手机“副号”一夜骗5万，验证码骗术大揭秘
新华社等媒体都报道了一种新型诈骗方式――手机“副号”钓鱼骗局。一位何姓先生的手机号莫名其妙成为别人的“副号”，一夜间被盗刷5万元。此类利用短信验证码的骗局实在需要好好揭露一番――
手机“副号”――能够彻底获取陌生手机号短信的冷门业务手机“副号”究竟是个“什么鬼”？看到这则新闻后，许多人都会心生这样的疑问。它并不是大家熟悉的家庭亲情号或者企业内部号，主打特定人群间打电话有优惠。而是一种新兴的业务，大概从2015年12月才开始兴起的。它是用来干嘛的呢？看下面这个广告就明白了――“副号”的相关宣传，它主打的是保护隐私，避免骚扰现代社会，在各处办业务都少不得留个手机号。手机号曝光之后，免不了收到大量的营销信息乃至诈骗短信。“副号”的作用是防骚扰，给用户一个清静的空间。发布网络信息或者对外留联系方式的时候，留“副号”，而与之绑定的主号可以收到副号的信息、电话。可以说，初衷绝对是好的，也是一块很有潜质的业务。然而好归好，在一些通信商那里却留着“后门”――1.两个不同机主信息的号可以自由绑定在一起；2.当“副号”一关机，所有的短信、电话都可以涌向“主号”。何先生的手机号被骗子“接管”了将近两天两个“后门”便为一些不法之徒利用了。以这位何先生为例，整个诈骗的过程是这样的――1.骗子首先购买大量的手机号码、身份证信息、银行卡资料，圈定范围。2.骗子给这些圈定的用户大量地发送请求其手机号为“副号”的短信来钓鱼。3.何先生稀里糊涂回了个Y，成为“副号”，中招。4.何先生的手机关机（可能是夜间睡觉主动关机，可能是被“主号”手机控制关机，也可能是被攻击关机……原因多样），所有发到何先生手机号上的信息都跑到了骗子所持有的“主号”上。5.骗子利用已经掌握的银行卡等信息，再配合第三方支付和短信验证码，成功刷走五万。运营商为“副号”业务提供了非常“贴心”的功能，却容易被别有用心者利用类似的冷门业务还有“自助换卡”，也一不小心就成为骗子的“后门”央视报道过的小许要比何先生更倒霉，被转光了所有的积蓄。骗子利用的是一个叫“自助换卡”的冷门业务。该服务的核心精神是，让顾客不用去营业厅，通过在官网申请就可以4G新卡换旧卡，新卡生效之时便是旧卡作废之日。相当于号码都被人劫持了，里面的转款验证码自然随便用。“自助换卡”的路径之一是原号码的主人在官网上输入手机收到的验证码。骗人的步骤如下：1.首先买到当事人的个人信息，其中可能包括运营商官网的登录密码。2.登录官网后，为当事人订一个增值业务制造恐慌情绪。3.向当事人的手机发送假消息，表示如果要退订服务的话要回复验证码。4.以极快地速度利用冒充的官方号发送当事人办理“自助换卡”的验证码。5.当事人在对乱扣费的增值业务恐慌之时，极易上钩，把“自助换卡”的验证码当作补卡验证码发过去。6.接下来骗子已经控制住当事人的手机号了，自然为所欲为。应该说，这些冷门业务确实提供了便利。但是由于在流程设置时未能充分地考虑防诈骗的问题，给予了一些骗子很大的“后门”。真是弄巧成拙。冷门业务的“后门”+黑市买到的个人信息资料=能转走钱的短信验证码，骗子就这样拿走了钱要想骗走钱，有一个前提――掌握被骗者的身份证号码、银行卡号码和密码等个人信息。由于个人信息泄露严重，这些信息非常容易便可以在黑市上买到。去年，南都曾经做过一个非常详尽的调查报道，只花了700元，记者便买到了同事几乎所有的隐私信息，包括四大银行存款记录、手机实时定位、手机通话记录等等。个人信息泄露和贩卖如此严重的情况下，骗子很容易便能上手了。而通过短信验证码来转款，又是其中最便捷的获利手段之一。骗子不用编写大段大段的谎言，也不用亲自打电话，甚至还不用等被骗者去ATM机或者银行柜台转款，嗖地一下，钱就划走了。因为在移动支付时代，手机动态验证码成为许多平台的主力验证方式。尽管不少的专家也在质疑它存在漏洞、隐患，但是还找不到更好的替代。这里大致总结一下利用短信验证码诈骗的模式――不上当，求自保，切记“四不”――不乱给验证码，不乱回复Y，不乱点短信链接和不乱下程序防不胜防也得防。短信验证码诈骗中，手机运营商、第三方支付平台等都很难撇清自己的责任。而庞大的个人信息贩卖黑市，则从个人信息泄露到贩卖再到利用，是一条特别完整的黑色链条，要打击它，涉及方方面面，在此不赘述。单就验证码问题而言，手机运营商和第三方支付平台提供便利服务当然是好事情，没有因噎废食的必要，只是有两点常见漏洞需要弥补：1.尽到详尽提示的义务，有的短信只说“您的验证码是XX”，而不说明具体这个验证码是拿来做什么的，自然有误导性。2.尽到查验身份的义务，既然手机都实名制了，就不应该随便两个没有关系的手机便能绑定主副号，也不应该随随便便，不验证身份卡就换了。当然，个人信息贩卖猖獗的情况下，个人必须要求自保，得记住四个要点：不乱给验证码（给出去别人便可能控制你的手机号或者成功转款），不乱回复Y（表示同意办理业务），不乱点短信中的链接（有可能一点就感染了病毒）和不乱下载程序（有可能装了盗取信息的木马）。
利用个人信息诈骗，实在是花样百出。而验证码又是骗钱手段中非常重要的一种。在呼吁打击个人信息黑色链条和加强运营商、支付平台责任的同时，针对个人的重要事情也要说三遍：不要乱给验证码，不要乱给验证码，不要乱给验证码。
每添加一个题目需要新建一个ID,填写规则是ID之间用英文逗号分开。
如两个题：00915
Copyright & 1998 - 2017 Tencent. All Rights Reserved短信验证码 - 搜狗百科
短信验证码
网站或者应用需要接入短信（手机验证码）的功能，可以实现注册用户的手机号码正确性校验，确保用户填写的手机号码的真实性。&
目前使用的最普遍的有各大银行、网上商城、、票务公司等。
验证码可以广泛应用在网站会员手机验证、手机验证、订单通知、物流提醒等触发类短信应用。
手机短信验证码应用范围
短信的发送流程如下：
手机短信验证码接入流程
1、用户填写自己的手机号码，点击“获取”按钮 2、网站或者APP按规则生成码，并将用户的手机号码和验证码内容通过短信验证接口发送到验证码。 3、验证码短信平台对经过一系列的判断并通过之后（账户余额、内容是否合规、手机号码是否合规、手机号码所属的运营商），将信息提交到相应运营商的服务器。 4、运营商将短信内容下发到用户的手机。 同理，找回密码、获取的流程与这个类似。
1、同系统对接后能够实现全自动发送 2、可以实现全国范围内的全网（移动、联通、电信用户）发送 3、发送速度快，能够在10-30秒内响应 4、能够接近100% 5、能够实现全天24小时发送 6、分布式构架，杜绝影响，容错能力强，易扩展 7、多，海量储存验证码发送记录 8、平台对接多条通道，实现高峰期自动分流
1、PHP开发示例
手机短信验证码开发示例
2、ASP开发示例
手机短信验证码开发示例
3、JAVA开发示例
手机短信验证码开发示例
开通，每个应用每天限制调用100次。该能力通过运营商级优质服务通道，面向全国全网用户免费发送短信， 24小时不间断发送，100%PUSH即时到达。
1、在线申请试用帐号，并下载相应的接口文件。 2、将您的网站或者同进行对接。 3、对接调试成功后，正式使用。
防范的手段主要有以下几个方面：短信发送间隔设置——设置同一号码重复发送的时间间隔，一般设置为60-120秒IP限定——根据自己的业务特点，设置每个IP每天的最大发送量手机号码限定——根据业务特点，设置每个手机号码每天的最大发送量流程限定——将和用户名密码设置分成两个步骤，用户在设置成功用户名密码后，下一步才进行手机短信验证，并且需要在获取第一步成功的回执之后才可进行校验。绑定图型——将图形校验码和手机验证码进行绑定，这样能比较有效的防止软件恶意注册。注：发送验证码1分钟只能点击发送1次；相同IP手机号码1天限制6次内；在提交页面加入图形校验码，防止机器人恶意发送；在发送验证码接口程序中，判断图形校验码输入是否正确。
参考资料：
扩展阅读：
词条标签：
合作编辑者：
搜狗百科词条内容由用户共同创建和维护，不代表搜狗百科立场。如果您需要医学、法律、投资理财等专业领域的建议，我们强烈建议您独自对内容的可信性进行评估，并咨询相关专业人士。
点击编辑词条，进入编辑页面小心短信验证码被窃取
　　本版撰文 信息时报记者 潘敬文　　智能手机时代，网购、转账都需要通过短信验证码来验证，不法分子也千方百计窃取手机用户短信验证码。近日安全专家发现，除了传统的“植入木马”、“诱骗手机登陆钓鱼网站填写”等手段之外，又出现了最新的窃取验证码方式，即利用攻击运营商“短信保管箱”等短管服务获得验证码。　　目前有手机安全公司已经对此项业务发布了高级版安全警告，建议用户最好打电话致电运营商要求取消此项服务。　　运营商短信保管箱成“帮凶”　　网友“公交姬”表示，今年2月，他发现自己的银行卡总是被人莫名其妙的输错密码冻结，即便开了新卡也不管用，可问题是，他的卡一直都在自己手上，也从来没有泄露过卡的信息。　　7月1日，当他正在家中玩电脑时，意外的收到了一条“短信保管箱”业务的订购短信。“短信保管箱”是一种源自功能机时代的短信托管服务。其功能是可以把手机上收到的短信自动同步到运营商的服务器上备份，手机用户也可以通过运营商网站查看这些短信。　　未开通“短信保管箱”业务时，手机用户在网站注册或消费时，网站会通过通信网将验证码发送到用户手机中，是一种将密码验证与短信验证码结合起来的“双因子认证”方法。而开通“短信保管箱”业务后，网站发来的验证码短信，一方面经过通信网发送到用户手机，另一方面则同时备份到Web端，通过攻击Web端即可窃取验证码，无需直接接触用户手机，这样就降低了“双因子验证”的安全性。　　有专家表示，这种作案方式非常恐怖，因为只要犯罪分子获悉短信箱的登陆信息和银行卡号，就可以随意盗刷用户的银行卡，而且不论如何设置和修改银行卡密码，都没有作用。　　海量注册信息淹没转账信息　　360手机卫士的安全专家与网友“公交姬”，以及其他一些受害者取得了联系。经过调查后发现，这几位受害者在银行卡被盗刷前，都会突然收到大量各种验证短信，主要是提示自己在各种网站上注册账号的验证短信。　　据360手机安全专家介绍，这是不法分子利用“短信炸弹”软件对受害者进行轰炸，对用户来说，最重要的银行发来的支付验证短信淹没在其它验证短信当中，从而对受害者造成迷惑，使其不能在第一时间发现自己的银行卡正在被盗刷。这就为犯罪分子反复盗刷受害者银行卡提供了更加充足的作案时间。　　运营商需延迟上载短信　　据360专家表示，通过“短信保管箱”作恶手段，目前对于用户尚无妥善的安全防护方法。而对于运营商，360方面建议，运营商需要加强业务流程审核，确保所有的手机增值服务都必须通过用户手机进行二次确认。特别是，在向网站同步用户短信信息时，运营商应有意设定一定的延迟，从而使攻击者即便从短信保管箱读取了用户的验证码内容，这些验证码实际上也已经过期。　　此外。运营商在向网站同步用户短信信息时，应自动过滤或加密存储验证码等敏感信息，以防止相关信息被不法分子利用。　　一旦收到类似“订购短信保险箱业务”的短信，用户立即联系相关运营商进行处置，并及时关闭相关业务。如果在收到“短信保管箱”订购短信后，又很快的收到银行的转账或扣费通知短信，应立即联系银行客服挂失相关银行卡，以避免损失进一步扩大。　　360专家还表示，如果突然收到大量莫名其妙的垃圾短信或验证码短信，一定要仔细查看其中是否有银行或第三方支付工具发来的验证短信或转账、消费告知短信，若有，则应即使联系银行挂失银行卡或联系第三方支付平台冻结自己的支付账号。　　保护银行卡密码安全有4招　　招数1 用户要定期修改网银密码；　　招数2 设置度的复杂密码；　　招数3 尽可能不要在所有的网站上都使用相同的账号和密码；　　招数4 尤其是社交账号、网银账号和常用的电子邮箱，都要单独设置密码。
（责任编辑：HN666）
07/09 17:0406/02 20:2505/28 22:05
新闻精品推荐
每日要闻推荐
社区精华推荐
精彩焦点图鉴
　　【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。经验2423 米
在线时间5 小时
版本7.1.20
机型红米手机3
签到次数16
MIUI版本7.1.20
昨天&21:13
红米手机4 高配版
V8.1.3.0.MBECNDI
建议手机来短信验证码还和以前一样，来验证码在手机上方可以迅速阅读，现在验证码是比以前放大了，可是每次读验证码要打开短信阅读，挺麻烦的，希望改进。
分享到微信朋友圈
打开微信，点击底部的“发现”，使用 “扫一扫” 即可将网页分享到我的朋友圈。
经验2125 米
在线时间122 小时
版本7.2.28
机型小米手机5c
签到次数74
MIUI版本7.2.28
来自网页版
lz说的是没有悬浮通知么？请将短信的应用锁关闭就有悬浮通知了
经验2423 米
在线时间5 小时
版本7.1.20
机型红米手机3
签到次数16
MIUI版本7.1.20
yaner壹贰 发表于
lz说的是没有悬浮通知么？请将短信的应用锁关闭就有悬浮通知了
操，注意你的素质。
经验2125 米
在线时间122 小时
版本7.2.28
机型小米手机5c
签到次数74
MIUI版本7.2.28
来自网页版
我在帮你解决问题，爆粗口什么意思？
经验2125 米
在线时间122 小时
版本7.2.28
机型小米手机5c
签到次数74
MIUI版本7.2.28
来自网页版
lz是楼主的意思，难道误解了么
经验2423 米
在线时间5 小时
版本7.1.20
机型红米手机3
签到次数16
MIUI版本7.1.20
yaner壹贰 发表于
lz是楼主的意思，难道误解了么
不好意思，我误解了，我以为是老子呢！对不起！很抱歉！
“澎湃S1 ”芯片纪念勋章
参与活动回帖可得
参与红米Note 4X活动
2017年小金鸡勋章
回复2016年度评选活动贴
圣诞节勋章
参与圣诞活动
APP 1000万
MIUI论坛APP注册用户突破1000万纪念勋章
小火箭勋章
神舟11号 话题活动
Copyright (C) 2016 MIUI
京ICP备号 | 京公网安备34号 | 京ICP证110507号