网友亲历诈骗！安全专家详解：一个验证码如何让你倾家荡产
最近，一篇名为《实录 | 亲历网络诈骗，互联网是如何让我生无分文？》的文章在网络广为传播。
作者表示，他莫名其妙地收到一条&订阅增值业务&的短信，根据提示回复了&取消+验证码&之后，自己的漫长的噩梦就此开启：
手机号码失效，半天之内支付宝、银行卡上的资金被席卷一空。
而损失巨大的作者到最后也没有完全明白自己的钱究竟是怎样被黑客盗取的。
作为爱和正义的守护者，雷锋网(搜索&雷锋网&公众号关注)义不容辞，特地采访到腾讯手机管家安全专家陆兆华大牛，详细解析一下这个诈骗过程中每一步的技术细节。现在请各位童鞋系好安全带，老司机要带你上路了。
核弹引信&&验证码
作者的噩梦开始于拥挤的地铁车厢里。
他的手机忽然收到一条短信：来源为&1065800&的号码发来了一条短信杂志。
接着，来源为&10086&的号码发来了一条短信，提醒他&开通了中广财经半年包业务&。
同时发来的还有一条&余额不足&的短信。
正在他纳闷且愤怒的时候，来源为&&的号码发来了一条 短信：
您成功订阅了中国移动的（中广财经）40元/半年，3分钟退订免费。如需退订请编辑短信&取消+校验码&至本条短信退订。&署名&中国移动&。
【骗子伪装10086向受害者发送钓鱼短信（只有最后一条验证码来自真正的10086）】
至此，所有的证据都指向&万恶的&中国移动。看客们一定认为中国移动又在欺负无辜的消费者，私自为客户订阅了垃圾增值服务。没错，受害者本人也是这么想的。此时，作者的内心大概是：&这SB又给我瞎定什么业务？还需要40元/半年，什么鬼？&不过，他马上注意到，短信上这个服务是可以被退订的。&中国移动还算有操守&他一边这样想，一边收到了&10086&发来的又一条短信：&尊敬的客户，您的USIM卡6位验证码为******&。一心只想快点退订这个破业务的作者压根就没注意什么叫&USIM卡验证码&，直接回复了&取消+******（验证码）&。
【受害者不知情，把更改USIM卡的验证码发给了骗子】
从收到第一条短信，到作者回复验证码，地铁也许还没有行进一站，一切都看起来都是那么平常。但是，一个巨大的阴谋已经把他拖进了深渊。。。
让我们看看这串眼花缭乱的短信背后究竟发生了什么：
陆兆华告诉雷锋网：
这是一个电信诈骗的经典手段。整个骗局的关键就在于这个&USIM卡验证码&。
诈骗分子需要预先准备一张空白的4G USIM卡。目前，在淘宝等电商平台上可以轻松买到一张空白的4G USIM卡。然后，诈骗分子向运营商申请自主更换USIM卡业务。这个业务的完成需要一个验证码。于是骗子借退订SP业务迷惑受害者回复验证码（实际上是更换新USIM卡的验证信息）到特定的短信端口（骗子接收）。受害者以为自己是在退订业务，实际上已经把最重要的验证信息给了骗子。
骗子利用这个验证码，可以直接在异地复制一张USIM卡，而导致真正的USIM卡失效。这样一来，机主的手机号码就会被诈骗分子完全控制。
【通过运营商自助换卡业务进行诈骗的流程】 究竟谁是&你&？
如果突然有一天，你看到了一个和你一模一样的人，他辩称自己就是你，甚至知道你的所有个人信息，认识你的所有朋友，那么，究竟&你&是你，还是&他&是你呢？
在网络世界里，证明&你&是&你&的所有证据，只有你的手机号、验证码、邮箱、身份证号等有限的几个证据。如果坏人掌握了这些信息，他就会在赛博空间一点一点变成你，甚至比你还像你，让真正的你百口莫辩。
我们来继续讲述这个悲伤的故事。
果然，不久作者就发现自己的手机失去了信号。（此刻他的手机卡已经失效，而骗子手中的空白卡已经生效）他以为自己由于被恶意扣费，导致了停机，于是打算回到家再进行处理。但是，到家之后作者发现，竟然连中国移动的客服电话&10086&都无法拨通，甚至更换手机也没有信号。但是，此刻手机仍然能接收Wi-Fi信号。&噩耗&就是通过Wi-Fi传来的。
支付宝突然弹窗，出现两条消费提醒：一笔为&5元的游戏币充值&；一笔为小额的转账&从余额宝转账到绑定的招商银行&。自此，雪片般的转账信息倾泻而出。
【支付宝的转账信息】
大部分的操作都是将支付宝中的余额分批次转到银行卡。作者的第一反应是给支付宝客服打电话冻结自己的账户，但是，他绝望地发现自己的手机仍然没信号。此刻家里没有其他人，在短暂的空白之后，作者终于想到了要解绑银行卡。然而，资金被转出的速度太快。当作者解绑银行卡之后，账户中的资金已经所剩无几。不过，此时骗子已经没有办法把钱转到银行卡中了，于是竟然丧性病狂地用最后一百多块钱给一个手机号码充了值。（作者调查这个号码时，它已停机）
当然，整件事情还没有结束，不过，我们先暂停一下，看看截至目前，骗子究竟是怎样做到的：
陆兆华给出了他的分析：
此时最为关键的环节是骗子控制了失主的支付宝。理论上，盗取支付宝权限有很多方法。目前大部分邮箱都是依靠手机短信验证码来进行二次身份验证的，诈骗分子可以通过手机号码找回密码或者是利用短信验证码进入邮箱，从而篡改邮箱密码，再利用手机号码和邮箱来找回支付宝密码，安装支付证书。从而直接在异地登录支付宝进行操作。
这个时候，理论上资金还没有离开作者的掌控，只是从支付宝到了银行卡。于是他紧急登陆自己的网银，却惊奇地发现网银的密码已经被篡改，从而无法登陆。此刻他竟然无法掌握自己的账户信息，任凭坏人摆布。这时他挽回损失的唯一方法就是挂失银行卡。由于手机没有信号，他紧急联系女友代为进行银行挂失。由于支付宝连接了好几张银行卡，用电话挂失还要听完银行自助语音的无数废话，完成挂失用去了比预想中更长的时间。当所有的银行卡都被挂失之后，作者已经完成了他所能做的一切。
第二天，作者去银行打印流水的时候，才发现自己的所有银行卡上的所有资金都已经被转走，一分不剩。直到这一天晚上，他才发现原来自己的163邮箱密码也被更改。
【骗子利用受害者的邮箱在异地安装了支付宝的数字证书】
作者怎么也想不明白，丧心病狂的骗子为什么能够修改自己的网银密码呢？
陆兆华判断：
实际上骗子早已通过手机验证修改了失主的邮箱密码。此时，骗子手里的筹码有：失主的电话、邮箱、姓名、银行卡账号。目前很多网银的密码修改已经不需要U盾，所以这些筹码已经足够修改他的网银密码。
对于某些银行来说，也许还需要用户提供身份证号等信息。但是，这也依然拦不住诈骗分子。因为在网络上，有很多平台在兜售巨大数量的个人信息。大部分人的身份证号、生日信息等基本资料在地下市场都可以找到，可以说得来全不费工夫。
完全掌握了个人隐私信息并掌握受害者的手机USIM卡，就可以完全替代受害者身份进行资金操作转账等操作。
冰冷的结局
在银行的转账详单上，作者发现了犯罪分子的资金转移轨迹，他们把作者的钱从不同的银行卡归集到一张卡上，然后再统一通过该银行网银划走。（骗子这样做的原因很可能是因为某银行管制稍松，可以在短时间内转出大额资金。）另外，作者还在转账详单上发现了数笔从百度钱包转出的资金。也就是说，在诈骗分子用支付宝归集资金的同时，也在用百度钱包做同样的事情。而可怕的是，作者自己都已经卸载了百度钱包很久，甚至忘记了登陆密码。
【百度钱包被骗子用来转移资金】
作者通过调查，已经明白了答案：通过手机号码，可以轻松找回百度钱包的密码，而通过&银行卡信息，姓名，身份证号，手机号，验证码&就可以随意关联新的银行卡到百度钱包。
这件事的冰冷之处不仅在于资金损失殆尽这个结局，还在于当作者报案之后，警察反应迟缓，并且敷衍了事，最终也没有丝毫作为。更在于这其中涉及到的：支付宝、百度钱包、运营商、银行这些巨头们的安全机制都没能挡住一个骗子。
还原一下整个骗局发展的逻辑，可以清晰地看到：骗子通过受害者的手机号，一步步扩大攻击面，掌握了越来越多的个人信息。在网络空间中，一个冰冷的替身通过手机号、验证码、邮箱、身份证号这些&画皮&一步步变成了一个活生生的人。
如果一味埋怨支付宝和银行的验证机制潦草，似乎并不公平。因为综合安全性和易用性，支付宝和银行并不会在你每次修改密码的时候，都要提供身份证原件和本人到场。
陆兆华说：
此类诈骗，最主要的原因是由于受害者不慎泄露验证码等信息而造成的USIM卡被恶意复制。但显然运营商和银行都有义务在一些关键步骤上加强对用户的提醒。
而由于几乎所有的诈骗步骤都用到了被恶意复制的USIM卡。所以如果发现自己的USIM卡被诈骗分子控制，一定要在最短的时间内拿个人身份证到营业厅申请取消被恶意复制的USIM卡服务，避免黑客恶意继续利用。
由于诈骗分子可以任意伪造自己的号码，所以对于可疑的短信，一定不要回复，更不要向任何人透露自己收到的验证码。
对于诈骗过程的条分缕析并不能挽回一分钱的损失，却能让其他人面对同样的骗局时逃过一劫。
我们身处楼宇森林，感觉自己安全无虞；
然而站在0和1组成的赛博空间放眼，这个世界仍处蛮荒。
文章来源雷锋网，作者：史中&方枪枪
看过本文的人还看过
最新图文推荐
最新专栏文章
大家感兴趣的内容
&&<a rel="nofollow" class="red" href="" target="_blank" color="red新版网站排行榜
===全新上线===
网友热评的文章日　星期六　｜
当前位置 >
> 工商银行密码验证码无法输入咋办？
工商银行密码验证码无法输入咋办？
发布时间： 22:55:28编辑：黄巧燕浏览次数：22次 来源：中国农商银行网
问：登录个人网上银行时密码验证码无法输入？答：若您在密码、验证码输入框遇到红色的小叉子等，则说明您的浏览器未成功下载我行的ActiveX安全控件；若无法显示密码、验证码输入框，则说明您的浏览器禁止运行ActiveX安全控件。我行网上银行采用ActiveX控件输入密码方式，当您首次通过个人网上银行控件登录时，登录页面会有下载控件的过程，您只需要下载一次控件，以后再访问登录页面，控件直接在本机被激活而不需要再次下载。ActiveX控件利用Windows的底层函数在黑客程序之前截取键盘事件，这样黑客程序就无法获得用户的密码，从而大大提高了网银使用的安全性。若系统没有成功自动下载该控件，请您进行以下操作：【中国农商银行】（1）登录工行门户网站.cn；（2）点击&个人网上银行登录&下方的&下载&。进入下一个页面后，下载并安装控件程序。（3）打开IE浏览器，选择&工具&菜单--&&Internet选项&--&&高级&标签--&点击&还原默认设置&，点击&确定&后关闭所有IE浏览器窗口；（4）打开IE浏览器，选择&工具&菜单--&&Internet选项&--&&常规&标签--&Internet临时文件设置中的&检查所存网页的较新版本&选择&每次访问此页时检查&。并在Internet临时文件设置中点击&删除文件&，在&删除所有脱机内容&前打勾后点击确定关闭对话框，关闭所有IE窗口；（5）若您安装了IE6 SP2浏览器或IE7浏览器，当安全控件被浏览器拦截时会在地址栏下方出现黄色的提示条，此时，只需点击这个提示条，在弹出的菜单中选择&安装此ActiveX插件&。在对话框中先点击&更多选项&，单选&总是安装来自&Industrial and Commercial Bank of China&的软件&，并点击&安装&按钮，以便使安全控件下载并生效。（6）如果您安装了瑞星卡卡助手，请您进行如下操作：打开卡卡助手－&插件管理－&插件免疫－&银行－&中国工商银行，将工行的控件取消免疫即可。（选中后，右下角有&取消免疫&的字样） 正常应显示&中国工商银行未免疫&。注：只卸载未取消免疫无效。（7）重启电脑。
“工商银行密码验证码无法输入咋办？”内容由中国农商银行收集整理，如转载中国农商银行原创文章请标注来源，并加入出链接，违者必究！
免责声明：中国农商银行此文章仅代表作者个人观点。文中以及全部或者部分内容、文字真实性、完整性、及时性本站不作任何保证或承诺，仅供参考。
“工商银行密码验证码无法输入咋办？”其他相关文章
农商银行最新优惠活动
农商银行信用卡推荐
　　上海农商银行青联鑫卡　　青联&鑫卡是上海农商银行与上海...
　　上海农商银行上海工会会员服务卡　　　　上海工会会员服务卡是...
　　上海农商鑫意卡功能　　鑫意卡是上海农商银行推出的第一张针对...
　　上海农商银行如意卡　　上海农村商业银行如意卡是我行系统内各...
　　　　鑫通卡是集芯片和磁条于一体的双界面IC卡，可通过接触式与...
农商银行招聘信息
郑重声明：中国农商银行网发布此信息目的在于传播更多信息，与本网站立场无关。中国农商银行不保证该信息（包括但不限于文字、数据及图表）全部或者部分内容的确信、真实性、完整性、有效性、及时性、原创性等。相关信息未经过本网站证实，不对你构成任何投资建议，据此操作，风险自担。
版权所有：中国农商银行网（）　本站内容，如需转载，请注明出处。中国工商银行中国网站
为什么交易老是显示不出输入验证码窗口！知道的请说下 谢谢
为什么交易老是显示不出输入验证码窗口
&&提问时间：
liupeng880623学前班
建议您使用IE6.0以上的IE浏览器进行登录网上银行，此外建议您进行清缓，具体操作如下：
1.打开IE浏览器，选择“工具”-internet选项-常规-删除
2.点击“删除”按钮后的“设置”按钮
3.点击“高级”-“还原高级设置”-“确定”
关闭所有网页，用IE浏览器重新打开网银就可以了~&&
回答时间： 9:13:30我爱卡申请系统经过VeriSign顶级安全认证
　京公网安备67号Copyright
51credit Corporation. All Rights Reserved}