谨防新型“补卡攻击”之“验证码”诈骗

来源：绍兴市公安局    作者：嵊州市局

　　近日，北京移动用户许某因回复一条短信和一个验证码，导致其支付宝、三张银行卡、百度钱包里所有财产被不法分子悉数转移。随后许某在个人微博发布被骗过程，信息一经发布，微博、微信平台即持续发酵，截至目前，阅读转发已超过780万，留言、评论不断。该类电信诈骗属于新型的“补卡攻击”型诈骗，面对此类“验证码”的精准诈骗和组合攻击，网友直呼“可怕”、“防不胜防”，指挥中心为此发出预警提示。
　　一、被骗过程回放
　　5月8日，受害人许某收到中国移动官方号码的短信，称其已成功订阅“手机报半年包”服务，并实时扣费造成手机余额不足。随即许某又收到一条短信称只要回复取消加验证码，在3分钟内可免费退订。紧接着，受害人收到了一条内容为：“尊敬的客户，您好！您的USIM卡6位验证码为3XXX27”的短信，发送方为10086。受害人许某立即把6位数的验证码发回给了“3分钟可免费退订”的这个号码，此时，许某的手机彻底瘫痪，重启数次后依然显示“无服务”。当日晚8时左右，受害人收到支付宝的转账提示，同时其银行卡内余额也全部为零。
　　二、自助换卡流程
　　注册登录移动网上营业厅后，进入自助换卡页面并申请这项业务，只要将原手机卡收到的短信验证码回填到网页，原卡号码信息会被写入装在另一部手机里的新卡，而原手机卡立即作废，几分钟即可完成操作，而且完全免费。自助换卡全程都无需核验操作者的身份信息，仅需要准备一张未被写入号码信息的新卡（业内称为“白卡”，此种卡在柜台可免费领取，在淘宝网也可购买，领取或购买时均无需身份验证），并将卡面上的编号输入网页，即可完成自助换卡。
　　通过“自助换卡”业务，用户直接在官网操作即可更换4G手机卡，新卡立即生效，旧卡同时作废。许某收到的6位数USIM卡验证码，正是“自助换卡”业务的验证码。经过“自助换卡”，许某手机原先的SIM卡当即作废，而骗子手中的SIM卡则成了许某名下的4G卡。
　　三、作案特点
　　攻击者先是破解当事人手机密码登录中国移动官网，为当事人订阅增值业务，并实现扣费。再通过发送一条诈骗短信告诉当事人可以免费退订，但需要立即回复“验证码”，同时攻击者又在中国移动网上营业厅发起换卡业务，使系统自动向当事人手机发送10086短信验证码，此时当事人会很容易将验证码回复到攻击者手中。利用当事人回复的验证码攻击者完成“自助换卡”后，会利用成功劫持的手机号码使用权接收各类短信验证码，进一步对受害者的财产账户发动攻击，转移财产。
　　四、防范建议
　　1、对于这种短信多留一个心眼。新闻媒体开展舆论宣传，发挥电视、广播、报刊、网络等新闻媒体针对社会面广、公众普及率高的优势，揭露此类新型电信诈骗犯罪的手段和特点，增强广大群众防范、识别该类诈骗的意识和能力；
　　2、密码设置复杂化，遭遇“干扰信息”仔细甄别。首先一定要保证静态密码足够复杂，并妥善保管防止泄露。其次攻击者经常利用各种手段对短信进行伪装，并千方百计对攻击对象进行误导甚至恐吓，所以一定要对银行、运营商等身份的手机短信或来电进行认真甄别、冷静应对；
　　3、手机离奇“瘫痪”，要紧急“挂失”。如果手机通讯出现“瘫痪”，一定要查清故障原因，如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于信息弧岛时，冒名顶替机主身份窃取账户财产；
　　4、加强保密意识，防止信息泄露。犯罪分子之所以诈骗得逞，往往也是掌握了受害人的有关信息。因此，广大群众要养成保密意识，防止个人及家底信息的外泄,特别是手机接收到的短信验证码，千万不要告诉任何人。相关部门也要加强对获取消费者电话信息的单位、企业、互联网网站等行业的检查管理，督促其加强客户资料保密工作。