來源：紹興市公安局    作者：嵊州市局

　　近日，北京移動用戶許某因回復(fù)一條短信和一個驗證碼，導(dǎo)致其支付寶、三張銀行卡、百度錢包里所有財產(chǎn)被不法分子悉數(shù)轉(zhuǎn)移。隨后許某在個人微博發(fā)布被騙過程，信息一經(jīng)發(fā)布，微博、微信平臺即持續(xù)發(fā)酵，截至目前，閱讀轉(zhuǎn)發(fā)已超過780萬，留言、評論不斷。該類電信詐騙屬于新型的“補卡攻擊”型詐騙，面對此類“驗證碼”的精準詐騙和組合攻擊，網(wǎng)友直呼“可怕”、“防不勝防”，指揮中心為此發(fā)出預(yù)警提示。
　　一、被騙過程回放
　　5月8日，受害人許某收到中國移動官方號碼的短信，稱其已成功訂閱“手機報半年包”服務(wù)，并實時扣費造成手機余額不足。隨即許某又收到一條短信稱只要回復(fù)取消加驗證碼，在3分鐘內(nèi)可免費退訂。緊接著，受害人收到了一條內(nèi)容為：“尊敬的客戶，您好！您的USIM卡6位驗證碼為3XXX27”的短信，發(fā)送方為10086。受害人許某立即把6位數(shù)的驗證碼發(fā)回給了“3分鐘可免費退訂”的這個號碼，此時，許某的手機徹底癱瘓，重啟數(shù)次后依然顯示“無服務(wù)”。當(dāng)日晚8時左右，受害人收到支付寶的轉(zhuǎn)賬提示，同時其銀行卡內(nèi)余額也全部為零。
　　二、自助換卡流程
　　注冊登錄移動網(wǎng)上營業(yè)廳后，進入自助換卡頁面并申請這項業(yè)務(wù)，只要將原手機卡收到的短信驗證碼回填到網(wǎng)頁，原卡號碼信息會被寫入裝在另一部手機里的新卡，而原手機卡立即作廢，幾分鐘即可完成操作，而且完全免費。自助換卡全程都無需核驗操作者的身份信息，僅需要準備一張未被寫入號碼信息的新卡（業(yè)內(nèi)稱為“白卡”，此種卡在柜臺可免費領(lǐng)取，在淘寶網(wǎng)也可購買，領(lǐng)取或購買時均無需身份驗證），并將卡面上的編號輸入網(wǎng)頁，即可完成自助換卡。
　　通過“自助換卡”業(yè)務(wù)，用戶直接在官網(wǎng)操作即可更換4G手機卡，新卡立即生效，舊卡同時作廢。許某收到的6位數(shù)USIM卡驗證碼，正是“自助換卡”業(yè)務(wù)的驗證碼。經(jīng)過“自助換卡”，許某手機原先的SIM卡當(dāng)即作廢，而騙子手中的SIM卡則成了許某名下的4G卡。
　　三、作案特點
　　攻擊者先是破解當(dāng)事人手機密碼登錄中國移動官網(wǎng)，為當(dāng)事人訂閱增值業(yè)務(wù)，并實現(xiàn)扣費。再通過發(fā)送一條詐騙短信告訴當(dāng)事人可以免費退訂，但需要立即回復(fù)“驗證碼”，同時攻擊者又在中國移動網(wǎng)上營業(yè)廳發(fā)起換卡業(yè)務(wù)，使系統(tǒng)自動向當(dāng)事人手機發(fā)送10086短信驗證碼，此時當(dāng)事人會很容易將驗證碼回復(fù)到攻擊者手中。利用當(dāng)事人回復(fù)的驗證碼攻擊者完成“自助換卡”后，會利用成功劫持的手機號碼使用權(quán)接收各類短信驗證碼，進一步對受害者的財產(chǎn)賬戶發(fā)動攻擊，轉(zhuǎn)移財產(chǎn)。
　　四、防范建議
　　1、對于這種短信多留一個心眼。新聞媒體開展輿論宣傳，發(fā)揮電視、廣播、報刊、網(wǎng)絡(luò)等新聞媒體針對社會面廣、公眾普及率高的優(yōu)勢，揭露此類新型電信詐騙犯罪的手段和特點，增強廣大群眾防范、識別該類詐騙的意識和能力；
　　2、密碼設(shè)置復(fù)雜化，遭遇“干擾信息”仔細甄別。首先一定要保證靜態(tài)密碼足夠復(fù)雜，并妥善保管防止泄露。其次攻擊者經(jīng)常利用各種手段對短信進行偽裝，并千方百計對攻擊對象進行誤導(dǎo)甚至恐嚇，所以一定要對銀行、運營商等身份的手機短信或來電進行認真甄別、冷靜應(yīng)對；
　　3、手機離奇“癱瘓”，要緊急“掛失”。如果手機通訊出現(xiàn)“癱瘓”，一定要查清故障原因，如非手機本身或信號故障，要立刻掛失手機卡，并及時凍結(jié)第三方支付和銀行賬戶，避免攻擊者趁用戶處于信息弧島時，冒名頂替機主身份竊取賬戶財產(chǎn)；
　　4、加強保密意識，防止信息泄露。犯罪分子之所以詐騙得逞，往往也是掌握了受害人的有關(guān)信息。因此，廣大群眾要養(yǎng)成保密意識，防止個人及家底信息的外泄,特別是手機接收到的短信驗證碼，千萬不要告訴任何人。相關(guān)部門也要加強對獲取消費者電話信息的單位、企業(yè)、互聯(lián)網(wǎng)網(wǎng)站等行業(yè)的檢查管理，督促其加強客戶資料保密工作。