前几天,豆瓣上一个帖子非常火。
重点是机哥看完有点心慌慌,感觉自己随时成为下一个受害者。
事情是酱紫的。一位叫「独钓寒江雪」的网友在豆瓣发帖,称他睡觉醒来,发现手机收到了 100 多条验证码短信,全是被扣款的信息。
「独钓寒江雪」这名字太拗口了,机哥就管他叫「UP 主」吧。
UP 主赶紧查了下银行卡余额,果真是被扣款了,主要是来自两个方面——支付宝和京东。
让机哥一个个来说哈,首先是支付宝。这群*子骗**非常聪明,居然还会“洗黑钱”这套路:用支付宝来买 Q 币,然后再转手卖掉。
除了这个买 Q 币之外,UP 主的支付宝余额、余额宝...和支付宝关联的钱,全部都被转走,一毛不剩。
重点来了,泥萌都知道支付宝有一个「盗刷险」么?
刚好 UP 主也有买,而且是自动续费,感觉这钱能够拿回来,问题不大。
问题不大才是问题最大的。
根据 UP 住提供的证明,支付宝居然拒赔。
机哥没有第一时间 diss 支付宝,想了下,的确有拒赔的理由。
要知道,支付宝在安全方面,可以说做得 hin 好。除了要知道账号密码,陌生设备登录还要通过验证码登录,最后还有支付密码这一关,想被盗刷,还是有辣么一点难度。
能通过这么多的安全验证方法几乎没有,支付宝甚至有理由怀疑 UP 主是“监守自盗,贼喊捉贼”。最离奇的一幕出现了..
UP 主明明是「自动续保」,但是有那么几分钟,保单突然就失效,过了十来分钟又重新生效。泥萌留意一哈这个时间。
幸好最后支付宝,还是给 UP 主赔付了这笔盗刷。
然而,这事还没完。
因为还有一个京东。机哥本以为京东被盗刷就是剁自己的手,帮别人买东西。
千算万想,机哥忘了白条、金条这种业务。
UP 主就被无缘无故开通白条、金条,被*子骗**借走一万多。
为什么机哥要说这个很扯?
因为这种借贷业务,除了手机号码,还需要本人手持身份证的照片!*子骗**是怎么绕过这个验证,拿到这笔钱的?
UP 主和机哥也有同样的疑问,客服的回答,也是肯定要本人手持身份证的照片。
但是 UP 主根本没有提供手持身份证的照片,那这是怎么贷出去的?最后,京东回应,帮 UP 主垫付白条和金条的费用。
但是怎么在没有手持身份证的情况下,实现借贷,至今没有答案。事情大概就是酱紫。
UP 主在收到一堆验证码之后,无缘无故就被全面盗刷。
接下来,就是机哥的戏码。短信验证这种二次确认的方法,从银行、支付宝、微信,到游戏账号、社交 App ,都在使用。
也是目前较为安全的一种二次认证方式。
如果你是魔兽的硬核玩家,在没有短信验证的那个年代,都是用这种叫将军令的玩意,来进行二次认证的。
这种东西,其实和短信验证的作用类似,即使你的账号密码泄露,但是对方没有这个二次验证码,照样无法登陆你的账号。
像各大银行也有推出过类似的玩意,U 盾泥萌总知道吧?原理也是一样的。
但这种东西实在太累赘,毕竟你会随身带手机,而不会随身带这种玩意。
So,渐渐地,短信验证就取代它们,成为主流的二次认证方式。
问题就出现在短信验证这里。目前为止,收发短信大都是在使用 2G 网络。
这种网络非常不安全,最直接的体现就是伪基站。
以往的伪基站,基本都是用来群发垃圾短信,小手一点,方圆几公里的手机,都会收到各种垃圾短信推送。而且它还能伪装成官方的手机号码,像移动的 10086,工行的 95588 等等。
套路也 hin 简单,就是告诉你中奖了,或者被盗刷了,让你点击短信里的钓鱼链接。
不过这几年,伪基站基本是一抓一个准,逮捕的逮捕,捡肥皂的捡肥皂。而且现在的人,也没那么好骗,这种钓鱼链接的获益越来越少。这不,*子骗**也是与时共进,搞出一个伪基站 2.0 版本。
除了有以前的伪装官方号码群发短信之外,多出嗅探功能。
这个嗅探功能 hin 简单,就是看你手机上的各种短信。
无论是你和小情人的亲昵短信,学校的录取通知,还是各种验证码短信,全部看光光。
So,UP 那天晚上收到那么多验证码,很有可能是正在被人嗅探撞库。
退一万步想,有你的手机号码,再通过短信验证的方法,登录或者修改密码,简直不要太简单。
这种低成本,空手套白狼,收益丰厚的黑产,有一条超级完整的产业链。
特别是 QQ 群,用「伪基」做关键词一搜,一大堆这样的群。
里面都是在出售是什么,相信大家心里都有数啦。
就酱紫,*子骗**拿到了他们所谓的四件宝——姓名、证件号码、银行卡号、银行密码。
但真正的表演,现在才开始。
拿到资料后,他们开始“洗”,和黑社会的“洗钱”差不多,他们要把这些钱通过多个渠道,把钱洗白后才能用。
So,现在你知道,为什么开头那 UP 主,会被盗刷 1000 个 Q 币了吧?
不过,这种虚拟产品,需要支付一定的手续费给中间商,并不好用。更好用的是,银行的相关产品。
这些,就是群里*子骗**在讨论,哪个银行的产品变现洗白最好。这是「融e联」。
工行的 e 支付。
甚至还有人做过统计,列出各大银行、支付宝、京东的单笔转账额度和单日限制。
不怕*子骗**没文化,就怕*子骗**专业化。
你大半生打拼出来的血汗钱,别人用几条短信,就能把你钱的全部转走。
So,我们能做什么?
首先,这种伪基站发出的诈骗短信,绝大部分都是通过 2G 网络发送,所以只要让短信的收发,运行在 3G/4G 网络上即可。最简单的方法就是开启「volte」。
不过并不是每部手机,每个地方都支持 volte。
如果你是 iPhone 用户,神秘通道在这里:「设置」「蜂窝移动网络」「蜂窝移动数据选项」「启用 LTE」。
安卓用户,因为系统多元化的原因,泥萌可以在手机设置里面找找。
还有,内种会同步短信的备份软件,像 QQ 备份,iCloud,以及现在各手机自带的云服务...等等,记得把短信同步功能关掉。
否则,别人只要黑掉你的账户,你收到的验证码,他们在云端就能看光光。
真滴,我们能做的就只能这么多。
2G 网络被劫持,这个问题暂时还没能解决,所以各大运营商才大力推动 4G,尽快关闭 2G 网络。
最后,保管自己的个人信息,特别是「四大件」和手持身份证的照片;如果收到奇怪的验证码短信,伪基站很有可能就在附近。
我,机哥,揭露黑产的男人。