又是一年315,今年的晚会再次公布了一系列侵犯消费者权益的案例。其中,短信骗局的部分吸引了小雷的注意。生活在手机不离手时代的我们,似乎已经习惯了被各类短信、电话骚扰。但315公布的短信骗局中,受害者短短几分钟被盗刷十几万元的经历,听起来还是很触目惊心。
(资料图片仅供参考)
作为普通消费者日常生活中最可能遇到的诈骗套路,小雷感觉有必要在这里和大家聊聊短信骗局相关话题,并尝试给出一些防范风险、减少损失的对策。
从钓鱼网站到屏幕共享,骗子也在“与时俱进”
关于短信骗局,今年315晚会提到了两个案例。第一个案例中,陈女士收到了提示她的ETC卡已禁用的短信,然后点击访问了短信提供的网站,并输入了个人的身份证号、手机号、银行卡号,还按照提示输入了短信验证码。完成这些操作后,陈女士很快收到了银行卡被扣款的短信提示。
(图源央视视频截图)
第二个案例中,受害人接到电话称她的快递遗失,理赔要验证支付宝信息,然后要求她下载安装视频会议App并进入相应的线上会议室,然后按照所谓的客服人员共享了自己的手机屏幕,并一步步按要求展示了支付宝内的各项账号信息。很快,受害人就发现支付宝被盗刷了十几万元。
(图源央视视频截图)
不难发现,这两个诈骗案例,最核心的部分都是短信验证码这一步。各大平台基本都会给资金支付设置了安全屏障,对于高风险操作,往往会要求用户提供验证码以核实是本人在使用。
第一个案例中,陈女士收到的短信当然是来自诈骗分子的。这类骗局一开始,骗子会将自己的号码伪装成非个人号,通常他们会花钱购买运营商提供的商用类服务,这样发信号码就会变成类似于106开头的商家、企业号码。日常生活中,我们收到的来自互联网平台、银行、企业等发来的短信,发信号码基本也是这类,在看到骗子发的类似短信后,其实还是很容易轻信的。
(正规企业发送的营销短信,图源手机App截图)
关于骗子短信中的钓鱼网站,理论上来说,是否是正规银行网站从域名就很容易看出来。但实际上,现在短链服务很普及,正规机构有时候会通过短链把一长串原生链接转成短链传播,以提升用户的使用体验。但客观上,这也给了不法分子以可乘之机。
当消费者进入到骗子精心设置的钓鱼网站时,发现大量“官方”元素和像模像样的界面时,警惕心就很容易放下来了。而消费者此时在钓鱼网站上输入的所有信息,都被后台的骗子看得一清二楚。消费者点击获取验证码时,骗子已经在真实的消费场景中,用着你的银行卡一路到了买单界面,你输入的验证码就是他完成整场诈骗行为的最后一步。
坦率说,这个案例小雷之前已经听过很多次了,属于相对古老的骗术了。而第二个案例,基本原理是一致的,但骗子“与时俱进”,进行了一些“创新”。疫情时代,会议、网课软件开始流行和普及,骗子借此要求受害者进入他发起的线上会议室。而受害者一旦分享了自己的屏幕,那么自己手机上的信息就实时同步给了对方,你在手机上的所有操作,他都能看得一清二楚。
(图源央视视频截图)
这样一来,账户信息、短信验证码骗子都能直接获取,都不用受害者主动提供,也不用费心费力去搭设钓鱼网站了。
关键诈骗助手:伪基站
315晚会提到的两个短信骗局案例,虽然手法各有不同,但核心模式都是伪装官方人员+千方百计获取消费者验证码。而消费者如果没有轻信对方的官方身份,那么骗子就没那么容易得逞了。正因为这样,诈骗分子会不断升级自己的伪装水平,以增加被识破的难度。可能是受限于节目时长,315晚会在介绍短信骗局案例时,没有提到类似骗局比较关键的工具——伪基站。
这类设备,大家可能几年前就听到过。它的技术原理是伪装成官方运营商基站,向周围的手机发射信号。当用户的手机接入伪基站后,诈骗分子就可以进行各类操作了,比如获取用户手机号码、IMEI串码信息,给用户手机发送各类短信。更重要的,伪基站发送短信时,可以自定义发信号码。这一点非常要命,因为用户发现收到的短信来自于955XX类的官方机构时,一时间很可能就误以为真。
《人民法院报》曾报道过一则案例,潘女士收到955XX发来的短信:“您的网银即将过期,请直接点击下载并升级……”潘女士按提示点击短信内链并按照提示操作后,账户上的10366元被转账盗走。潘女士之所以会进行那一系列操作,最关键的是该短信和之前955XX发送过的官方短信处于同一对话框内。
(图源《人民法院报》截图)
伪基站得以成为诈骗的帮手,主要是因为它利用了GSM技术的漏洞。我们都知道,2G时代,GSM是应用最广泛的网络制式之一。它的问题在于单向鉴权机制,插入SIM的手机发起连接基站请求时,基站会根据SIM信息验证是否批准接入,但手机设备不会判断对方身份。这样一来,如果伪基站以和正规基站相同的频率发送信号,并且在局部范围内信号强度强过正规基站,那么手机就很容易被诱骗过去,被伪基站挟持了。
除了加强伪装、形成如假乱真的官方身份外,伪基站的另外一大危害就是短信嗅探。伪基站可以拦截获取用户手机上收到的短信信息,其中当然包括他们需要的验证码。很多互联网支付平台,只要有手机号码和验证码就能完成密码重置、转账支付等操作。
(图源360官方)
到了3G时代,单鉴权机制升级到了双鉴权,基站会审核手机的身份,手机也会合适基站的身份。这样一来,不法分子搭建伪基站的难度就大大提升。随着4G、5G技术普及,很多运营商都在清退2G网络。日常生活中,我们已经很少碰到手机掉到2G网络的情况了。
但在少数场景下,比如比较偏僻的地区,3G及以上网络信号覆盖有限,手机不得不接入到2G网络,就存在这类风险。之前三亚警方曾公布的案例中,受害人就是在偏僻的海滩上游玩时,出现了账户被盗刷的情况。而案件破获后,警方发现诈骗团伙就是通过伪基站来完成一系列犯罪行为。
防范骗局要多管齐下
看了315晚会以及其他诈骗案例后,小雷不得不感叹诈骗分子们的“努力”程度。尽管反诈骗宣传在持续进行、不断深入,尽管我们对诈骗的警惕心越来越高,但还是架不住骗子们的持续攻击,仍有马失前蹄的可能性。想要尽可能地降低被骗风险和减少损失,或许就得要多管齐下的防范手段。
首先,不轻信任何电话或短信里的所谓官方身份。如果不放心,最好的核实手段就是主动拨打官方电话或者在官方网站上查询求证。
其次,不要随便点击短信中的网络链接。正常来说,如果是官方发送的网址,用户打开后可以直接跳转到官方App。而如果是钓鱼网站,在浏览器网址中就能看到域名不对劲。现在很多国产定制系统都配置了安全防护功能,比如伪基站、钓鱼网址检测,可以开启以增强防护能力。
另外,绝对不要向陌生人共享自己的屏幕。正规企业、机构不会要求用户提供实时的屏幕信息,任何和资金相关的账户处理,也不可能会涉及到屏幕共享。
还有,万一出现手机处于2G网络下,建议开启飞行模式或直接关机,到了信号更好的区域再开网络。手机SIM卡的话,能开VolTE的尽量开,避免接打电话时降级到2G网络。对于输入验证码,也要慎之又慎,确保安全的情况下才能进行这类敏感操作。
当然,除了用户自己要提高警惕心、做好防护外,官方企业、官方平台也有很多需要改进的地方。比如说,对于异地新设备登录、支付,平台应该采用多重验证手段,包括密码、人脸认证等。
像大金额的转账、消费,也应该增加验证码之外的更多核查手段。平台和机构还应该公布公开官方号码、官方网址,尽量让用户在官方App等更加安全的场景下进行各类敏感操作。运营商则应该加强对用户使用2G网络、防范伪基站的提醒,并且尽快彻底淘汰2G基站。
315晚会一年只有一次,但诈骗分子的违法犯罪活动、受害者的被骗案例则可能每一天都在发生。而如果要让反诈骗成果最大化,则需要多方力量共同参与,消费者、企业以及监管部门等相互配合,铲除他们生存的土壤。