网友亲历诈骗！安全专家详解：一个验证码如何让你倾家荡产

最近，一篇名为《实录 | 亲历网络诈骗，互联网是如何让我生无分文？》的文章在网络广为传播。

作者表示，他莫名其妙地收到一条“订阅增值业务”的短信，根据提示回复了“取消+验证码”之后，自己的漫长的噩梦就此开启：

手机号码失效，半天之内支付宝、银行卡上的资金被席卷一空。

而损失巨大的作者到最后也没有完全明白自己的钱究竟是怎样被黑客盗取的。

作为爱和正义的守护者，雷锋网(搜索“雷锋网”公众号关注)义不容辞，特地采访到腾讯手机管家安全专家陆兆华大牛，详细解析一下这个诈骗过程中每一步的技术细节。现在请各位童鞋系好安全带，老司机要带你上路了。

核弹引信——验证码

作者的噩梦开始于拥挤的地铁车厢里。

他的手机忽然收到一条短信：来源为“1065800”的号码发来了一条短信杂志。

接着，来源为“10086”的号码发来了一条短信，提醒他“开通了中广财经半年包业务”。

同时发来的还有一条“余额不足”的短信。

正在他纳闷且愤怒的时候，来源为“10658139013816280086”的号码发来了一条 短信：

您成功订阅了中国移动的（中广财经）40元/半年，3分钟退订免费。如需退订请编辑短信“取消+校验码”至本条短信退订。”署名“中国移动”。

【骗子伪装10086向受害者发送钓鱼短信（只有最后一条验证码来自真正的10086）】

至此，所有的证据都指向“万恶的”中国移动。看客们一定认为中国移动又在欺负无辜的消费者，私自为客户订阅了垃圾增值服务。没错，受害者本人也是这么想的。此时，作者的内心大概是：“这SB又给我瞎定什么业务？还需要40元/半年，什么鬼？”不过，他马上注意到，短信上这个服务是可以被退订的。“中国移动还算有操守“他一边这样想，一边收到了“10086”发来的又一条短信：“尊敬的客户，您的USIM卡6位验证码为******”。一心只想快点退订这个破业务的作者压根就没注意什么叫“USIM卡验证码”，直接回复了“取消+******（验证码）”。

【受害者不知情，把更改USIM卡的验证码发给了骗子】

从收到第一条短信，到作者回复验证码，地铁也许还没有行进一站，一切都看起来都是那么平常。但是，一个巨大的阴谋已经把他拖进了深渊。。。

让我们看看这串眼花缭乱的短信背后究竟发生了什么：

陆兆华告诉雷锋网：

这是一个电信诈骗的经典手段。整个骗局的关键就在于这个“USIM卡验证码”。

诈骗分子需要预先准备一张空白的4G USIM卡。目前，在淘宝等电商平台上可以轻松买到一张空白的4G USIM卡。然后，诈骗分子向运营商申请自主更换USIM卡业务。这个业务的完成需要一个验证码。于是骗子借退订SP业务迷惑受害者回复验证码（实际上是更换新USIM卡的验证信息）到特定的短信端口（骗子接收）。受害者以为自己是在退订业务，实际上已经把最重要的验证信息给了骗子。

骗子利用这个验证码，可以直接在异地复制一张USIM卡，而导致真正的USIM卡失效。这样一来，机主的手机号码就会被诈骗分子完全控制。

【通过运营商自助换卡业务进行诈骗的流程】 究竟谁是“你”？

如果突然有一天，你看到了一个和你一模一样的人，他辩称自己就是你，甚至知道你的所有个人信息，认识你的所有朋友，那么，究竟“你”是你，还是“他”是你呢？

在网络世界里，证明“你”是“你”的所有证据，只有你的手机号、验证码、邮箱、身份证号等有限的几个证据。如果坏人掌握了这些信息，他就会在赛博空间一点一点变成你，甚至比你还像你，让真正的你百口莫辩。

我们来继续讲述这个悲伤的故事。

果然，不久作者就发现自己的手机失去了信号。（此刻他的手机卡已经失效，而骗子手中的空白卡已经生效）他以为自己由于被恶意扣费，导致了停机，于是打算回到家再进行处理。但是，到家之后作者发现，竟然连中国移动的客服电话“10086”都无法拨通，甚至更换手机也没有信号。但是，此刻手机仍然能接收Wi-Fi信号。“噩耗”就是通过Wi-Fi传来的。

支付宝突然弹窗，出现两条消费提醒：一笔为“5元的游戏币充值”；一笔为小额的转账“从余额宝转账到绑定的招商银行”。自此，雪片般的转账信息倾泻而出。

【支付宝的转账信息】

大部分的操作都是将支付宝中的余额分批次转到银行卡。作者的第一反应是给支付宝客服打电话冻结自己的账户，但是，他绝望地发现自己的手机仍然没信号。此刻家里没有其他人，在短暂的空白之后，作者终于想到了要解绑银行卡。然而，资金被转出的速度太快。当作者解绑银行卡之后，账户中的资金已经所剩无几。不过，此时骗子已经没有办法把钱转到银行卡中了，于是竟然丧性病狂地用最后一百多块钱给一个手机号码充了值。（作者调查这个号码时，它已停机）

当然，整件事情还没有结束，不过，我们先暂停一下，看看截至目前，骗子究竟是怎样做到的：

陆兆华给出了他的分析：

此时最为关键的环节是骗子控制了失主的支付宝。理论上，盗取支付宝权限有很多方法。目前大部分邮箱都是依靠手机短信验证码来进行二次身份验证的，诈骗分子可以通过手机号码找回密码或者是利用短信验证码进入邮箱，从而篡改邮箱密码，再利用手机号码和邮箱来找回支付宝密码，安装支付证书。从而直接在异地登录支付宝进行操作。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!