一个不寻常的短信诈骗案迅速走红,吸引了几乎所有的手机安全公司以及电信专家为之讨论,并复盘了这一诈骗案的整个流程。
日前,北京移动用户许先生爆料,在4月8日下午先后收到来源为“1065800”、“10086”的短信提示机主订阅了某财经杂志的手机报,花费40元/半年,该订阅直接导致许先生欠费。误以为被运营商摊派业务的许先生想赶紧退订该业务,不料却陷入了一个精心策划的诈骗陷阱。在短信里回复了一个6位数的校验码之后,支付宝、三张银行卡、百度钱包里的所有财产被洗劫一空。
综合多个安全企业、电信专家的复盘情况来看,诈骗嫌疑人(下简称“嫌疑人”)在行动之前已经获取了许先生的身份证、手机号、银行卡信息、网上营业厅登陆密码,然后借助10086网上营业厅、139邮箱的官方运营商渠道骗取了许先生的校验码,完成“自助换卡”,用自己手中空白的SIM卡替换了许先生的手机卡,完成偷天换日,并使许先生的SIM卡作废。至此,在支付宝、银行的网上平台面前,此时的嫌疑人已经是许先生本人,而犯罪分子则轻而易举通过更改密码等方式转走了许先生的财产。
这件事被复盘之后,中国移动成为众矢之的。2015年,全国公安机关共立电信诈骗案件59万起,同比增长了32.5%。为此,国务院牵头由23部委启动打击治理电信网络新型违法犯罪工作部际联席会议制度,但仍未提及根除电信诈骗。
登峰造极的骗术
“骗子的业务水平堪称登峰造极”,多位接受记者采访的电信业专家(包括中国移动业务支撑系统规划部建设处处长宁宇、中国电信辽宁分公司业务支撑系统刘岩)认为:“估计中国移动内部大部分业务人员,都没有骗子对业务了解得透彻。”
这一个连环骗术中,涵盖了获取中国移动空白SIM卡、网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等五种偏门业务,除此之外,嫌疑人还精通支付宝、百度银行的改密、绑定流程。
在获取了许先生的手机号、10086营业厅登陆密码,以及身份证、三张银行卡信息的情况下,嫌疑人用许先生的手机号登陆北京移动10086网上营业厅,订阅了某财经杂志业务。此时,北京移动系统自动向许先生手机发出1065800、10086的订阅提示短信,并提示由于该业务支付了40元,许先生手机欠费。
由于过去多年间,运营商曾多次被曝光私自给用户订阅业务,用户收到此类短信时第一反应往往是吐槽运营商、然后想办法退订。
其后,嫌疑人登陆上海移动用户施先生的139邮箱,并通过139邮箱向许先生发送“退订业务请发送校检码”的短信,这封短信显示来源为“106581390”。记者联系到施先生,对方称“从未使用过139邮箱”,139邮箱系中国移动自动为客户开通的免费业务,但施先生的邮箱已经被嫌疑人盗用,成为作案工具。
收到该短信的许先生潜意识将这认为是业务退订短信。而就在此时,嫌疑人通过10086网上营业厅激活“自主换卡”业务,10086默认给许先生发出短信提示“您6位USIM卡验证码为******”。几乎没有犹豫,许先生就将这组数字回复给来源为“106581390”的短信。
其后,嫌疑人通过139邮箱收到这组数字,完成了网上营业厅“自助换卡”的验证环节,通过其后的操作将许先生的手机号码写入事先准备好的中国移动空白SIM卡。这种空白SIM卡摇身一变成为正式卡,而许先生的SIM卡则报废、停用,手机也自动进入“无SIM卡”状态。
偷天换日的嫌疑人启用这张SIM卡后,可以通过自己的手机接收所有许先生的电话、短信信息,然后配合已经获取的支付宝、银行卡账号、身份证信息,开始转移财产。而进入“无SIM卡”状态的许先生还挤在回家的地铁上,加上之前的“欠费”提示短信,并未对此产生怀疑。
区别于目前主流的木马、病毒、伪基站诈骗等手段,前者主要通过伪造的信息、网站等平台实施诈骗,消费者保持一定的警惕性就可以识别这种骗术。但本次的诈骗手法,则全部借用了北京移动的正式消息通道,而且手段新颖,相对难以识别。
移动业务漏洞
12日下午,北京移动正式回复称,该手机号码系通过海南海口IP、采用客户自设密码登陆营业厅,并通过客户本机下发的验证码换卡成功,业务流程办理正常。事实上,整个过程中,北京移动判断登陆者为本人,且操作符合业务流程。北京移动提醒用户妥善保管并定期修改网站登陆密码和客服密码。
但引起争议的是,业务流程本身是否合理?当今天的手机号已经关联了银行卡、支付宝、微信、QQ等至关重要的财产时,通过一个6位验证码就可以完成自助换卡操作,这是否符合电信业务的“可靠性”要求?
自助换卡业务起源于4G时代。2014年,中国移动4G用户高速增长,为了改善用户体验,中国移动推出“两不一快”服务:客户采用不登记、不换号的方式,用4G USIM卡替换原SIM卡。中国移动免费向用户寄出空白SIM卡,用户通过装有原SIM卡的手机主动发出短信即可完成换卡操作。该操作需要机主本人持原始SIM卡发出换卡请求,安全性很高。
但需要指出,由于中国移动各省公司自主设计业务模式,北京、上海、广东等数个省市移动公司在开通短信自助换卡的同时,还开通了网上营业厅自助换卡、手机APP自助换卡流程。同时,各省的空白SIM卡不仅掌握在移动手中,诸多社会渠道也拥有发放的权利,甚至淘宝上也可以搜索到这类SIM卡,风险由此而来。
猎豹移动安全专家李铁军认为:“如果移动不紧急调整自助换卡业务和139邮箱短信收发业务,也许此类诈骗会很快泛滥全国。”他告诉记者,解决这个问题很简单,“自助换卡必须二次确认,明确提示用户换卡操作的事项;而139邮箱的短信,则应显示‘这是来自XXX@139邮箱的消息’。”增加这两项提示内容后,消费者被迷惑的可能性会大大降低。
据猎豹移动统计,国内已经存在大量泄露的银行卡信息,李铁军介绍:“全国诈骗分子每天会尝试登陆2000-3000个银行卡,而且这些银行卡都匹配着正确的身份证、手机号信息。”按照这一统计,每年遭到攻击的银行卡数量大概70-100万左右,涉及金额接近约200亿元。而如果这些诈骗分子通过这种手法将这些手机号码换卡,这些银行卡岌岌可危。
庞大的黑色数据产业链
微博账号@微火星经许先生授权披露其经历,目前支付宝、百度银行已经承诺赔付。但中国银行、中国工商银行、招商银行没有任何进展,4月7日报警立案以后,公安机关也未给出任何回复或者进展。
中国存在着庞大的黑色数据产业链。大型网站诸如网易、12306等均发生过数据泄露,大量的用户数据在互联网的地下世界汇集、流动,最终描绘出大量完整的用户画像,很多互联网用户并没有隐私。
而目前来看,这个黑色产业链仍将长期存在。李铁军告诉记者:“对公安机关来说,打击这个黑色产业链极为困难。电子数据的取证、审理都远比传统案件麻烦,执法很困难,一个案子办完得一两年。”
2000年以来,国内电信诈骗案件数量激增,保持每年20%-30%的增速。2015年,全国公安机关共立电信诈骗案件59万起,同比增长了32.5%,共造成经济损失高达222亿元。为此,国务院牵头由23部委启动打击治理电信网络新型违法犯罪工作部际联席会议制度,但这一联席会议的目的也只能是“压缩电信诈骗的犯罪空间”,没有提及根除电信诈骗。
“很多漏洞汇集在一起,给了电信诈骗生存空间。”宁宇举例介绍:“比如身份证的漏洞,被盗窃、丢失的身份证一直生效,这种身份证在银行、运营商体系里都是生效的。”除此之外,电信诈骗分子用来诈骗、转账的账户,大多从青海、贵州、甘肃等地区购买,而这些账户也包含完整的手机号、U盾、身份证、银行卡信息,这些通过正规渠道流程的信息,也很难避免。
2015年以来,23部委联合启动电信诈骗防治,运营商、银行系统开始严格贯彻实名制,公安部也推出了“电信诈骗侦办平台”,大幅提高了电信诈骗的犯罪成本。但从目前形势来看,电信诈骗分子正在寻找更精准、高效的诈骗手法,且明显领先于防治体系。
在当前电信诈骗猖獗的环境下,运营商对于手机号码的保障体系反而成了用户的最后一道防火墙。这并非三大运营商的荣幸,因为当所有的舆论都关注到运营商时,运营商已经成了唯一无法推卸责任的部门。