“在整个骗局中,骗子利用了正当的业务规则,外加受害人对相关业务不熟悉骗取验证码,行骗手段具有可复制性,但如果运营商对业务规则进行修改,加强认证,骗子无法获取验证码,则攻击就会失败。”360天眼实验室的工作人员告诉记者。
如何才能异地自助换卡?中国移动北京公司的客服人员告诉记者,办理人需在网站上申请一张备卡,登记邮寄地址后送卡到家,但地址仅限于北京,外省市不可享受此项服务。但据记者了解,此次事件中,骗子的IP地址在海南海口,而且网上申请备卡除需填写申请姓名、手机号、收货地址外,依然需要短信验证码,既然此前许先生并未收到过申请备卡的短信验证码,那骗子的备卡是从哪来的呢?
“骗子可能通过内部渠道拿到了备卡,也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露,在手机卡未严格执行实名制前,不用本人的身份证也可以领卡。
记者在淘宝页面中输入“USIM卡”,出现了浙江移动、上海移动等地的4G USIM卡,这些备卡均可用于短信自助换卡,店主告诉记者:“虽是短信换卡的备卡,异地网上自助换卡也可以试试,但不保证成功。”
复盘二:手机验证码可修改网银密码
“这是社会工程学诈骗的一种,也是欺骗性攻击,利用补卡换卡,骗子在与许先生做心理上的较量,此外,骗子对许先生做过调查,已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息,只缺最关键的一步,就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。
短信验证码有多重要?以登录支付宝为例,正常情况下,若有人在用户不常用设备上登录支付宝,用户会收到短信提醒。即使不知道登录密码,但已经给用户换卡成功的骗子,可以通过短信验证码、证件号码来重置密码。
在此次事件中,因为已经拥有许先生的SIM卡,收到异常登录短信提醒的是骗子自己,另从许先生的手机支付宝依然与骗子保持同步登录状态来看,骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码,这也就说明,许先生的支付宝号及密码可能早已泄露,被骗子掌握。
小编推荐阅读