近日，一名北京網友發(fā)布的“為什么一條短信就能騙走我所有的財產？”的文章在網絡廣為傳播。據(jù)該網友爆料，他在收到一條“訂閱增值業(yè)務”的短信，根據(jù)提示回復了“取消+驗證碼”之后，半天之內支付寶、銀行卡上的資金被席卷一空。到底是什么樣的電信詐騙手段完成了這一卑劣的盜竊行為呢？ 
　　“在知道自己損失了幾乎所有現(xiàn)金之后，我的內心是無比崩潰的�！比涨�，一名北京網友貼出一則“為什么一條短信就能騙走我所有的財產？”的文章文中以第一人稱描述稱，從一條短信開始自己“一夜之間，支付寶、所有的銀行卡信息都被攻破、所有銀行卡的資金全部被轉移�！睂Υ�，有關安全專家表示，這是一起典型的綜合利用“個人信息+ USIM補換卡+改號軟件發(fā)送詐騙短信”的電信詐騙案件。 

事件 回復短信TD退訂引發(fā)“噩夢” 

　　“4月8日，周五，下班回家地鐵上。我的手機忽然收到一條短信：顯示來源為‘1065800’的號碼發(fā)來了一條短信雜志，這種垃圾雜志看多了，我第一反應是回復‘TD’。該短信回復我‘發(fā)的指令不正確’�！� 
　　文中信息顯示，隨后該用戶相繼收到顯示為“10086”，以及“10658139013816280086”發(fā)來的信息，提示已開通“中廣財經半年包業(yè)務”，“如需退訂請編輯短信‘取消+校驗碼’至本條短信退訂”。而在另一條顯示來源為“10086”的信息中，該用戶收到“尊敬的客戶，您的USIM卡6位驗證碼為******”。此時，我只想快點退訂這個破業(yè)務，壓根兒不知道USIM卡驗證碼是什么，于是回復了“取消+******”。 
　　此后，該網友的支付寶、支付寶所綁定的招商銀行賬戶，以及工商銀行賬戶陸續(xù)發(fā)生轉賬。甚至，在該用戶緊急將支付寶的銀行卡解綁之后，“我馬上檢查我的網銀。然后我悲傷地發(fā)現(xiàn)，我的中國銀行、招商銀行網銀根本登不上，密碼已經被篡改了。而我能登上的工商銀行卡網銀，一查交易明細，網銀此時竟也在發(fā)生轉賬。” 
　　“時間太短。”該網友寫道，銀行要打進客服電話，“所有卡都掛失完成，已耗去大半小時，一切為時晚矣。我知道，此時，我支付寶和銀行卡里所有的錢都沒了……” 
　　該網友第二天到各個營業(yè)廳打印交易流水確認“兩張卡都已空空如也�！备�確認“對方”“不但攻破了我支付寶的賬號，連各個銀行的網銀也逐個攻破”，包括163郵箱密碼也被篡改。其間還包括，“對方”在該用戶完全不知情的情況下，將“我的三張銀行卡都綁定關聯(lián)了百度錢包”，用于轉賬。 
　　該網友文中稱，“被問及需要哪些信息才能把我的卡關聯(lián)百度錢包時，客服說‘銀行卡信息、姓名、身份證號、手機號、驗證碼’。而我如今仍不明白，他是如何搞定我這些信息的。至今仍不明白。”該網友表示，當晚已向警方報案。 

進展 移動已確認辦理“短信業(yè)務”IP在�？� 

　　昨日下午，北京移動在核查之后就上述事件給予回復說明，并通過官微進行了公布。北京移動表示，經公司內部查證，獲知相關情況如下：2016年4月8日17時54分，手機號碼152****1249通過靜態(tài)密碼（客戶自設密碼）方式，登錄北京移動官方網站，經網站彈屏二次確認后，辦理“中廣財經半年包”業(yè)務，IP地址顯示登錄地點為海南�？�；18時13分，手機號碼152****1249以同樣方式登錄網站辦理更換4G USIM卡業(yè)務。系統(tǒng)向客戶本機下發(fā)換卡二次確認驗證碼（6位USIM驗證碼），該驗證碼被輸入后，換卡成功。前后過程僅用了19分鐘。 
　　北京移動指出，以上業(yè)務辦理流程正常。公司將積極配合有關部門，提供相關證據(jù)，進行后續(xù)查證。同時提醒客戶：為保護您的財產安全，請妥善保管并定期修改網站登錄密碼和客服密碼；請勿將系統(tǒng)下發(fā)的業(yè)務辦理驗證密碼轉發(fā)和泄露給他人；如收到不知情業(yè)務開通短信，請發(fā)送短信“0000”到10086查詢及退訂所訂購的業(yè)務，有疑問可進一步致電10086咨詢。 
　　事件發(fā)生后，支付寶的相關人士表示在跟進中。根據(jù)事主寫到的，支付寶目前已經賠付一筆在支付寶上非用戶本人操作的充值行為以及非本人操作轉賬行為帶來的手續(xù)費。另外，支付寶已經承諾在事主提交相關材料，并且在保險公司審核后，有可能會全款賠付。此外，百度錢包也表示在跟進中。 

破解 機主實際上配合別人完成遠程“補卡操作” 

　　專業(yè)人士分析認為，上述案例信息中提及的“USIM卡驗證碼”是整個事件的關鍵之一。 
　　“為什么犯罪分子要如此大費周章？就是首先要設置圈套，騙取用戶的驗證碼�！狈治稣J為，案例情況很有可能是犯罪分子通過登錄機主的網上營業(yè)廳，先提交訂閱申請，之后利用機主著急退訂的心理，緊接著發(fā)來釣魚短信，誘使機主回復“取消+驗證碼”，套取了系統(tǒng)下發(fā)給用戶的真實的驗證碼。之后又申請了換卡，進而確認驗證碼換卡成功，而后再發(fā)生更為嚴重的網銀資產的盜取。 
　　獵豹移動安全專家李鐵軍告訴北青報記者，根據(jù)該網友披露的信息，用戶的手機卡被別人補辦，機主遭遇了電信詐騙中的“補卡攻擊”。李鐵軍指出，盡管這一案例仍存在一些疑問，在目前披露的信息中還沒有了解很清楚。但初步來看，銀行賬戶被盜根本原因，在于機主不恰當?shù)靥幚砹艘恍┒绦判畔ⅰ�從客觀效果來看，相當于機主配合“別人”完成了手機的補卡操作。機主的手機卡實際已經在別人的手上，在這樣的情況下，就很有可能引發(fā)一系列的網銀被盜問題。 
　　李鐵軍介紹說，案例中涉及的遠程補辦業(yè)務來源于國內運營商的一項4G服務。2G或者3G、4G用戶升級、換發(fā)4G卡，可以不必到營業(yè)廳辦理，通過網上營業(yè)廳提交申請，運營商收到申請后，寄發(fā)空白USIM卡給用戶，用戶拿到后，通過換卡操作步驟說明，可以遠程激活新卡生效。在這一案例來看，李鐵軍表示，不法分子很有可能利用非正規(guī)途徑獲得的空白USIM，在案件中通過改號軟件，偽造了一條短信發(fā)到受害人手機上，進而騙取獲得了用戶的真實驗證碼，之后換卡“成功”。“當然案例中還有一些情況目前交代不是很清楚，需要公安機關的進一步調查。”李鐵軍表示。 

疑點 詐騙實施前網友個人信息可能已泄露 

　　此外，攻擊者為什么能在很短的時間內完成盜竊，用戶對于互聯(lián)網的各種服務有足夠了解度和經驗的前提下，他的防護速度仍然跟不上攻擊者的進程，李鐵軍認為這說明攻擊者提前已經有足夠的準備，提前掌握了一定的用戶信息。 
　　“小偷要重置號碼，一般需要身份證號、郵箱信息、銀行賬號等等。這些信息是之前已被攻擊者掌握還是在事件中陸續(xù)破解，仍需公安機關的調查”，但從網友描述攻擊者很快完成了密碼的重置以及登錄等信息來看，李鐵軍分析，很有可能之前已有信息泄露的發(fā)生。 
　　據(jù)360安全專家分析，按照受害人目前的描述，判斷這是一起典型的綜合利用“個人信息+ USIM補換卡+改號軟件發(fā)送詐騙短信”的電信詐騙案件。根據(jù)百度錢包的關聯(lián)來看，很有可能在詐騙實施之前，騙子已經獲取了受害人的銀行卡號、身份證號、姓名、手機號等個人信息。在這種情況下，騙子只需要得到受害人的短信驗證碼，即可進行包括網銀、支付寶、百度錢包的所有轉賬操作。于是，騙子選擇利用移動的USIM補換卡業(yè)務，直接竊取用戶的手機卡，并由此可以掌握該網友的全部手機短信，包括轉賬必需的“驗證碼短信”內容。由于該案例不同于一般的網絡詐騙犯罪分子的行動動機，并且根據(jù)事主現(xiàn)在的描述，該事件仍有一些疑點。因此，其他用戶也無需過度恐慌，可以說，該案可能是一個“極端案例”。 

提示 任何時候都不要把驗證碼給別人 

　　李鐵軍指出，伴隨不良分子詐騙方式與技術手段的花樣翻新，電信詐騙有可能威脅到每一個人�！敖洺Ｔ诰W上泡的人，其實都存在個人信息的不同程度泄露�！崩铊F軍認為。信息泄露已經防不勝防，對于普通人，需要注意的包括，任何時候不要把自己的驗證碼給其他人，其中尤其是收到與銀行、支付系統(tǒng)以及個人賬戶有關的短信，一定要確認自己把全部短信內容完整看完，切忌匆忙處理，更要避免貿然把驗證碼誤發(fā)給別人。 
　　此外李鐵軍建議，作為防范，每個人都應提前做好一些應急預案。比如一旦發(fā)生手機突然失效，沒有信號是被攻擊的典型現(xiàn)象，必要時第一要凍結銀行卡，凍結第三方支付賬號，這些只要借一部手機就可以完成。一旦發(fā)生諸如此類的意外情況，要有足夠的風險意識，不能放任自己成為信息孤島，也不能等待或者猶豫，要立即采取措施防范。 
　　聲音 誰該為電信詐騙事件負責？ 
　　在上述案例中，網友在文中最后也發(fā)出質疑，運營商與銀行等各種環(huán)節(jié)，究竟誰愿意為這一事件負責？對此，中國互聯(lián)網協(xié)會信用評價中心法律顧問趙占領律師表示，類似電信詐騙由于具體方式非常多，所以需要結合具體案例的過程來看。其中厘清詐騙犯如何獲得信息是關鍵步驟之一。進而要結合具體案例分析，界定其中是否涉及有過錯責任方。 
　　“追究責任的前提是，對方有過錯�！本途W友文中透露的案例，趙占領認為，如果是用戶手機卡被復制后，網銀密碼是通過驗證碼重置被攻破盜取，則支付環(huán)節(jié)的責任初步看較為難以界定。而涉及運營商的環(huán)節(jié)，趙占領認為，關鍵要看SIM卡的補辦環(huán)節(jié)是否有問題。如果犯罪分子去營業(yè)廳補辦，需要用身份證，運營商在辦理SIM卡中有審核身份的責任。而如果確認補卡申請與用戶網上營業(yè)廳密碼泄露有關，則目前也很難界定運營商的責任。 
　　“最終需要公安機關通過刑事立案，抓獲嫌疑人，才能具體厘清犯罪的過程和手段，目前來看，受害人還很難判斷和證明包括運營商和銀行等支付方該負什么樣責任�！壁w占領指出。 

焦點 安卓系統(tǒng)比蘋果系統(tǒng)容易受侵害？ 

　　由于電信詐騙案的頻發(fā)，讓用戶對智能手機的安全性更加關注。雖然不能絕對地說蘋果系統(tǒng)比安卓系統(tǒng)更加安全，但是從目前發(fā)生的許多案例來看，安卓系統(tǒng)用戶受到侵害的頻率相較于蘋果系統(tǒng)用戶更多。 
　　據(jù)360安全專家介紹，這首先是基于安卓用戶數(shù)量遠超于蘋果用戶數(shù)量。因此如果開發(fā)一款木馬或其他病毒程序，犯罪分子也會選擇針對安卓系統(tǒng)來開發(fā)相應軟件。 
　　其次，安卓系統(tǒng)是開源系統(tǒng)，也就是說，任何人都可以得到軟件的源代碼，加以修改，進行二次開發(fā)利用。相反地，蘋果是一個封閉的系統(tǒng)，只有開發(fā)者才可以修改系統(tǒng)代碼。因此，從黑客入侵的難易程度來看，蘋果更加安全。 
　　另外，一些利用偽基站實施詐騙的案例，由于蘋果手機用戶下載程序必須去蘋果商店，在互聯(lián)網網站無法下載，因此騙子的木馬程序僅對安卓系統(tǒng)用戶有效，所以安卓系統(tǒng)受到侵害的幾率更大一些。 

體驗 支付寶、微信、百度錢包哪個更安全？ 

　　由于該事件中出現(xiàn)了“一個手機驗證碼”便可盜取賬戶及進行轉賬操作，北青報記者昨日進行驗證，發(fā)現(xiàn)各個支付App的驗證方式和要求各不相同。 
　　首先，北青報記者嘗試在另外一臺非常用設備上登錄支付寶。先利用“賬號+密碼”的方式登錄支付寶，在輸入賬號密碼后，常用手機會收到提示“你的賬戶某某于幾點登錄，如非本人操作，請修改密碼，建議密碼與你的其他網站密碼不同�！彪S后，會用一些既往信息驗證是否本人操作，比如選擇“哪一個wifi是你用過的”或“哪一個商品是你購買過的”，點擊正確后，才可以進入支付寶。但是如果選擇用“手機號+驗證碼”的方式登錄，則僅需輸入短信驗證碼即可立刻成功登錄。 
　　與支付寶剛好相反，微信對于“手機號+驗證碼”的登錄方式要求較嚴格，而對于“賬號+密碼”的方式則較信任。北青報記者同樣在另一臺非常用設備上登錄微信，被要求進行好友驗證。好友驗證是給出15位微信用戶頭像，需要用戶從中選出自己的微信好友，至少2位。但如果利用“賬號+密碼”的方式，則可以立刻登錄成功。不論使用哪種登錄方式，在常用設備上都會收到一條提示“你的微信賬號于幾點在什么設備上通過微信密碼登錄，如果這不是你的操作，你的微信密碼已經泄露，請盡快登錄微信修改微信密碼�；蛟L問weixin110.qq.com凍結微信�！毕啾戎Ц秾殻�微信增加了凍結微信的選項，比密碼泄露后還需要通過修改密碼的保護賬戶的選項更加實用。 
　　最后，北青報記者用百度錢包在非常用設備登錄時，也可以利用“手機號+驗證碼”的方式登錄，且無需其他驗證。此外，用戶還可以選擇用綁定的手機號編輯新密碼直接向一個固定號碼發(fā)送短信，便可以更改賬戶密碼。

來源：紹興市公安局    作者：袍江分局