银行卡盗刷升级版：来自伪基站的危险短信

“您的账户积分已经达到兑换213.5元话费的标准，详情见wap.xx.10086.cn”、“您的手机银行客户端需要进行升级，请登录xx网站下载更新”、“xx银行邀请您参加做任务赚积分的活动，详情请点击http：//t.cn/xxxx”……

这一类的诈骗短信相信很多人都曾经收到过。大多数时候，在看到对积分毫无印象的中奖内容和完全陌生的网址后，很多人都会心生疑惑，再一看短信来源的一长串号码后便很快意识到：这是遭遇了钓鱼短信。

但如果信息显示的来源是手机运营商或银行的官方短信号码呢？再进一步，如果这条短信的内容是模仿真实存在的商家兑换或互动活动呢？当你正在忙于工作或聚会时接到诈骗信息，你如何保持警惕？

21世纪经济报道记者结合身边真实的案例，梳理出目前颇为常见的几种诈骗手法。这当中既有短信诈骗，也有钓鱼APP诈骗等新的手段；既有想尽花招来盗取银行卡密码或支付验证码的传统手段，也有利用小额免密快捷支付等新型支付方式进行盗刷。

而随着手机和银行用户的防范意识提高，诈骗手段也在不断地翻新花样，诈骗信息内容也一再变化，最终都让用户在尚未清晰意识到隐患的时候将个人信息“提供”给了对方。

储蓄卡的“离奇”盗刷

一个周日晚上，在上海工作的小张收到微信官方的信息提醒，称有人试图利用其手机号码注册微信。此时他还不知道自己银行卡账户已经面临被盗刷的风险。

但出于安全考虑，刚从外地回来的小张还是很快修改了微信密码，并同时修改了支付宝密码、银行储蓄卡密码。

然而第二天小张偶然查询银行账户才发现，就在那则官方微信团队的提示后不久，他的储蓄卡便连续发生了多笔支付，第二天又继续发生类似交易，一直到他卡上的资金只剩下几十块钱才结束。

这些支付都是在他本人完全不知情的情况下发生，而当时银行卡和手机都在他本人手中。小张赶紧联系了银行冻结了账户，银行客服也按要求查询出了这 些交易的渠道：共有十多笔交易是以网易宝快捷支付的方式支出，还有一笔交易是以中国移动的移动快捷支付的形式支出，总额大概接近2000块钱。

小张立刻向中国移动提出遭遇盗刷，移动客服按其要求关闭了其手机号码对应快捷支付功能，并向网易宝支付网站提起了遭遇盗刷的投诉。

但让小张感到蹊跷的是，他并没有开通过网易宝和中国移动的快捷支付功能，并且这些交易的数额都是99.9元。此前他曾经设置过免密码快捷支付的限额，这个额度刚好是100元。

被“伪装”的10086

在确认近期没有发生银行卡和本人手机离身被盗取个人信息的可能后，10086的客服提醒小张回忆，是否近期有收到过不明来历的钓鱼短信。小张想起来，就在收到微信官方提醒那天下午，他曾经进行过一次中国移动的积分兑换话费的操作。

他翻开手机查看，发现确实收到过一条10086发来的短信—“您的积分已经达到兑换258.55元话费礼包的条件，请登录 wap.gf.10086.net根据提示操作中国移动”。就在此前一周多的时间，小张也曾进行过10086的积分兑换话费的操作，因此并未细看，便点进 了短信给出的链接，进入了一个中国移动的wap网页界面。

10086官方发来的短信、网址和网页界面似乎都和以往一样、可兑换金额甚至精确到了小数点后两位数……这些都让小张放下戒备，按照网页的提示输入了手机号码和身份证信息登录网站，并完成了积分兑换话费的操作。

但盗刷之后小张向10086客服核实才发现：短信给出的网站域名不符，中国移动的积分网站应该是10086.cn，而非net域名结尾。并且移动的积分兑换网站登录时需要的是手机验证码，而不是身份证。

但可以确定的是，短信来源显示的确是10086。但10086的客服却向小张表示，如今电信诈骗已经可以使用伪基站伪装成移动官方的10086 号码发送信息。小张很快上网查询也发现，全国各地都存在这一类利用伪基站向周边一定范围（通常为1公里）强行发送信息的诈骗手段。“只需要一台无线电收发 电台与专业的电脑连接，伪基站既能伪装成手机运营商的号码，也能伪装成各大银行的官方号码。”

在了解伪基站可以伪装10086官方号码后，小张还发现了一个问题：他的手机最近两天能够发出短信，却不能正常地接收短信。但银行的客服向小张确认，如果之前绑定了手机，那用户银行卡在发生交易后手机都会收到短信提示。

于是小张意识到，他的手机可能在更早的时候就已经以通过某种方式被拦截了短信，因此对方才能够连续盗刷其银行卡却不会被及时发现。小张将安卓的 手机带往正规的维修点，在进行一番检测后，维修人员告诉小张，监测提示出他的手机近期下载了钓鱼软件，已经有泄露信息的风险，需要进行重置。

电信诈骗X.0

尽管此后小张也一直跟进网易宝的处理进展并向居住地派出所报警，但此后小张却没有收到进一步的答复，最后就不了了之。

笔者结合小张的案例、各地警方通报和媒体报道的情况将此类诈骗进行了综合梳理：传递诈骗信息的载体如今已经出现了电话、短信、 APP下载和微信等好多种方式，往往伪装成中奖、积分兑换、系统升级、APP更新的通知，但其最终都是需要受害者在放松警惕的情况下提供个人信息，包括手 机号码、身份证信息、银行卡卡号和密码等，然后再依靠掌握的个人信息来看能够采取哪种盗刷方式。

在小张的案例中，他泄露的是手机号和身份证号，而验证码等则是因被拦截而被动泄露。但另外有类似诈骗模式则还会进一步伪装，诱导用户输入银行卡 号和密码。实际上，如今有了手机、身份证号和动态的手机验证码，诈骗者就已经可以在支付网站以他人的名义进行注册，要是再继续获得了银行卡密码，其盗刷的 成功几率就更大了。

而由于用户对诈骗信息的防备逐渐提高，这类诈骗的迷惑性越来越强，且用户的被动受骗倾向越来越大—如果说以往的中奖短信还利用了普通人的贪念的话，现在的诈骗手段已经能做到让手机用户被动地参与到信息泄露之中。

小张另外发现的一个案例中，受害者尽管点开了诈骗信息中的网址，但并未输入任何个人信息，此后却仍然发生银行卡被盗刷。后来受害者才意识到，他最初点击的实际上是一个盗取信息APP的下载链接，只是伪装成了一个网址。

和这些依靠人的疏忽骗取信任不同，还有一些诈骗环节的技术本身都已经相当成熟，比如小张遇到的伪基站冒充官方短信号码这个环节。21世纪经济报 道查询就发现，伪基站冒充官方短信号码的案例在全国各地层出不穷，已经是一个很普遍的诈骗手段。全国有多个省市的警方也都曾向公众发出过有伪基站冒充官方 发送诈骗信息的提醒。

央视《经济半小时》栏目今年9月末的一个报道就用多个品牌的手机做了测试，发现其选择的所有品牌的手机都接收到了伪基站发送的短信，显示的也是 运营商官方的短信号码，并且这类基站只需要一定的物理覆盖距离，不需要手机号码也能向这一范围内的手机用户发送信息，“覆盖范围内至少50%会收到伪基站 的短信”。

这个环节的迷惑性在于，一旦确认信息发送来源是熟悉商家的号码之后，用户对信息的信任度会明显提高，正被其他事情占据时间和精力的用户尤其如 此。央视的报道中，多个案例的当事人都是在忙于思考其他事情时收到官方号码“发来”的短信，因此并未仔细辨别短信给出的网址和内容。

小张也回忆他当时收到短信时，刚好手机话费有欠费，因此基于保证通信，便也放松了警惕，“仔细想起来那条信息给出的wap网站和以前官网操作过的界面还是有区别，但需要仔细鉴别”。

更重要的是，诈骗短信的内容也在不断“推陈出新”：此前媒体的报道中伪基站模仿10086发出诈骗短信时用的还是“积分兑换xx元现金”的引诱性话语，而到小张已经优化成了“积分直接兑换xx元话费”，更接近于商家实际的积分兑换模式。

另外有遭遇伪基站假冒银行发送短信的案例中，诈骗短信内容已经变成了“邀请参加做任务换取积分的活动”。而记者查询不同银行的官网发现，这类积分活动在国内信用卡商户中的确也很普遍。