换卡无需“验明正身” 便捷还是隐患?
小许的经历并非个例,不少有着同样遭遇的网友主动与小许联系,讲述自己被攻击的经过。信息安全专家把此类电信诈骗称作“补卡攻击”。
记者体验了“自助换卡”的全部流程,与到营业厅当面办理不同,自助换卡全程都没有核验操作者的身份信息,仅需要准备一张未被写入号码信息的新卡,并将卡面上的编号输入网页,这张卡被业内称为“白卡”。
据了解,这种“白卡”和领取人的手机号没有绑定关系,因而领取后可以写入任何手机号,不仅可以免费从官方途径获得,甚至在淘宝等网站上有人公开售卖。这就意味着,攻击者要“劫持”小许的手机卡,只需要以小许的手机号成功登录中国移动网上营业厅,并骗到那个没有任何提示说明的6位验证码,剩下的条件都可以轻易获取,不需要任何身份验证。
“冷门”业务成了诈骗的“后门”
回溯小许的遭遇记者发现,在这场“连环”骗局的几条短信中10086是中国移动统一客服号码、10658000是中国移动手机报号码,令当事人深信不疑。就连此次事件中唯一一条由骗子编造的诈骗短信,也是利用“139邮箱”的一项“发短信”功能发出的。
记者实际操作发现,如果接收短信的手机没有将发短信的邮箱所对应的手机号存储为联系人,接收到的信息均显示以“10658”开头。而中国移动旗下的“服务提供商业务号码”发送的“行业短信”大都以“10658”开头。攻击者看中的正是这个功能细节,不仅可以对诈骗短信进行伪装,骗取接收者的信任,还可以接收到当事人回复的关键验证码。
因此,139邮箱的“发短信”功能被攻击者所用,成为骗局的重要一环。而这项中国移动已经推出8年的免费功能,很少有人真正了解它的操作细节,使用率也不高。
诈骗分子在劫持小许手机的过程中,自始至终利用的都是中国移动的业务、工具和平台。一些用户眼中的“冷门”业务,成了极易被攻击者“盯上”的充满风险的“后门”。
微博加关注
微信扫一扫
文汇报官方微信
汇拍微信
汇玩微信
汇吃微信
汇演微信
文汇讲堂
上海跑步者
下载APP
