莫让手机验证码将银行账号“洗劫一空”
第一计:破解移动官网密码,“劫持”手机发动攻击
犯罪分子往往会注册境外的IP地址,盗用被害人的手机号登录了移动(电信)等官方网站,针对即将开始的诈骗办理类似手机订阅,自助换卡之类的业务;
第二计:发“退订”短信,制造验证码假象
骗子在攻破移动网站的登陆密码后,给被害人订阅了网站提供的手机服务,并发了所谓“取消+验证码”的退订信息。这么做一是通过手机欠费让受害者产生担心心理;二是制造“退订”时需要“验证码”的假象。
套取验证码是本次骗术的关键所在,骗局的核心就是“自助换卡”。骗子在登陆移动官网后还发起了“自助换卡”业务。这是中国移动推出的一项在线服务,用户直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效,旧卡同时作废。但是,自助换卡时系统会向用户发一个二次确认的验证码,只有把这个验证码再填回系统之后,才会发起后期的换卡工作。也就是说,这个验证码可以直接把之前手机的SIM卡废掉,原来的号码将会转移到另一张SIM卡。这是设局的关键,诈骗分子制造“退订”假象,就是要拿到这张新SIM卡。在取得SIM卡后,诈骗分子便利用新卡将受害人手机中绑定的支付宝等在线支付平台和网银中的存款全部转入自己的账号中。
面对此类针对短信验证码的“精准诈骗”和“组合攻击”,该如何保护自身安全?警方在这里提示大家,如果只靠一个简单的静态密码,是无法保证安全的,下面这四招一定要记住:
1 、静态密码设置一定要复杂
静态密码首先要足够复杂,并妥善保管防止泄露。如果遇到输入验证码开通不知情业务的短信时,请直接向运营商咨询。
2 、遭遇“干扰信息”仔细甄别莫慌张
攻击者经常利用各种手段对短信进行伪装,并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、“银行”等身份的手机短信和来电进行认真甄别,冷静应对。
如果手机通讯出现瘫痪,一定要马上查清故障原因。如非手机本身或信号故障,要立刻挂失手机卡,并及时冻结第三方支付和银行账户,避免攻击者趁用户处于“信息孤岛“时,冒名顶替机主身份窃取账户。
4 、最重要的是:短信验证码不要告诉任何人!
电信运营商和提供相关服务的企业只会将短信验证码下发给用户,绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。遇到要求你回复确认验证码的情况时,切记千万不要回复,应第一时间向运营商进行咨询。