根据加拿大反欺诈中心 (CAFC) 最新发布的警告,随手把一个短信验证码交出去,可能让你损失数万元甚至更多。
在,“验证码劫持(passcode hijacking)”已经导致受害者多个账户被完全控制,有人损失高达 5.5 万加元。
以下是这种骗局的运作方式以及识别它的几个危险信号。
骗局是怎么发生的?
CAFC 在本周二(4 月 22 日)发布的通告中指出,诈骗分子通常已经掌握你的手机号码或电子邮箱地址,他们会尝试登录帐户,从而触发系统向你发送一次性验证码(OTP)。
“随后,犯罪分子会冒充银行、电信公司、客服人员,甚至是你的熟人联系你,并要求你分享这组验证码。”CAFC 解释道。
一旦你把验证码交出去,对方就会立即接管你的账户,将你踢出账号,并继续诈骗你的其他联系人。
安省居民一夜损失5.5万
在安省过去的案例中,这类攻击往往会导致受害者被彻底锁定在包括邮箱、银行 app 在内的多个数字账户之外。
今年 2 月,彼得伯勒(Peterborough)警方曾发出警告,一位 Trent Lakes 居民报案称,其账户被黑客盗走数万加元。受害者被假冒手机服务商的骗子诱导,主动把验证码交了出去。
不久后,这位居民的电子邮箱和手机都被黑,设备失效。之后银行账户被非法访问,账户里约 5.5 万加元被盗走。
专家解读:这其实是“SIM卡劫持”
加拿大网络安全专家 Ali Dehghantanha 表示,根据受害者向警方描述的经过,这类骗局很可能属于 SIM 卡调换诈骗(SIM-swap fraud)。
“在这类骗局中,骗子并不是直接黑进你的手机,而是夺走你的手机号控制权,用来拦截验证码,重设电子邮箱和银行账户密码。”Dehghantanha 解释道。
流程大致如下:
- 黑客提前掌握你的个人信息(可能来自数据泄露)
- 冒充你联系运营商
- 谎称“手机丢了”,要求更换SIM卡
- 系统发送验证码验证身份
- 骗子诱导你提供验证码
- 你的手机号被转移到他们的SIM卡上
结果:
- 你的SIM卡失效
- 骗子接收所有验证码
- 所有账户被重置密码
专家强调,在这种情况下,多重身份验证(MFA)本身没有被破解,而是人被“骗”了。
“最薄弱的环节,永远是人。”
如何判断你可能已经被攻击?
出现以下情况要高度警惕:
- 手机突然无信号
- 无法登录账户
- 出现异常登录记录
- 收到运营商异常通知
一旦发生,立刻联系手机运营商和银行。
如何保护自己?
- 接到银行/运营商电话或短信时保持警惕
- 不要直接提供验证码(这是底线)
- 挂断后,通过官网电话自行核实
- 尽量使用 App 验证(如Authenticator)或硬件安全密钥
- 优先保护邮箱账户=所有账户的“总钥匙”
