性。2.尽到查验身份的义务,既然手机都实名制了,就不应该随便两个没有关系的手机便能绑定主副号,也不应该随随便便,不验证身份卡就换了。
当然,个人信息贩卖猖獗的情况下,个人必须要求自保,得记住四个要点:不乱给验证码(给出去别人便可能控制你的手机号或者成功转款),不乱回复Y(表示同意办理业务),不乱点短信中的链接(有可能一点就感染了病毒)和不乱下载程序(有可能装了盗取信息的木马)。
利用个人信息诈骗,实在是花样百出。而验证码又是骗钱手段中非常重要的一种。在呼吁打击个人信息黑色链条和加强运营商、支付平台责任的同时,针对个人的重要事情也要说三遍:不要乱给验证码,不要乱给验证码,不要乱给验证码。