又是一年315,今年的晚會再次公布了一系列侵犯消費者權益的案例。其中,短信騙局的部分吸引了小雷的注意。生活在手機不離手時代的我們,似乎已經習慣了被各類短信、電話騷擾。但315公布的短信騙局中,受害者短短幾分鐘被盜刷十幾萬元的經歷,聽起來還是很觸目驚心。
作為普通消費者日常生活中最可能遇到的詐騙套路,小雷感覺有必要在這里和大家聊聊短信騙局相關話題,并嘗試給出一些防范風險、減少損失的對策。
(資料圖)
從釣魚網站到屏幕共享,騙子也在“與時俱進”
關于短信騙局,今年315晚會提到了兩個案例。第一個案例中,陳女士收到了提示她的ETC卡已禁用的短信,然后點擊訪問了短信提供的網站,并輸入了個人的身份證號、手機號、銀行卡號,還按照提示輸入了短信驗證碼。完成這些操作后,陳女士很快收到了銀行卡被扣款的短信提示。
(圖源央視視頻截圖)
第二個案例中,受害人接到電話稱她的快遞遺失,理賠要驗證支付寶信息,然后要求她下載安裝視頻會議App并進入相應的線上會議室,然后按照所謂的客服人員共享了自己的手機屏幕,并一步步按要求展示了支付寶內的各項賬號信息。很快,受害人就發(fā)現支付寶被盜刷了十幾萬元。
(圖源央視視頻截圖)
不難發(fā)現,這兩個詐騙案例,最核心的部分都是短信驗證碼這一步。各大平臺基本都會給資金支付設置了安全屏障,對于高風險操作,往往會要求用戶提供驗證碼以核實是本人在使用。
第一個案例中,陳女士收到的短信當然是來自詐騙分子的。這類騙局一開始,騙子會將自己的號碼偽裝成非個人號,通常他們會花錢購買運營商提供的商用類服務,這樣發(fā)信號碼就會變成類似于106開頭的商家、企業(yè)號碼。日常生活中,我們收到的來自互聯網平臺、銀行、企業(yè)等發(fā)來的短信,發(fā)信號碼基本也是這類,在看到騙子發(fā)的類似短信后,其實還是很容易輕信的。
(正規(guī)企業(yè)發(fā)送的營銷短信,圖源手機App截圖)
關于騙子短信中的釣魚網站,理論上來說,是否是正規(guī)銀行網站從域名就很容易看出來。但實際上,現在短鏈服務很普及,正規(guī)機構有時候會通過短鏈把一長串原生鏈接轉成短鏈傳播,以提升用戶的使用體驗。但客觀上,這也給了不法分子以可乘之機。
當消費者進入到騙子精心設置的釣魚網站時,發(fā)現大量“官方”元素和像模像樣的界面時,警惕心就很容易放下來了。而消費者此時在釣魚網站上輸入的所有信息,都被后臺的騙子看得一清二楚。消費者點擊獲取驗證碼時,騙子已經在真實的消費場景中,用著你的銀行卡一路到了買單界面,你輸入的驗證碼就是他完成整場詐騙行為的最后一步。
坦率說,這個案例小雷之前已經聽過很多次了,屬于相對古老的騙術了。而第二個案例,基本原理是一致的,但騙子“與時俱進”,進行了一些“創(chuàng)新”。疫情時代,會議、網課軟件開始流行和普及,騙子借此要求受害者進入他發(fā)起的線上會議室。而受害者一旦分享了自己的屏幕,那么自己手機上的信息就實時同步給了對方,你在手機上的所有操作,他都能看得一清二楚。
(圖源央視視頻截圖)
這樣一來,賬戶信息、短信驗證碼騙子都能直接獲取,都不用受害者主動提供,也不用費心費力去搭設釣魚網站了。
關鍵詐騙助手:偽基站
315晚會提到的兩個短信騙局案例,雖然手法各有不同,但核心模式都是偽裝官方人員+千方百計獲取消費者驗證碼。而消費者如果沒有輕信對方的官方身份,那么騙子就沒那么容易得逞了。正因為這樣,詐騙分子會不斷升級自己的偽裝水平,以增加被識破的難度。可能是受限于節(jié)目時長,315晚會在介紹短信騙局案例時,沒有提到類似騙局比較關鍵的工具——偽基站。
這類設備,大家可能幾年前就聽到過。它的技術原理是偽裝成官方運營商基站,向周圍的手機發(fā)射信號。當用戶的手機接入偽基站后,詐騙分子就可以進行各類操作了,比如獲取用戶手機號碼、IMEI串碼信息,給用戶手機發(fā)送各類短信。更重要的,偽基站發(fā)送短信時,可以自定義發(fā)信號碼。這一點非常要命,因為用戶發(fā)現收到的短信來自于955XX類的官方機構時,一時間很可能就誤以為真。
《人民法院報》曾報道過一則案例,潘女士收到955XX發(fā)來的短信:“您的網銀即將過期,請直接點擊下載并升級……”潘女士按提示點擊短信內鏈并按照提示操作后,賬戶上的10366元被轉賬盜走。潘女士之所以會進行那一系列操作,最關鍵的是該短信和之前955XX發(fā)送過的官方短信處于同一對話框內。
(圖源《人民法院報》截圖)
偽基站得以成為詐騙的幫手,主要是因為它利用了GSM技術的漏洞。我們都知道,2G時代,GSM是應用最廣泛的網絡制式之一。它的問題在于單向鑒權機制,插入SIM的手機發(fā)起連接基站請求時,基站會根據SIM信息驗證是否批準接入,但手機設備不會判斷對方身份。這樣一來,如果偽基站以和正規(guī)基站相同的頻率發(fā)送信號,并且在局部范圍內信號強度強過正規(guī)基站,那么手機就很容易被誘騙過去,被偽基站挾持了。
除了加強偽裝、形成如假亂真的官方身份外,偽基站的另外一大危害就是短信嗅探。偽基站可以攔截獲取用戶手機上收到的短信信息,其中當然包括他們需要的驗證碼。很多互聯網支付平臺,只要有手機號碼和驗證碼就能完成密碼重置、轉賬支付等操作。
(圖源360官方)
到了3G時代,單鑒權機制升級到了雙鑒權,基站會審核手機的身份,手機也會合適基站的身份。這樣一來,不法分子搭建偽基站的難度就大大提升。隨著4G、5G技術普及,很多運營商都在清退2G網絡。日常生活中,我們已經很少碰到手機掉到2G網絡的情況了。
但在少數場景下,比如比較偏僻的地區(qū),3G及以上網絡信號覆蓋有限,手機不得不接入到2G網絡,就存在這類風險。之前三亞警方曾公布的案例中,受害人就是在偏僻的海灘上游玩時,出現了賬戶被盜刷的情況。而案件破獲后,警方發(fā)現詐騙團伙就是通過偽基站來完成一系列犯罪行為。
防范騙局要多管齊下
看了315晚會以及其他詐騙案例后,小雷不得不感嘆詐騙分子們的“努力”程度。盡管反詐騙宣傳在持續(xù)進行、不斷深入,盡管我們對詐騙的警惕心越來越高,但還是架不住騙子們的持續(xù)攻擊,仍有馬失前蹄的可能性。想要盡可能地降低被騙風險和減少損失,或許就得要多管齊下的防范手段。
首先,不輕信任何電話或短信里的所謂官方身份。如果不放心,最好的核實手段就是主動撥打官方電話或者在官方網站上查詢求證。
其次,不要隨便點擊短信中的網絡鏈接。正常來說,如果是官方發(fā)送的網址,用戶打開后可以直接跳轉到官方App。而如果是釣魚網站,在瀏覽器網址中就能看到域名不對勁?,F在很多國產定制系統(tǒng)都配置了安全防護功能,比如偽基站、釣魚網址檢測,可以開啟以增強防護能力。
另外,絕對不要向陌生人共享自己的屏幕。正規(guī)企業(yè)、機構不會要求用戶提供實時的屏幕信息,任何和資金相關的賬戶處理,也不可能會涉及到屏幕共享。
還有,萬一出現手機處于2G網絡下,建議開啟飛行模式或直接關機,到了信號更好的區(qū)域再開網絡。手機SIM卡的話,能開VolTE的盡量開,避免接打電話時降級到2G網絡。對于輸入驗證碼,也要慎之又慎,確保安全的情況下才能進行這類敏感操作。
當然,除了用戶自己要提高警惕心、做好防護外,官方企業(yè)、官方平臺也有很多需要改進的地方。比如說,對于異地新設備登錄、支付,平臺應該采用多重驗證手段,包括密碼、人臉認證等。
像大金額的轉賬、消費,也應該增加驗證碼之外的更多核查手段。平臺和機構還應該公布公開官方號碼、官方網址,盡量讓用戶在官方App等更加安全的場景下進行各類敏感操作。運營商則應該加強對用戶使用2G網絡、防范偽基站的提醒,并且盡快徹底淘汰2G基站。
315晚會一年只有一次,但詐騙分子的違法犯罪活動、受害者的被騙案例則可能每一天都在發(fā)生。而如果要讓反詐騙成果最大化,則需要多方力量共同參與,消費者、企業(yè)以及監(jiān)管部門等相互配合,鏟除他們生存的土壤。
關鍵詞:
- 環(huán)球熱消息:杜絕315曝光的短信騙局,得要企業(yè)和平臺出大力
- 【天天新視野】比亞迪長城吉利集體入局,混動車成銷量密碼,背后技術揭秘
- 【國際漫評】到底是誰的錯
- 速讀:【成語漫話世界】厚顏無恥
- 世界今亮點!“感受到了開放包容的中國”——入境政策調整后各地邊檢口岸見聞
- 當前時訊:德媒:中國是德汽車工業(yè)重要引擎
- 中國出境游駛入回暖“快車道”
- 當前熱訊:243萬存款被行長挪用 銀行拒賠稱:當事人存錢后沒經常查詢
- 每日精選:3月16日晚間上市公司利好消息一覽(附名單)
- 天天熱門:鞍重股份:控股股東擬減持公司不超6%股份
- 全球最資訊丨舒華體育:2022年度凈利潤約1.09億元 同比下降5.49%
- 焦點信息:比亞迪汽車:漢唐雙旗艦冠軍版上市并公布官方指導價
- 微動態(tài)丨鞍重股份:控股股東擬減持不超6%公司股份
- 天天快資訊丨ESG崗位高薪挖人 平均招聘年薪達30萬元
- 天天亮點!刷卡(刷卡是什么意思)
- 聚焦質量與服務高品質升級,立邦連續(xù)五年斬獲多項殊榮
- 科技賦能專業(yè)化布局 361°(1361.HK)盈利能力穩(wěn)步增長
- 環(huán)球今日訊!中俄最大界湖興凱湖進入薄冰期
- 全球熱訊:穆迪把美國銀行業(yè)展望下調至“負面”
- 世界通訊!?萬人說新疆|設計美好生活的庫爾班·肉孜