來源：紹興市公安局    作者：嵊州市局

　　近日，北京移動(dòng)用戶許某因回復(fù)一條短信和一個(gè)驗(yàn)證碼，導(dǎo)致其支付寶、三張銀行卡、百度錢包里所有財(cái)產(chǎn)被不法分子悉數(shù)轉(zhuǎn)移。隨后許某在個(gè)人微博發(fā)布被騙過程，信息一經(jīng)發(fā)布，微博、微信平臺即持續(xù)發(fā)酵，截至目前，閱讀轉(zhuǎn)發(fā)已超過780萬，留言、評論不斷。該類電信詐騙屬于新型的“補(bǔ)卡攻擊”型詐騙，面對此類“驗(yàn)證碼”的精準(zhǔn)詐騙和組合攻擊，網(wǎng)友直呼“可怕”、“防不勝防”，指揮中心為此發(fā)出預(yù)警提示。
　　一、被騙過程回放
　　5月8日，受害人許某收到中國移動(dòng)官方號碼的短信，稱其已成功訂閱“手機(jī)報(bào)半年包”服務(wù)，并實(shí)時(shí)扣費(fèi)造成手機(jī)余額不足。隨即許某又收到一條短信稱只要回復(fù)取消加驗(yàn)證碼，在3分鐘內(nèi)可免費(fèi)退訂。緊接著，受害人收到了一條內(nèi)容為：“尊敬的客戶，您好！您的USIM卡6位驗(yàn)證碼為3XXX27”的短信，發(fā)送方為10086。受害人許某立即把6位數(shù)的驗(yàn)證碼發(fā)回給了“3分鐘可免費(fèi)退訂”的這個(gè)號碼，此時(shí)，許某的手機(jī)徹底癱瘓，重啟數(shù)次后依然顯示“無服務(wù)”。當(dāng)日晚8時(shí)左右，受害人收到支付寶的轉(zhuǎn)賬提示，同時(shí)其銀行卡內(nèi)余額也全部為零。
　　二、自助換卡流程
　　注冊登錄移動(dòng)網(wǎng)上營業(yè)廳后，進(jìn)入自助換卡頁面并申請這項(xiàng)業(yè)務(wù)，只要將原手機(jī)卡收到的短信驗(yàn)證碼回填到網(wǎng)頁，原卡號碼信息會(huì)被寫入裝在另一部手機(jī)里的新卡，而原手機(jī)卡立即作廢，幾分鐘即可完成操作，而且完全免費(fèi)。自助換卡全程都無需核驗(yàn)操作者的身份信息，僅需要準(zhǔn)備一張未被寫入號碼信息的新卡（業(yè)內(nèi)稱為“白卡”，此種卡在柜臺可免費(fèi)領(lǐng)取，在淘寶網(wǎng)也可購買，領(lǐng)取或購買時(shí)均無需身份驗(yàn)證），并將卡面上的編號輸入網(wǎng)頁，即可完成自助換卡。
　　通過“自助換卡”業(yè)務(wù)，用戶直接在官網(wǎng)操作即可更換4G手機(jī)卡，新卡立即生效，舊卡同時(shí)作廢。許某收到的6位數(shù)USIM卡驗(yàn)證碼，正是“自助換卡”業(yè)務(wù)的驗(yàn)證碼。經(jīng)過“自助換卡”，許某手機(jī)原先的SIM卡當(dāng)即作廢，而騙子手中的SIM卡則成了許某名下的4G卡。
　　三、作案特點(diǎn)
　　攻擊者先是破解當(dāng)事人手機(jī)密碼登錄中國移動(dòng)官網(wǎng)，為當(dāng)事人訂閱增值業(yè)務(wù)，并實(shí)現(xiàn)扣費(fèi)。再通過發(fā)送一條詐騙短信告訴當(dāng)事人可以免費(fèi)退訂，但需要立即回復(fù)“驗(yàn)證碼”，同時(shí)攻擊者又在中國移動(dòng)網(wǎng)上營業(yè)廳發(fā)起換卡業(yè)務(wù)，使系統(tǒng)自動(dòng)向當(dāng)事人手機(jī)發(fā)送10086短信驗(yàn)證碼，此時(shí)當(dāng)事人會(huì)很容易將驗(yàn)證碼回復(fù)到攻擊者手中。利用當(dāng)事人回復(fù)的驗(yàn)證碼攻擊者完成“自助換卡”后，會(huì)利用成功劫持的手機(jī)號碼使用權(quán)接收各類短信驗(yàn)證碼，進(jìn)一步對受害者的財(cái)產(chǎn)賬戶發(fā)動(dòng)攻擊，轉(zhuǎn)移財(cái)產(chǎn)。
　　四、防范建議
　　1、對于這種短信多留一個(gè)心眼。新聞媒體開展輿論宣傳，發(fā)揮電視、廣播、報(bào)刊、網(wǎng)絡(luò)等新聞媒體針對社會(huì)面廣、公眾普及率高的優(yōu)勢，揭露此類新型電信詐騙犯罪的手段和特點(diǎn)，增強(qiáng)廣大群眾防范、識別該類詐騙的意識和能力；
　　2、密碼設(shè)置復(fù)雜化，遭遇“干擾信息”仔細(xì)甄別。首先一定要保證靜態(tài)密碼足夠復(fù)雜，并妥善保管防止泄露。其次攻擊者經(jīng)常利用各種手段對短信進(jìn)行偽裝，并千方百計(jì)對攻擊對象進(jìn)行誤導(dǎo)甚至恐嚇，所以一定要對銀行、運(yùn)營商等身份的手機(jī)短信或來電進(jìn)行認(rèn)真甄別、冷靜應(yīng)對；
　　3、手機(jī)離奇“癱瘓”，要緊急“掛失”。如果手機(jī)通訊出現(xiàn)“癱瘓”，一定要查清故障原因，如非手機(jī)本身或信號故障，要立刻掛失手機(jī)卡，并及時(shí)凍結(jié)第三方支付和銀行賬戶，避免攻擊者趁用戶處于信息弧島時(shí)，冒名頂替機(jī)主身份竊取賬戶財(cái)產(chǎn)；
　　4、加強(qiáng)保密意識，防止信息泄露。犯罪分子之所以詐騙得逞，往往也是掌握了受害人的有關(guān)信息。因此，廣大群眾要養(yǎng)成保密意識，防止個(gè)人及家底信息的外泄,特別是手機(jī)接收到的短信驗(yàn)證碼，千萬不要告訴任何人。相關(guān)部門也要加強(qiáng)對獲取消費(fèi)者電話信息的單位、企業(yè)、互聯(lián)網(wǎng)網(wǎng)站等行業(yè)的檢查管理，督促其加強(qiáng)客戶資料保密工作。