一条短信 一夜之间“倾家荡产”
受害者长文微博截图
“因为一条短信,一夜之间,我的支付宝、所有的银行卡信息都被攻破,所有银行卡的资金全部被转移,…那是一种一无所有的绝望。”
这篇万余字的长文配发一系列截图证据,描述了当事人遭遇的全过程。文章在微博、微信平台上持续发酵,阅读转发超过780万,留言评论不断。
经过多方联系,记者找到了当事人小许,一名参加工作不久的大学毕业生。“漂”在北京辛苦挣来的所有积蓄说没就没了,至今令他心有余悸。
受害人 小许:一夜之间你所有钱财都一无所有。你能明白那种恐怖和崩溃的心理吗?都不是说难过,是恐惧和崩溃,我觉得我之前做的所有努力都是白费的。
退订短信暗藏玄机
4月8日傍晚,挤在北京晚高峰的地铁里,小许连续收到了几条来自中国移动官方号码的短信。短信称,他已成功订阅了一项“手机报半年包”服务,并且实时扣费造成了手机余额不足。
受害人 小许:我这时候就纳闷了,因为我根本就没有订阅这个服务啊。紧接着就是非常诡异地又发了一条短信,显示是我只要回复取消加验证码,在3分钟之内退订免费。
当小许正在琢磨“验证码”到底是什么,他又收到了一条来自中国移动客服电话“10086”的短信。
受害人 小许:上面写着。您好,您的USIM卡验证码为六位数字,然后就没了,就句号。这时候我就想我要退订这个业务,他也没有跟我说验证是什么(用途),我就按照常规的思维,就取消加验证码发给他了。
原以为成功避免了一次手机用户经常碰到的“吸费业务”,但小许却惊讶地发现,自己的手机突然彻底瘫痪了。
受害人 小许:重启了大概N次手机,然后它还是显示无服务。到家之后,有WIFI的时候再充值,去充了大概150块钱进去它还是没反应,这时候我就着急了。因为我手机是无服务状态,我也打不了10086的客服。
在线遭劫!支付宝一夜“归零”
这只是麻烦的开始,当天晚上8点左右,小许的手机在无线网络下,接连收到了支付宝的转账提示,这意味着竟然有人在另一个终端上操作他的支付宝账户。
受害人 小许:这时候就不是诈骗,这种感觉是在抢钱。就我眼睁睁地看着他,把我的钱一笔一笔又一笔的转移,而且不是我个人操作的。
由于手机无法呼出挂失,情急之下,小许只能通过操作客户端解除了支付宝与三张银行卡的绑定,并且委托亲友拨打支付宝客服电话冻结账号。
受害人 小许:因为你知道打客服(电话)是个非常缓慢的过程,它一步一步各种各样的验证,…当我挂失成功完成之后,发现我的支付宝没钱了。他不但攻破了我的支付宝,还在我网银里发生跨行转账。就发现我后来每一张银行卡里,余额都是零。
百度钱包“被偷” 网银账户“沦陷”
更令小许感到恐惧的是,冻结支付宝账户并没有使自己的银行卡摆脱被劫的“命运”。他第二天才发现,自己名下的招商银行、工商银行两张储蓄卡,在他完全不知情的情况下,被人绑定在另一个在线支付平台“百度钱包”上,加上小许原本在“百度钱包”绑定的另一张中国银行卡,三张卡里的钱全部转入了两个陌生账号。这意味着,就连他的银行账号也被攻破了。一条短信让他一夜之间变得身无分文。
“嫁接”移动业务 精准“劫持”手机
小许的遭遇不仅让众多网民震惊,也在通信、互联网和银行业内引发了热议。从收到可疑短信,直到眼见自己的所有账户被彻底“洗劫一空”,整个过程只有3个多小时,所有这些不可思议,都是从收到那条订阅短信开始的。记者从短信入手展开了调查。
明明小许没有订阅,为何会收到订阅短信?根据中国移动北京分公司的内部查证:4月8日17点54分,有人通过海南海口的一个IP地址,以小许的手机号成功登录了北京移动官方网站,不仅发起了手机报订阅,还在18点13分成功办理了一项名为“自助换卡”的业务。
自助换卡:“双重关口”皆被攻破
“自助换卡”是中国移动推出的一项在线服务,通过这项业务用户不必跑营业厅,直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效,旧卡同时作废。
经过“自助换卡”,相当于小许的手机在那一刻更换了机主,落到了别人手里。中国移动北京分公司表示,目前仍不能准确解释小许的账号是如何被他人成功登录的,但如果密码设置过于简单,或与其他安全级别较低的网站密码相同,就可能会在反复尝试下被攻破。
中国移动北京公司业务专家 孙鹏:第一道门是诈骗分子把门户网站的密码破解掉了,第二道门是他启动了换卡的流程,点击确认,我要发起换卡了,系统就会向他发一个二次确认的验证码,把这个验证码再填回系统之后,才会发起后期的换卡工作。
“致命”漏洞:关键信息缺乏关键提示
攻击者要换卡,必须先知道验证码。当时小许收到的这条来自10086的验证码,正是攻击者在网上发起换卡后,系统自动发到小许手机上的。但在这条20多字的短信中,并未说明验证码的用途。
受害人 小许:可以说,他是以极其随便的态度来发给我,就告诉我这是个验证码,普通人没有接触过这方面信息的时候,是不知道它是有什么用处的。
骗局揭秘:利用“信息盲点”编造“剧本”
“USIM卡验证码”到底是什么?攻击者正是在这个绝大多数用户不清楚的“信息盲点”上做文章,“嫁接”起了两项中国移动的官方业务,编造了整个骗局的“剧本”:
先是破解密码登录官网,为当事人订阅增值业务并实现扣费,这是在营造恐慌气氛;再通过发送一条诈骗短信,告诉当事人可以免费退订,但需要立即回复“验证码”;趁着当事人正急于退订却搞不清“验证码”在哪里,攻击者又在中国移动网上营业厅发起换卡业务,使系统自动向当事人发送10086短信的“验证码”,这种及时跟进的“雪中送炭”,更会让当事人对骗局的“剧本”深信不疑;最终,面对这个没有任何安全提示的“验证码”,当事人会很容易顺着之前“剧本”的逻辑,积极主动地把它回复到到攻击者手中。利用当事人回复的“验证码”,攻击者完成“自助换卡”后,会利用成功“劫持”的手机使用权接收各类短信验证码,进一步对受害者的财产账户发动攻击。
受害人 小许:手机号不仅仅是你的通信工具。它是你在互联网上的唯一身份凭证,意味着一旦你失去你这个手机号的控制权,那你这个人就被抹掉了。因为我丢失了那个手机号。其实在那一晚上我是没有身份的在互联网上,我的身份被另外一个人取代了。
风险失控:“冷门”业务变“后门”
小许的经历并非个例,不少有着同样遭遇的网友主动与小许联系,讲述自己被攻击的经过。信息安全专家把此类电信诈骗称作“补卡攻击”。记者在调查中发现:一些本为方便用户而开发的业务,却因用户普及程度较低,成了被攻击者“盯上”的充满风险的“后门”。
记者体验了“自助换卡”的全部流程:注册登录移动网上营业厅,进入“自助换卡”页面并申请这项业务,只要将原手机卡收到的短信“验证码”回填到网页,原卡的号码信息会被写入装在另一部手机里的新卡,而原手机卡立即作废,几分钟即可完成操作,而且完全免费。
记者注意到,与到营业厅当面办理不同,自助换卡全程都没有核验操作者的身份信息,仅需要准备一张未被写入号码信息的新卡,并将卡面上的编号输入网页,这张卡被业内称为“白卡”。
中国移动北京公司业务专家 孙鹏:如果您是中国移动的客户,您现在可以到营业厅,免费领取一张,或者说是我们通过邮寄的方式给您寄过去。
记者:免费领取的时候,需要核验身份信息吗?
中国移动北京公司业务专家 孙鹏:你只要是中国移动的客户,我们就会给您一张白卡。
记者:不需要做任何身份验证?
中国移动北京公司业务专家 孙鹏:白卡本身是不需要做验证的。
白给的“白卡”:“便捷”还是“隐患”?
记者了解到,这种“白卡”和领取人的手机号没有绑定关系,因而领取后可以写入任何手机号,不仅可以免费从官方途径获得,甚至在淘宝等网站上有人公开售卖。
这就意味着,攻击者要“劫持”小许的手机卡,只需要以小许的手机号成功登录中国移动网上营业厅,并骗到那个没有任何提示说明的6位验证码,剩下的条件都可以轻易获取,不需要任何身份验证。
信息安全专家 孟卓:曾经可能线下还要验一下身份证我们还要面对面沟通交谈,但是在网上呢,可能就会有这种安全隐患在里面,现在你也永远不知道是一个什么样的人,他在哪里在研究你的系统,在尝试着发现你系统里的一些问题。
揭穿伪装:诈骗短信披上“官方外衣”
回溯小许的遭遇记者发现,在构成这场“连环”骗局的几条短信中10086是中国移动统一客服号码、10658000是中国移动手机报号码,令当事人深信不疑。就连此次事件中唯一一条由攻击者编造的诈骗短信,也是利用“139邮箱”的一项“发短信”功能发出的。
记者实际操作发现,如果接收短信的手机没有将发短信的邮箱所对应的手机号存储为联系人,接收到的信息均显示以“10658”开头。而中国移动旗下的“服务提供商业务号码”发送的“行业短信”大都以“10658”开头。攻击者看中的正是这个功能细节,不仅可以对诈骗短信进行伪装,骗取接收者的信任,还可以接收到当事人回复的关键验证码。
因此,139邮箱的“发短信”功能被攻击者所用,成为骗局的重要一环。而这项中国移动已经推出8年的免费功能,很少有人真正了解它的操作细节,使用率也不高。
信息安全专家 张耀疆:所谓的冷门业务,它有时效性的。按道理可能在某一时期它就有某一时期的一个作用,但实际上这个(行业)发展非常快,随着时间的推延,其实有些东西甚至你自己都忘掉了。就是一般不太用,但是懂的人他就会打它主意,利用它。有时候时间长了,它就变成后门了。
验证码“撬开”全部账户?
当事人的手机卡被“劫走”后,第三方支付平台、甚至银行的安全验证都被接连突破,这一切真的仅靠掌握短信验证码就可以实现吗?
小许:他为什么就能凭我的手机就能够破解我的网银呢。
工商银行客服:第一必须得知道您的网银登录密码,…如果他不知道登录密码的情况下,他还需要您卡的密码。
小许:卡密码?
工商银行客服:对,就是卡的取钱密码,就那六位数卡取钱密码。如果密码、卡号和手机他完全掌握他才能做这些交易。
这意味着,尽管短信验证码是每一步攻击的关键,但攻击者还需要受害者的银行卡号等更多的信息。因而可以断定,小许的手机卡被“劫持”之前,他的“成套”个人信息已经被攻击者掌握了。
尽管已经向警方报了案,而且支付宝和百度钱包也在案件侦破之前,对小许在该支付平台上损失的金额进行了先行赔付,但小许仍在通过各种途径寻求答案。他恐惧的是,不知自己还有什么关键信息已经被他人所掌握。
信息安全专家 张耀疆:个人信息在网上通过各种各样的方式去猜测碰撞,最终汇集到一起,形成一个地下的一个数据库。那么这个库里面会有大量的非常完整的个人信息的一个链条。比如你的姓名、家庭住址、手机号、银行卡号、银行的密码,其实都在网络的黑市里面,而且是别人整理好的,不是零散的,这个就非常可怕。
短信验证码“不能承受之重”
近年来,在个人信息泄露交易愈发猖獗的大背景下,单一的静态信息如账号、密码已经不能保证各类身份验证,尤其是在线支付的安全。因此从银行开始,越来越多行业的安全策略采用了“双因素认证”的理念。简单的说,就是“用户自己知道的信息”这把“钥匙”已经不安全了,必须用随着时间、事件等因素随机产生的一次性密码再加上“另一把钥匙”,同时拥有“两把钥匙”的人才能开一把锁。而这把“新钥匙”从最初的U盾、令牌开始,越来越多的“集成”到了智能手机上,“短信验证码”已经成为如今在线支付“双因素认证”的“必选项”。
之所以小许的所有账户被“全线攻破”,是因为除了个人信息这把“钥匙”早已泄露外, “双因素认证”的第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。
记者对本次事件所涉及的第三方支付平台和手机银行的关键业务进行操作汇总后发现:所有的在线支付都可以用手机号和静态密码登录,百度钱包直接可以用短信验证码登录;“更改登录密码”和“转账支付”也无一例外地需要依靠短信验证码完成;而对于第三方支付最重要的“支付密码”,支付宝竟然简化到仅凭短信验证码就可以更改。
小许:如果我的手机号已经被盗走了,因为我可以确定这一点,他还需要别的才能把我的钱转走吗?
招商银行客服:转账的话是需要您的取款密码,跟验证码的,但是如果说他是网上支付的话,就是只需要验证码就可以了。
信息安全专家 张耀疆:验证码这个东西,它可以做可各种各样的动作,比如说找回你的账号密码,那么这样就导致什么呢?其实你个人的账号密码和验证码就变为一体了,它变成一个因素了。那么原来设计当中的双因素的功效就大大的降低。就把所有的鸡蛋都放在这么一个篮子里面,导致了种种的问题。
如何防范“验证码攻击”
从小许的遭遇中我们应该得到什么警示?面对此类针对短信验证码的“精准诈骗”和“组合攻击”,又该如何保护自身安全?信息安全专家为大家“支招”。
信息安全专家 孟卓:现在互联网发展到这个地步,很多这种计算机服务器,它的运算能力已经很高了,包括带宽现在也很宽了,4位数验证码,我们可能会在行业里会做一个测试进行猜解,不到一万次就猜出来了,基本上几分钟就搞定了。
专家提示,从电脑到手机都面临着木马病毒、“钓鱼”网站等黑客技术的安全威胁,如果只靠一个简单的静态密码,无法保证安全。因而,首先一定要保证静态密码足够复杂,并妥善保管防止泄露。
“四招”防范“验证码攻击”
一、静态密码设置一定要复杂
其次,攻击者经常利用各种手段对短信进行伪装,并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对"运营商"、"银行"等身份的手机短信和来电进行认真甄别,冷静应对。
二、遭遇“干扰信息”仔细甄别莫慌张
每个人手机上,可能都会出现过各种的干扰信息,那么如果在我们风险意识并不是很强的情况下,很容易被这种干扰信息所误导,就会产生后续的一系列的损失。
三、手机离奇“瘫痪” 紧急“挂失”当先
另外,如果手机通讯出现瘫痪,一定要马上查清故障原因。如非手机本身或信号故障,要立刻挂失手机卡,并及时冻结第三方支付和银行账户,避免攻击者趁用户处于"信息孤岛"时,冒名顶替机主身份窃取账户。
四、短信验证码 不能告诉任何人!!!
最最重要的是:短信验证码不要告诉任何人!电信运营商和提供相关服务的企业只会将短信验证码下发给用户,绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。
支付宝安全发言人表示,基本上现在市面上任何的验证码,它都不会有再次上行的过程。也就是说它只会单向地告诉你,它的验证码是多少,不会再次要求你,说你把你的验证码发送给它。所以说,任何问你要验证码的都是骗子。
从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统,构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟:所谓“好的用户体验”,就像一架天平,一头是“便捷”,而另一头是任何时候都不能忽略的“安全”,这架天平的平衡一旦打破,所有的一切都会“归零”。