一条退订短信让银行卡里的钱不翼而飞 新型电信诈骗上演“偷天换日”

手机收到的验证码不要轻易告知他人

只因回复了一条退订短信却导致支付宝及三张银行卡接连被盗刷，直接经济损失超万元，日前北京的许先生遇到了一件蹊跷的短信诈骗案。

蹊跷之处在于犯罪嫌疑人没有用到木马、病毒甚至是伪基站，只是通过运营商开辟的便民服务和正式消息通道，消费者很难识别。

更让许先生觉得后怕的是，按照警方和相关专家的分析，犯罪嫌疑人很可能早就掌握了他的手机号、银行卡、身份证等关键信息，可以在虚拟空间轻松变成另外一个“许先生”，不受真实世界的人所控制。

诈骗过程

攻破邮箱账号、支付宝账号、银行卡密码等

搞到许先生营业厅登录密码

登录网上营业厅开通增值业务、诱导许先生退订

登录网上营业厅办理4G USIM卡自助换卡业务

利用许先生的139邮箱发送虚假退订短信，获得USIM验证码

换卡成功，许先生的手机号被复制

将支付宝、关联银行

账户里的钱全部转走

一条短信三卡被刷

根据许先生的口述，他在4月8日下午先后收到来源为“1065800”、“10086”的短信，提示机主订阅了某财经杂志的手机报，花费40元/半年，并导致手机欠费。看到短信后，他误以为被运营商摊派业务，像往常一样想到退订，没想到误入了早就设计好的陷阱。

按照事后还原来看，这个手机报是犯罪嫌疑人故意登录许先生的网上营业厅订购的，在订购成功后，犯罪嫌疑人又如法炮制地登录了许先生的139邮箱，通过邮箱发了条免费短信，通知许先生如果想要退订这项服务，需发送“取消+校验码”至本条短信。

这个许多人搞不清楚的“校验码”，成为了整件事的转折点。在看到通知后，许先生很快就收到了来自10086的一条短信，内容为：“尊敬的客户，您的USIM卡6位验证码为××××××”。由于两条短信前后脚到，许先生顺其自然地把6位验证码当成校验码用于退订业务。

谁知道在短信回复半小时后，许先生发现自己的SIM卡已无服务。紧接着，他发现手机支付宝开始将余额宝里的钱转入绑定的招商银行卡。意识到可能遭遇诈骗，为避免更大的损失，许先生将余额宝中剩余的钱转到了工商银行卡中。

但是工行的钱，不久也通过支付宝转入了招商银行卡。见到这种情形，许先生立即解绑支付宝所有关联的银行卡，此时支付宝已发生6笔转账。

同时，他的中国银行、招商银行网银由于密码被篡改无法登录，仅能登录的工商银行网银也显示正在转账，就连许久未用的百度钱包，竟然也被绑定了三张银行卡并转出部分资金。

自助换卡服务变成了大漏洞

若这是短信诈骗，为何仅回复一条短信就上当了？这是许先生不解的地方。事实上，早在他发现SIM卡无服务之前，他的卡已经被人成功“复制”，再加上犯罪嫌疑人知道他的银行卡、身份证等信息，不费吹灰之力就能打开他的网络“钱包”。

这里所说的“复制”，实际上是犯罪嫌疑人在许先生的网上营业厅里激活了“自助换卡”业务，那条显示验证码的10086短信就是向许先生做最后的确认，结果他将这6个数字发给了犯罪嫌疑人，对方拿到后成功办理了业务，导致老卡被迅速停用。

自助换卡业务起源于4G时代，当时运营商为了4G用户高速增长，推出“两不一快”服务，即客户采用不登记、不换号的方式，用4G USIM卡替换原SIM卡。用户回复验证短信即可完成换卡操作。

接下来，犯罪嫌疑人所做的就是启用新的SIM卡，通过自己的手机接收所有许先生的电话、短信信息，配合已经获取的支付宝、银行卡账号、身份证信息开始转移财产。

如今包括银行在内的很多平台都鼓励用户直接用手机号码注册，只要输入验证码就完成了身份的确认。这种设计默认注册用户用自己的号码操作，通常情况下，手机是私人物品，不会随意外接。然而，一旦手机号码被他人掌握，意味着用户对于相关应用控制权的旁落。

比如，许先生百度钱包里有两张卡是事发当天关联的。被问及需要哪些信息才能关联银行时，百度钱包客服回复：“银行卡信息，姓名，身份证号，手机号，验证码。”

这起案件中，犯罪嫌疑人利用了自助换卡这项服务，获得许先生的手机号码，短时间完成了“偷天换日”的工作。