4月8日晚上，小徐连续收到了中国官方号码的几条短信。短信说，他已成功订阅了“手机注册半年套餐”服务和实时扣除量导致手机余额不足。

Xio Xu收到的短信的屏幕截图

小徐感到困惑，因为他根本没有订阅这项服务。此后，紧随其后的是另一条短信，内容表明您可以通过回复“取消 +验证代码”来取消订阅服务，并且您可以在3分钟内免费取消订阅。

当小徐在思考“验证代码”是什么时，他收到了中国移动客户服务电话号码的另一条短信”，其中内容是“您的USIM卡验证代码为*******（六位数）。他惊讶地发现他的手机突然显示出“没有服务”，而且无论他重新启动多少次，都没有回应。

一夜之间的支付宝“返回零”，在线银行帐户都是“堕落”的

那天晚上8点左右，小徐的手机在无线网络上收到了支撑台的转移提示，这意味着某人在另一个终端上运营了他的支付款帐户。

由于手机无法召集并报告损失，Xiao Xu未经阻止的支架和三张银行卡通过操作客户端以及委托的亲戚和朋友致电客户服务以冻结帐户。但是，当Xio Xu完成损失的报告时，他发现支架没有钱，并且还在网上银行业的银行跨银行转移了资金，每张银行卡的余额为零。

使Xu更加害怕的原因是，第二天，他发现以他的名义的中国商人银行和ICBC的两张储蓄卡被绑定到另一个在线支付平台“ ”。 Xio Xu最初绑在“百度钱包”中的另一张中国银行卡中，这三张卡在事件当晚转移了资金，最后通过中国商人银行和iCBC的移动银行将所有这些都转移到两个不熟悉的帐户中。这意味着即使他的银行帐户也已被损坏。

一条短信使Xu一夜之间成为一文不见。

骗子建立了一个“连续游戏”，以登上“偷天空并交换太阳”

小徐的经验不仅震惊了许多网民，而且在通信，互联网和银行业中引起了激烈的讨论。从接收可疑的短信到看到所有帐户完全被“抢劫”，整个过程只需3个小时以上。诈骗者“发动攻击”是什么意思？ CCTV记者通过调查审查了整个欺诈过程，这实际上是一个“串行计划”。

第一个策略：破解移动官方网站的密码“劫持”手机发动攻击

记者登录了中国移动北京分支机构的官方网站，并找到了“中国广告金融半年套餐”业务。自助服务订阅后，该费用将立即扣除。记者收到的短信与Xio Xu收到的短信完全相同，它们都来自“”。 Xu Xu没有订阅，那么他为什么收到订阅文本消息？根据中国手机的内部验证：4月8日的17:54，有人通过 的IP地址成功地登录了北京移动的官方网站，并通过Xiao Xu的移动电话号码登录。他不仅发起了移动订阅，而且还成功地处理了一家名为“自助卡交换”的业务，并在18:13上处理。

第二个策略：发送“退订”文本消息以创建错误的验证代码

打破移动网站的登录密码后，骗子订阅了Xio Xu到“手机报纸”，并发送了所谓的“取消 +验证代码”退订信息。这是通过欠手机费用来使受害者担心的。第二个是创造一种幻想，即当“取消订阅”时，他们需要“验证代码”。

第三个计划：启动卡片替换过程，并“取消订阅”为“更改卡”

获得验证代码是此骗局的关键，骗局的核心是“自助卡交换”。

如上所述，骗子还登录到移动官方网站后，还发起了“自助卡交换”业务。这是由中国移动设备推出的在线服务。用户不必去商务馆，可以通过在官方网站上操作直接替换4G手机卡。新卡将立即生效，旧卡将同时无效。

但是，当您自己更改卡时，系统将向用户发送辅助确认验证代码，也就是说，Xu Xu会收到一条短信：USIM卡六位数验证代码xxx。只有填写验证代码回到系统后，才会启动以后的替换工作。换句话说，此验证代码可以直接销毁以前手机的SIM卡，而原始号码将转移到另一个SIM卡中。这是制定计划的关键。欺诈者创造了“取消订阅”的幻想，以获取这张新的SIM卡。

Xio Xu收到的“验证代码”文本消息的屏幕截图

Xiao XU收到的验证代码未指定验证代码的目的，也没有为泄漏验证代码的风险提供安全提示。结果，他错误地认为更改卡的验证代码是对骗子的退订答复。 Xu认为，当普通百姓没有接触到这些信息时，他们不知道验证代码的使用是什么。骗子对大多数用户不知道的“信息盲点”大惊小怪，嫁接了“中国移动的两家正式业务，并捏造了整个骗局的“脚本”：

作为回应，移动公司表示，它无法准确解释Xio Xu的帐户如何成功地登录了其他人，但是如果设置密码过于简单，或者密码与其他安全级别较低的网站相同，则可以通过重复尝试破坏它。

更改卡不需要“验证正确性”吗？是方便还是隐藏的危险？

小徐的经验不是孤立的案例。许多具有相同经验的网民主动与Xiao Xu联系，并告诉他们有关他们的攻击的信息。信息安全专家称这种电信欺诈为“卡片更换攻击”。

记者体验了“自助卡更换”的整个过程。与商务大厅的人不同，自助卡更换不会在整个过程中验证操作员的身份信息。它只需要一张新卡，没有写入其中的数字信息，然后将卡表面上的数字输入到网页中。该卡在行业中称为“白卡”。

据了解，这款“白卡”与收件人的手机号码没有连接，因此收到它后，您可以编写任何手机号码。它不仅可以免费获得官方渠道，而且甚至可以在汤宝和其他网站上公开出售。这意味着，如果攻击者想“劫持”小Xu的手机卡，他只需要成功地登录使用Xiao Xu的手机号码的中国移动在线商店，然后诱骗他进入6位数字验证代码，而无需任何提示即可。没有任何身份验证，可以轻松获得其余条件。

“不受欢迎”的业务已成为欺诈的“后门”

记者在追溯Xu的经验后发现，在此“串行”骗局中的短信中，有中国移动的统一客户服务号码和中国移动电话的手机号码，这使各方相信这一点。即使是在此事件中骗子制成的唯一欺诈性短信也使用“ 139电子邮件”的“发送短信”函数发送。

记者发现，如果接收短信的手机没有存储与联系人的电子邮件地址相对应的手机号码，则将以“”开头显示收到的信息。中国移动下的“服务提供商业务号”发送的大多数“行业文本消息”以“”开始。攻击者对此功能细节感兴趣。它不仅可以掩盖欺诈性的短信并欺骗收件人的信任，而且还可以收到当事方的关键验证代码。

因此，攻击者使用了139封电子邮件的“发送短信”功能，并已成为骗局的重要组成部分。中国移动设备推出了8年的这一免费功能，很少有人真正了解其运营细节，并且使用率不高。

在劫持小徐的手机的过程中，欺诈者从头到尾都使用了中国移动的业务，工具和平台。在某些用户眼中，“不受欢迎的”业务已成为一个风险的“后门”，很容易被攻击者“针对”。

[视频]欺诈者如何“利用”所有帐户？

骗子如何通过所有帐户打破？

攻击者“抢劫”了参与人员的移动卡后，对第三方支付平台甚至银行的安全验证均被暂时破坏。这一切如何完成？可以通过掌握SMS验证代码来实现吗？

根据中国工业和商业银行的客户服务，只有通过完全掌握提款密码，银行卡号和手机的限制，您才能在网上银行业务上操作。这意味着，尽管SMS验证代码是每次攻击的关键，但也需要ID号和银行卡号。因此，可以得出结论，在Xio Xu的手机卡被“劫持”之前，他的更多“完整的“个人信息”已由攻击者掌握。

根据信息安全专家张的说法，个人信息已形成了一个地下数据库。该库中将有大量非常完整的个人信息链。例如，姓名，家居地址，手机号码，银行卡号码和银行密码实际上是在互联网黑市中找到的，并且由其他人整理出来，而不是分散的。

记者总结了该事件中涉及的第三方支付平台和移动银行业务的关键业务，并发现所有在线付款都可以使用手机号码和静态密码来登录，并且可以直接使用SMS验证代码登录 ； “更改登录密码”和“转移付款”还需要SMS验证代码即可完成毫无例外的；对于第三方付款，最重要的“付款密码”，支付宝还简化了仅使用SMS验证代码更改它。就像所有鸡蛋都放在一个篮子里，这导致了各种问题。

可以看出，所有小Xu的帐户都被“全面损坏”的原因是，除了长期泄漏的个人信息的“密钥”之外，第二个密钥“移动电话验证代码”也因手机卡而落入了攻击者的手中。

如何防止“验证代码攻击”？

面对这种“精确欺诈”和“组合攻击”针对SMS验证代码的攻击，我们应该如何保护自己的安全？信息安全专家提醒，如果您仅依靠简单的静态密码，则必须记住这四个技巧：

静态密码必须首先足够复杂并保持适当，以防止泄漏。其次，攻击者经常使用各种方法来掩盖短信，并尝试误导甚至恐吓攻击对象的各种方法。因此，我们必须仔细地使用“运营商”，“银行”和其他身份来识别手机短信和呼叫，并冷静地做出回应。

攻击者经常使用各种方法来掩盖短信，并尝试各种方法来误导甚至恐吓攻击对象。因此，我们必须仔细地使用“运营商”和“银行”以及其他身份来识别手机短信和呼叫，并冷静地做出回应。

如果手机通信瘫痪，请确保立即找出故障的原因。如果手机本身不是手机本身或信号出现故障，则必须立即报告手机卡，并且必须及时冻结第三方付款和银行帐户，以避免攻击者在用户在“信息岛”中模仿所有者来窃取帐户。

提供相关服务的电信运营商和公司只会向用户发送SMS验证代码，并且永远不会要求用户通过短信或电话执行所谓的“回复验证代码”操作。

从电信运营商到第三方支付平台，再到进入的银行系统，它构成了当今我们每个人的一系列安全链。小徐的经验听起来像是“安全”为“生命线”：所谓的“良好用户体验”的一系列行业的警钟，就像是一种平衡，一端是“便利性”，另一端是“安全”，而“安全”在任何时候都无法忽略。一旦打破了平衡的平衡，一切都将“返回到零”。