手機(jī)“副號”——能夠徹底獲取陌生手機(jī)號短信的冷門業(yè)務(wù)
手機(jī)“副號”究竟是個“什么鬼”��?看到這則新聞后�����,許多人都會心生這樣的疑問����。它并不是大家熟悉的家庭親情號或者企業(yè)內(nèi)部號���,主打特定人群間打電話有優(yōu)惠�。而是一種新興的業(yè)務(wù)����,大概從2015年12月才開始興起的。它是用來干嘛的呢��?看下面這個廣告就明白了——
“副號”的相關(guān)宣傳����,它主打的是保護(hù)隱私,避免騷擾
現(xiàn)代社會,在各處辦業(yè)務(wù)都少不得留個手機(jī)號����。手機(jī)號曝光之后,免不了收到大量的營銷信息乃至詐騙短信����。“副號”的作用是防騷擾�����,給用戶一個清靜的空間�。發(fā)布網(wǎng)絡(luò)信息或者對外留聯(lián)系方式的時候����,留“副號”,而與之綁定的主號可以收到副號的信息�����、電話���??梢哉f����,初衷絕對是好的��,也是一塊很有潛質(zhì)的業(yè)務(wù)��。
然而好歸好��,在一些通信商那里卻留著“后門”——1.兩個不同機(jī)主信息的號可以自由綁定在一起��;2.當(dāng)“副號”一關(guān)機(jī)�����,所有的短信��、電話都可以涌向“主號”��。
何先生的手機(jī)號被騙子“接管”了將近兩天
兩個“后門”便為一些不法之徒利用了����。以這位何先生為例����,整個詐騙的過程是這樣的——1.騙子首先購買大量的手機(jī)號碼、身份證信息、銀行卡資料���,圈定范圍�。2.騙子給這些圈定的用戶大量地發(fā)送請求其手機(jī)號為“副號”的短信來釣魚����。3.何先生稀里糊涂回了個Y,成為“副號”��,中招��。4.何先生的手機(jī)關(guān)機(jī)(可能是夜間睡覺主動關(guān)機(jī)��,可能是被“主號”手機(jī)控制關(guān)機(jī)�����,也可能是被攻擊關(guān)機(jī)……原因多樣)��,所有發(fā)到何先生手機(jī)號上的信息都跑到了騙子所持有的“主號”上���。5.騙子利用已經(jīng)掌握的銀行卡等信息,再配合第三方支付和短信驗證碼�����,成功刷走五萬。
運(yùn)營商為“副號”業(yè)務(wù)提供了非?�!百N心”的功能�����,卻容易被別有用心者利用
類似的冷門業(yè)務(wù)還有“自助換卡”��,也一不小心就成為騙子的“后門”
央視報道過的小許要比何先生更倒霉���,被轉(zhuǎn)光了所有的積蓄���。騙子利用的是一個叫“自助換卡”的冷門業(yè)務(wù)。該服務(wù)的核心精神是����,讓顧客不用去營業(yè)廳����,通過在官網(wǎng)申請就可以4G新卡換舊卡��,新卡生效之時便是舊卡作廢之日����。相當(dāng)于號碼都被人劫持了,里面的轉(zhuǎn)款驗證碼自然隨便用����。
“自助換卡”的路徑之一是原號碼的主人在官網(wǎng)上輸入手機(jī)收到的驗證碼。騙人的步驟如下:1.首先買到當(dāng)事人的個人信息���,其中可能包括運(yùn)營商官網(wǎng)的登錄密碼���。2.登錄官網(wǎng)后,為當(dāng)事人訂一個增值業(yè)務(wù)制造恐慌情緒����。3.向當(dāng)事人的手機(jī)發(fā)送假消息��,表示如果要退訂服務(wù)的話要回復(fù)驗證碼�����。4.以極快地速度利用冒充的官方號發(fā)送當(dāng)事人辦理“自助換卡”的驗證碼。5.當(dāng)事人在對亂扣費(fèi)的增值業(yè)務(wù)恐慌之時�����,極易上鉤����,把“自助換卡”的驗證碼當(dāng)作補(bǔ)卡驗證碼發(fā)過去。6.接下來騙子已經(jīng)控制住當(dāng)事人的手機(jī)號了�����,自然為所欲為��。
應(yīng)該說��,這些冷門業(yè)務(wù)確實(shí)提供了便利�。但是由于在流程設(shè)置時未能充分地考慮防詐騙的問題,給予了一些騙子很大的“后門”��。真是弄巧成拙����。
冷門業(yè)務(wù)的“后門”+黑市買到的個人信息資料=能轉(zhuǎn)走錢的短信驗證碼��,騙子就這樣拿走了錢
要想騙走錢�,有一個前提——掌握被騙者的身份證號碼��、銀行卡號碼和密碼等個人信息�����。由于個人信息泄露嚴(yán)重����,這些信息非常容易便可以在黑市上買到。去年����,南都曾經(jīng)做過一個非常詳盡的調(diào)查報道,只花了700元���,記者便買到了同事幾乎所有的隱私信息���,包括四大銀行存款記錄、手機(jī)實(shí)時定位����、手機(jī)通話記錄等等。
個人信息泄露和販賣如此嚴(yán)重的情況下���,騙子很容易便能上手了��。而通過短信驗證碼來轉(zhuǎn)款�,又是其中最便捷的獲利手段之一�。騙子不用編寫大段大段的謊言,也不用親自打電話����,甚至還不用等被騙者去ATM機(jī)或者銀行柜臺轉(zhuǎn)款,嗖地一下�����,錢就劃走了����。
因為在移動支付時代,手機(jī)動態(tài)驗證碼成為許多平臺的主力驗證方式���。盡管不少的專家也在質(zhì)疑它存在漏洞�����、隱患�,但是還找不到更好的替代。這里大致總結(jié)一下利用短信驗證碼詐騙的模式——
不上當(dāng)����,求自保,切記“四不”——不亂給驗證碼�,不亂回復(fù)Y,不亂點(diǎn)短信鏈接和不亂下程序
防不勝防也得防�。短信驗證碼詐騙中,手機(jī)運(yùn)營商�����、第三方支付平臺等都很難撇清自己的責(zé)任��。而龐大的個人信息販賣黑市���,則從個人信息泄露到販賣再到利用����,是一條特別完整的黑色鏈條��,要打擊它,涉及方方面面��,在此不贅述��。
單就驗證碼問題而言�����,手機(jī)運(yùn)營商和第三方支付平臺提供便利服務(wù)當(dāng)然是好事情���,沒有因噎廢食的必要,只是有兩點(diǎn)常見漏洞需要彌補(bǔ):1.盡到詳盡提示的義務(wù)����,有的短信只說“您的驗證碼是XX”,而不說明具體這個驗證碼是拿來做什么的��,自然有誤導(dǎo)性��。2.盡到查驗身份的義務(wù)�,既然手機(jī)都實(shí)名制了,就不應(yīng)該隨便兩個沒有關(guān)系的手機(jī)便能綁定主副號��,也不應(yīng)該隨隨便便�����,不驗證身份卡就換了。
當(dāng)然���,個人信息販賣猖獗的情況下��,個人必須要求自保����,得記住四個要點(diǎn):不亂給驗證碼(給出去別人便可能控制你的手機(jī)號或者成功轉(zhuǎn)款)��,不亂回復(fù)Y(表示同意辦理業(yè)務(wù))���,不亂點(diǎn)短信中的鏈接(有可能一點(diǎn)就感染了病毒)和不亂下載程序(有可能裝了盜取信息的木馬)����。
