获取更多信息请下载APP

别着急“辟谣”,“HK短信”确有安全隐患

来源:    发布日期:2016-01-13 13:52:08   阅读量:0

文/吕方锐

  “HK短信”在某些地区确实是“换卡短信”的意思,即使尚未出现诈骗案件,但它所造成的安全隐患确实存在,值得注意。
 

  “HK短信”换卡确有其事

  近日公安部刑侦局微博发布[紧急扩散,这是最新的诈骗短信]的微博,称“HK”代表换卡,如果回复短信存在盗卡危险。没过几日,深圳网警巡查执法官方微博发布文章《深圳网警辟谣:一条HK短信能盗卡?假的!!!》,进行“辟谣”称换卡短信格式应为“ZZHK+临时号码”。

  新华网随后发文《一条短信能盗卡?—电信诈骗“剧本”翻新神速 用户成“惊弓之鸟”》,称记者从广东网警和中国移动广东公司方面获悉换卡指令为“ZZHK#”,而“HK”在当地移动代表的是“划扣”而非“换卡”。

  实际上,在记者调查中发现,“HK短信”依旧存在安全风险,并非空穴来风。

  首先,“HK短信”确实是换卡短信,前提是在某些地方,如北京。记者询问了北京移动客服热线,北京移动的换卡短信确实是“HK新卡卡号”的格式;当然像新华社所报道的情况也是存在的,例如山东移动客服热线就告诉记者,山东移动的换卡短信是“ZZHK新卡卡号”的格式;据相关报道可知,深圳移动的换卡短信格式应为“ZZHK+临时号码”。可见,由于不同地区移动公司的自助短信系统存在设置上的不同,所以导致了相同的换卡业务在不同地区需要发送的短信内容不同,有的是“HK”(意为“换卡”)有的是“ZZHK”(意为“自助换卡”)。

  通过查询中国移动(北京)官网有关换卡业务的说明可以得知,发送“HK新卡卡号”至10086就可以激活一张新卡(是暂未写号的空白卡,也称“备卡”),手机号就由原卡转移到新的空白卡(备卡)上,同时原卡作废。该业务是针对移动2G、3G用户更换4G业务时,将手机号转移到新的空白4G手机卡而设定的一项短信自助服务。也就是说,实施这种“HK新卡卡号”短信诈骗的骗子手中需要有备卡。从北京移动客服热线得知,这里的卡号并非指手机号,而是手机卡背面15位或30位由字母和数字组成的卡号,该卡号和手机号并非一一对应的绑定关系,手机号可以迁移到其他手机卡上。


 近日,公安部刑侦局发布的微博,称“HK短信”为新型诈骗

  换卡流程存在漏洞

  该诈骗的关键就在于这张可以写入手机号的空白“备卡”。备卡怎么获得呢?一般情况下,骗子手中没有原手机卡,按照官网规定没有原卡而办理备卡要按补卡手续办理。

  实名制手机卡办理补卡,需要机主本人提供有效身份证件原件或代办人提供双方有效身份证件原件。非实名制客户除了要提供本人有效身份证件原件外,还需要客服密码及近90天内3条通话或短信记录,其中还要至少有一条是主叫通话记录。

  上述规则繁复得让人看不下去,但它们看上去确实很让人安心,为难骗子就是对用户的保护嘛。先别急着松口气,问题就在于这其中存在一个漏洞。如果我自己有一张移动卡,拿着它换取了一张备卡,能不能用这张备卡写入别人的手机号呢?

  北京移动客服热线的回答是:可以。虽然很不情愿直接承认,但是客服人员无法否定这种做法的可行性。对空白的备卡进行写号,技术上无法限制只能写入特定手机号,就是说,北京移动用户用自己手机号申请出来的备卡,可以写入任何其他北京移动用户的手机号。这就是回复HK短信,手机号被别人盗取(写入别人手中的备卡同时原卡作废)的基础。

  一切要从网上营业厅申领备卡开始。只要用北京移动手机号登录中国移动(北京)官网,在“手机SIM卡免费升级”业务界面填写姓名、手机号和地址,不需要身份验证或登记,就可以免费收到一张备卡。

  另外还有一点需说明,据北京移动客服热线介绍,网上营业厅免费获得备卡的业务仅针对尚未换4G业务的移动用户,已经用上4G业务的手机号是无法网上免费获取备卡的,需要去营业厅获取备卡并当场激活备卡。

  诈骗短信如何找上你

  已经知道“HK短信”如何发挥威力了,那么你为什么会收到短信呢?

  首先,个人信息泄露已经不是稀罕事了,骗子可以很便宜地购买到批量的个人信息,其中就包含手机号。不用说骗子,连正规公司的业务员都可以每天不厌其烦地跟你打电话——无抵押贷款、售楼信息和大额信用卡等。这种方式往往不止是手机号,还可以搜集到精准的个人资料信息,用于更高级别的“定向诈骗”,比如那种直呼其名的诈骗电话。

  第二,更常用也更可能的做法是,通过购买伪基站获取一片地方内正在使用的手机号码,再用群发短信设备广撒网。你常常会收到被各种热门电视节目抽中三星笔记本和几万八千八的“大奖”短信,就是用这种方法发送的。很多人对于这种低级的短信诈骗不屑一顾,认为这种低智商诈骗肯定会饿死骗子,实际上他们活得很好。这是因为他们从没指望靠这种短信骗到所有人,而是赌一个概率,极低的成本决定了,只要一万个人里甚至十万人里骗到了一个人,就有利可图。

  手滑回了短信,还有救吗?

  前期的漏洞已经在那了。如果你手滑回复了该短信,还有救吗?

  根据北京移动客服热线回答,北京移动号码向10086发送了“HK新卡卡号”短信后,只需要在新卡上进行确认,手机号就换到了新卡上,旧卡即刻作废,也许此时用户还不知道发生了什么。

  山东移动客服热线告诉记者,山东移动用户发送“ZZHK新卡卡号”到10086后,需要从旧卡也就是需要用户发送一条确认短信“XKCG”(意为“写卡成功”),手机号才能转移到新卡。

  据深圳网警所称,深圳移动用户换卡业务过程中也需要旧卡发送确认短信。

  所以,用户一旦回复了短信,或者意识到手机号已被停机,立刻拨打客服热线进行挂失处理。

  另外,到成稿时记者尚未听闻有相关受害者的报道。这可能是由于“HK短信”诈骗的关键在于骗子手中需要有足够的备卡来盗取手机号,如上文所述,备卡的获取成本相对较高,所以导致该诈骗影响范围较小,但安全隐患确实存在。■