文|王云輝

這幾天，一起通信詐騙案再次刷爆網(wǎng)絡(luò)。受害者稱，由于一條短信，他支付寶、銀行卡及百度錢包內(nèi)的所有資金，都被騙子全部洗劫一空。一夜之間，傾家蕩產(chǎn)！

黑客是如何實(shí)現(xiàn)瘋狂洗劫的？

經(jīng)過(guò)運(yùn)營(yíng)商核查，黑客攻破用戶手機(jī)的關(guān)鍵過(guò)程，昨天終于水落石出。

就此，黑客實(shí)現(xiàn)洗劫的整個(gè)過(guò)程全部浮出：

1、黑客以其他手段獲得了受害者登陸網(wǎng)上營(yíng)業(yè)廳的“網(wǎng)站密碼”。

2、黑客通過(guò)網(wǎng)上營(yíng)業(yè)廳，為受害者訂制增值業(yè)務(wù)，讓受害者產(chǎn)生突然收到訂制提示的恐慌。

3、黑客通過(guò)網(wǎng)上營(yíng)業(yè)廳，為受害者申請(qǐng)4G自助換卡。

4、接到申請(qǐng)后，系統(tǒng)向受害者下發(fā)換卡二次確認(rèn)驗(yàn)證碼（6位USIM驗(yàn)證碼）。

5、黑客利用139郵箱的短信功能偽裝，向受害者騙取驗(yàn)證碼。

6、受害者被黑客迷惑，試圖退訂增值業(yè)務(wù)，按照黑客指示將驗(yàn)證碼發(fā)給了黑客。

7、黑客遠(yuǎn)程完成關(guān)鍵的換卡，導(dǎo)致受害者原手機(jī)進(jìn)入"癱瘓"狀態(tài)，并將受害者的USIM卡替換到了自己手機(jī)上。

什么是USIM卡？USIM是Universal Subscriber Identity Module（全球用戶識(shí)別卡）的縮寫。它是運(yùn)營(yíng)商發(fā)給用戶，放置在手機(jī)里的芯片，最重要的作用是讓運(yùn)營(yíng)商識(shí)別用戶身份。簡(jiǎn)單來(lái)說(shuō)，它就是用戶在運(yùn)營(yíng)商網(wǎng)絡(luò)里的"身份證"。

這就相當(dāng)于，黑客冒充受害者報(bào)案，說(shuō)我身份證掉了，然后騙受害者給公安開(kāi)具證明，最后把受害者的身份證拿走了。

8、黑客利用手機(jī)號(hào)登陸受害者支付寶，通過(guò)找回密碼功能，獲得了受害者的郵箱地址。

9、黑客利用手機(jī)號(hào)，重置了受害者的郵箱密碼。

10、黑客登陸受害者的郵箱，下載數(shù)字證書(shū)，并重置了受害者的支付寶密碼。

11、黑客將受害者的支付寶資金進(jìn)行轉(zhuǎn)移，并通過(guò)支付寶關(guān)聯(lián)，洗劫了受害者的銀行資金。

12、黑客通過(guò)手機(jī)登陸百度錢包，完成綁定并進(jìn)行洗劫。

13、洗劫結(jié)束后，黑客卸載數(shù)字證書(shū)，丟棄USIM卡，完成撤離。

顯然，這是一個(gè)對(duì)電信運(yùn)營(yíng)商、支付寶、銀行的業(yè)務(wù)都極為稔熟，對(duì)用戶心理把握也非常到位的高智商犯罪。

那么，受害者犯了哪些致命錯(cuò)誤？

1、可能網(wǎng)上營(yíng)業(yè)廳密碼設(shè)置得過(guò)于簡(jiǎn)單，黑客通過(guò)暴力破解，或是沒(méi)有做好安全防護(hù)，被黑客以網(wǎng)絡(luò)嗅探、木馬等手段獲得密碼。

2、在不了解驗(yàn)證碼用途的情況下，直接將驗(yàn)證碼發(fā)送給其他人。

3、從18點(diǎn)左右發(fā)出驗(yàn)證碼，到當(dāng)晚20點(diǎn)后黑客開(kāi)始轉(zhuǎn)移資金，在手機(jī)通訊出現(xiàn)異常的2個(gè)小時(shí)內(nèi)，沒(méi)有從安全角度有任何的警覺(jué)，未進(jìn)行任何檢查或補(bǔ)救。

我們應(yīng)該得到什么教訓(xùn)？

互聯(lián)網(wǎng)充滿了木馬、病毒和釣魚(yú)網(wǎng)站，只靠一個(gè)固定的密碼，無(wú)法保證安全。

所以，當(dāng)前幾乎所有的網(wǎng)站，在進(jìn)行更改密碼、交易、轉(zhuǎn)賬等重要操作時(shí)，都會(huì)通過(guò)靜態(tài)密鑰（用戶自己設(shè)定的密碼）+動(dòng)態(tài)密鑰（實(shí)時(shí)的隨機(jī)驗(yàn)證碼）的方式，來(lái)實(shí)現(xiàn)對(duì)用戶身份的交叉驗(yàn)證。而手機(jī)短信，正是最普遍、最主要的動(dòng)態(tài)密鑰方式。

簡(jiǎn)單來(lái)說(shuō)，每次用戶有重要的交易，都需要開(kāi)鎖。用戶自己設(shè)的密碼是一把鑰匙，系統(tǒng)會(huì)通過(guò)手機(jī)短信，再臨時(shí)給用戶隨機(jī)發(fā)一把鑰匙。只有同時(shí)插入兩把正確的鑰匙，鎖才打得開(kāi)。

然而，為了方便用戶在遺忘密碼時(shí)找回密碼，大多數(shù)網(wǎng)站也都允許用戶通過(guò)手機(jī)找回密碼。甚至各家金融機(jī)構(gòu)，只要通過(guò)注冊(cè)手機(jī)驗(yàn)證碼確認(rèn)，也都會(huì)開(kāi)放各種密碼修改和轉(zhuǎn)賬權(quán)限。

這意味著，手機(jī)號(hào)碼已經(jīng)成為我們?cè)诨ヂ?lián)網(wǎng)上最重要的"身份證"和電子保險(xiǎn)箱。如果黑客和騙子將它劫持，就可以輕松配齊另一把鑰匙，而我們就可能像這個(gè)案件受害者一樣，被人洗劫一空。

當(dāng)然，手機(jī)我們一般都是貼身攜帶，所以以前黑客沒(méi)有做到這一點(diǎn)。

但現(xiàn)在，這個(gè)案件為我們敲響了警鐘！如果我們不注意安全，很可能連手機(jī)號(hào)碼，也會(huì)被人悄然頂替。所以，我們需要對(duì)新的通信詐騙提高警惕！提高警惕！再提高警惕！

如果你上當(dāng)，不再是丟失個(gè)人隱私或是騙點(diǎn)小錢，而是有可能一輩子積蓄瞬間消失，傾家蕩產(chǎn)！

那么，我們應(yīng)該如何防范

1、密碼一定要足夠復(fù)雜，并妥善保管。

2、當(dāng)前，偽基站、木馬、IP電話、黑客有太多的手段來(lái)對(duì)短信和電話進(jìn)行偽裝，以此對(duì)用戶進(jìn)行誤導(dǎo)、恐嚇或誘導(dǎo)。所以不要輕信"運(yùn)營(yíng)商"、"銀行"、"公安"、"稅務(wù)"等身份的手機(jī)短信和來(lái)電。

3、短信驗(yàn)證碼不要發(fā)給別人！短信驗(yàn)證碼不要發(fā)給別人！短信驗(yàn)證碼不要發(fā)給別人！所有通過(guò)短信向你索要驗(yàn)證碼的信息，都是騙子！重要的事情一定要說(shuō)三遍！

4、類似的另一種換卡的騙局，是要求你向運(yùn)營(yíng)商回復(fù)一個(gè)HK開(kāi)頭的短信。這樣要求你發(fā)送你不熟悉指令給運(yùn)營(yíng)商的短信，也一定不能信，不能照做！

5、如果手機(jī)通訊出現(xiàn)問(wèn)題，一定要馬上查清原因。如果出現(xiàn)問(wèn)題，立刻想辦法補(bǔ)救（掛失手機(jī)，凍結(jié)支付寶與銀行卡，提醒親友注意等等）因?yàn)闊o(wú)論是黑客洗劫你的財(cái)產(chǎn)，還是騙子準(zhǔn)備欺騙你的親戚朋友，都會(huì)對(duì)你進(jìn)行"通訊隔離"，頂替你的身份，這是他們犯罪行動(dòng)中，最關(guān)鍵的一環(huán)！

6、對(duì)自己的銀行、支付寶及網(wǎng)絡(luò)資產(chǎn)做好管理，確保部分資金不要與手機(jī)和網(wǎng)銀關(guān)聯(lián)。在最壞的可能下，這是降低損失的有效辦法了。

7、最好準(zhǔn)備兩部手機(jī)，兩個(gè)號(hào)碼，這樣如果一部手機(jī)遺失或遭竊，也能及時(shí)補(bǔ)救，這也能減低你被騙子"通訊隔離"的可能。

8、如果，真的被手機(jī)木馬強(qiáng)行訂制、惡意扣費(fèi)了，怎么辦？不要著急退訂，可以先到運(yùn)營(yíng)商營(yíng)業(yè)廳查清楚，如果真的被強(qiáng)行訂制和惡意扣費(fèi)了，截圖保留好證據(jù)，打10086（移動(dòng)）、10010（聯(lián)通）、10000（電信）投訴。如果運(yùn)營(yíng)商拖延不給解決，就打12321投訴。絕對(duì)有著落！

對(duì)于運(yùn)營(yíng)商和銀行的責(zé)任

這個(gè)案件的受害者質(zhì)問(wèn)中國(guó)移動(dòng)，很多人也都在指責(zé)運(yùn)營(yíng)商和銀行，那么，它們對(duì)案件負(fù)有責(zé)任嗎？

就本案而言，他們沒(méi)有責(zé)任。這是因?yàn)椋谶\(yùn)營(yíng)商和銀行的系統(tǒng)里，他們都是按照正常的業(yè)務(wù)流程在辦理業(yè)務(wù)，而網(wǎng)上營(yíng)業(yè)廳密碼是用戶自己泄露或黑客以其他手段獲取的；最關(guān)鍵的換卡驗(yàn)證碼，也是用戶自己發(fā)給黑客的。

但是，從更多用戶的利益來(lái)講，運(yùn)營(yíng)商和銀行的業(yè)務(wù)流程都存在隱患，需要盡快完善：

1、就運(yùn)營(yíng)商來(lái)說(shuō)，本案已暴露了兩個(gè)重大的業(yè)務(wù)隱患：

（1）用戶換卡流程問(wèn)題。

遠(yuǎn)程換卡（其中還包括網(wǎng)選短寫、快速換卡、在線申請(qǐng)4G換卡等）業(yè)務(wù)的設(shè)計(jì)初衷，是為了方便用戶。但實(shí)際的情況是，由于SIM白卡（指空白的用于寫入用戶身份信息的SIM卡）的流出，黑客可以通過(guò)騙局手段，頂替用戶更換SIM卡，進(jìn)而對(duì)用戶實(shí)施洗劫。在此過(guò)程中，遠(yuǎn)種換卡如何加強(qiáng)安全？SIM白卡如何管理，都需要重新考慮。

（2）用戶提醒問(wèn)題。

顯然，中移動(dòng)在設(shè)計(jì)換卡業(yè)務(wù)時(shí)，并沒(méi)有考慮到黑客借機(jī)行騙的可能，所以這個(gè)極為重要的業(yè)務(wù)，給用戶下發(fā)的短信中，并沒(méi)有任何的風(fēng)險(xiǎn)提示。

如果，其中有對(duì)驗(yàn)證碼用途、可能風(fēng)險(xiǎn)，以及用戶安全建議的提示，雖然不一定能阻止所有的人，但至少會(huì)有大半的人，都有可能在最后一刻，停住邁向深淵的腳步。

在此，我呼吁，運(yùn)營(yíng)商對(duì)用戶發(fā)送的各種短信驗(yàn)證碼，都應(yīng)該明確告知用戶驗(yàn)證碼用途、風(fēng)險(xiǎn)，使用方式，以及不能告訴任何人的安全建議！

（3）值得注意的是，以上問(wèn)題都并不是單一業(yè)務(wù)產(chǎn)生的問(wèn)題。

事實(shí)上，黑客是利用了破解營(yíng)業(yè)廳密碼+申請(qǐng)遠(yuǎn)程補(bǔ)卡+騙取用戶驗(yàn)證碼，這樣多業(yè)務(wù)疊加方式實(shí)現(xiàn)的犯罪。

我們可以肯定的是，黑客、騙子或其他的犯罪者，永遠(yuǎn)比普通用戶，甚至比一些行業(yè)專家，都更熟悉系統(tǒng)的業(yè)務(wù)規(guī)則與技術(shù)漏洞。因?yàn)樗麄円恢痹噲D從中的疏漏，并籍此獲取黑色利益。

運(yùn)營(yíng)商的目的是建設(shè)，而他們的目的是破壞與滲透。

事實(shí)上，在中國(guó)，運(yùn)營(yíng)商和銀行的系統(tǒng)，已經(jīng)處于最安全的行列，但在系統(tǒng)復(fù)雜到一定程度之后，多個(gè)業(yè)務(wù)、多個(gè)架構(gòu)、多個(gè)流程的疊加，所產(chǎn)生的問(wèn)題，依然防不勝防。尤其是像中移動(dòng)的專家寧宇所說(shuō)，在運(yùn)營(yíng)商內(nèi)部，還存在一些用戶并不常用的冷門業(yè)務(wù)，雖然帶來(lái)的收益并不大，但是依然能在系統(tǒng)中運(yùn)行--比如通過(guò)短信指令遠(yuǎn)程換卡就是其中之一。

在這方面，運(yùn)營(yíng)商與犯罪者之間，會(huì)一直處于魔道斗法的常態(tài)，在新的騙局出現(xiàn)后，運(yùn)營(yíng)商也應(yīng)及時(shí)研究，并在系統(tǒng)架構(gòu)、業(yè)務(wù)流程和技術(shù)各個(gè)環(huán)節(jié)打好補(bǔ)丁，避免更多的用戶成為受害者。

2、對(duì)于銀行和其他網(wǎng)站來(lái)說(shuō)，最大的問(wèn)題在于安全責(zé)任。

本案暴露出來(lái)的一個(gè)重要問(wèn)題是，運(yùn)營(yíng)商短信驗(yàn)證這個(gè)“電子保險(xiǎn)箱”，已經(jīng)不能百分百保證用戶安全了。

事實(shí)上，在當(dāng)前手機(jī)發(fā)燒友只顧體驗(yàn)不計(jì)安全，導(dǎo)致root安卓和越獄蘋果遍地裸奔的現(xiàn)狀下，黑客還有除了偽基站、SIM卡、釣魚(yú)短信、手機(jī)木馬等太多的方式黑掉一部手機(jī)，而當(dāng)新的eSIM國(guó)際規(guī)范施行后，手機(jī)的安全性還將進(jìn)一步降低。

所以，過(guò)去銀行、網(wǎng)站將安全驗(yàn)證全部推給用戶和手機(jī)短信的做法，已經(jīng)越來(lái)越危險(xiǎn)。他們迫切需要找到能夠遠(yuǎn)程驗(yàn)證用戶身份的新手段。

不然，縱然運(yùn)營(yíng)商百般防范，類似的受害者依然會(huì)如雨后春筍，不斷出現(xiàn)。

最后說(shuō)一下關(guān)于公安部門

我有兩個(gè)朋友，在通信詐騙問(wèn)題上，他們的觀點(diǎn)完全對(duì)立。

其中一位朋友，是20年的老公安。雖然現(xiàn)在已經(jīng)離開(kāi)公安系統(tǒng)，進(jìn)了一個(gè)家電公司，但每年開(kāi)兩會(huì)，他都至少有一個(gè)鐵打不動(dòng)的提案，是在死磕電信詐騙。他一直認(rèn)為，運(yùn)營(yíng)商的管理漏洞和技術(shù)缺陷，是通信詐騙猖獗的核心原因之一。他認(rèn)為，用戶被騙之后，一定要將電信運(yùn)營(yíng)商告上法庭，才能倒逼其“阻斷詐騙源頭”。

另一位朋友，也已經(jīng)在運(yùn)營(yíng)商呆了20多年，是通信網(wǎng)絡(luò)方面的專家。在他看來(lái)，通信詐騙屢禁不絕的原因，是公安部門查案不力?！叭绻膊粐?yán)力清查，只靠運(yùn)營(yíng)商防范，又能防范多少？”這位朋友認(rèn)為，現(xiàn)在部分基層公安對(duì)相關(guān)案件不重視，甚至“能不立案就不立案”的心態(tài)，降低了犯罪分子的作惡成本。

他們的心態(tài)，并非個(gè)案，而是很多通信系統(tǒng)和公安系統(tǒng)從業(yè)者的共同心態(tài)。他們到底誰(shuí)對(duì)，誰(shuí)錯(cuò)？在我看來(lái)，都對(duì)，也都錯(cuò)。

現(xiàn)實(shí)的情況，是大家都看到了對(duì)方的問(wèn)題，看到了自己的努力，卻都沒(méi)有看到對(duì)方的作為與苦衷。

每年，從工信部到三大運(yùn)營(yíng)商，一個(gè)極為重要的工作，都是嚴(yán)打通信欺詐。但中國(guó)手機(jī)用戶已達(dá)12.9億，在這樣的數(shù)量級(jí)，任何內(nèi)部管理、業(yè)務(wù)流程、系統(tǒng)結(jié)構(gòu)或是技術(shù)上的疏漏，都會(huì)被放大到一個(gè)可怕程度。而且，通信技術(shù)非常復(fù)雜，新技術(shù)新業(yè)務(wù)新漏洞層出不窮，有的從技術(shù)上很難全面徹底防范。

而在通信詐騙問(wèn)題上，無(wú)論工信部還是運(yùn)營(yíng)商，都有一個(gè)最大的問(wèn)題，就是沒(méi)有執(zhí)法權(quán)，所以面對(duì)各種詐騙，只能防守，卻很難遏制甚至懲治作惡者。

而公安系統(tǒng)普遍面臨的問(wèn)題是，通信詐騙多是異地甚至跨境的集團(tuán)作案。每起案件涉及的通信賬號(hào)、銀行賬號(hào)、銀行卡都數(shù)量巨大，涉及地區(qū)廣，涉及機(jī)構(gòu)多，導(dǎo)致辦案手續(xù)復(fù)雜，辦案周期長(zhǎng)，辦案成本高，偵查工作艱巨，取證難度大，難以形成完整證據(jù)鏈，抓捕難度大。

同時(shí)，我國(guó)法律對(duì)通信詐騙缺乏專門規(guī)定，只能參照普通詐騙犯罪的《刑法》條文定罪及處罰，一些地方的檢察、法院對(duì)電信詐騙犯罪認(rèn)識(shí)不一，同一犯罪事實(shí)不同罪名處理，很多案件無(wú)法認(rèn)定，嚴(yán)重影響打擊效果。

這就導(dǎo)致很多人的不理解，比如這一次的受害者：

甚至，有基層公安對(duì)通信詐騙案件態(tài)度糾結(jié)，畢竟，人家每年工作的一項(xiàng)重要KPI是“破案率”。所以，你懂的……

所以，中國(guó)對(duì)通信詐騙的治理，越來(lái)越轉(zhuǎn)向多部門聯(lián)合打擊。比如，2015年6月，國(guó)務(wù)院就批準(zhǔn)建立了由公安部、工信部、中宣部、中國(guó)人民銀行、銀監(jiān)會(huì)等23個(gè)部門和單位組成的打擊治理電信網(wǎng)絡(luò)新型違法犯罪工作部際聯(lián)席會(huì)議制度，加強(qiáng)對(duì)全國(guó)打擊治理工作的組織領(lǐng)導(dǎo)和統(tǒng)籌協(xié)調(diào)，并于同年11月1日起在全國(guó)范圍內(nèi)組織開(kāi)展打擊治理電信網(wǎng)絡(luò)新型違法犯罪專項(xiàng)行動(dòng)。

截至今年2月，共破獲通訊信息詐騙案件2.7萬(wàn)起，抓獲犯罪嫌疑人9432名，為群眾挽回直接經(jīng)濟(jì)損失1.6億元。這一專項(xiàng)行動(dòng)將延長(zhǎng)至今年年底。不過(guò)，不論他們力度多大，最重要的，還是我們自己懂得如何保護(hù)自己。如果自己把鑰匙交給騙子，誰(shuí)來(lái)都救不了。

在2015年，2015年全國(guó)公安機(jī)關(guān)共立電信詐騙案件59萬(wàn)起，同比上升32.5%，共造成經(jīng)濟(jì)損失222億元。你想成為這59萬(wàn)分之一嗎？

（來(lái)源：虎嗅網(wǎng)）