驗(yàn)證碼也能騙錢？新型釣魚(yú)專坑手機(jī)話費(fèi)

你以為在證明"我是人類"，實(shí)際上正在給騙子打工。這種新型詐騙不用裝軟件、不偷密碼，單靠一個(gè)假驗(yàn)證碼頁(yè)面，就能讓你的手機(jī)賬單憑空多出幾十美元。

騙局拆解：驗(yàn)證碼背后的國(guó)際短信陷阱

網(wǎng)絡(luò)安全公司Malwarebytes的研究員Pieter Arntz最近追蹤到一個(gè)長(zhǎng)期運(yùn)行的詐騙活動(dòng)。它的核心設(shè)計(jì)極其簡(jiǎn)潔——完全利用用戶對(duì)驗(yàn)證碼的習(xí)慣性信任。

詐騙流程從惡意廣告或流量分發(fā)系統(tǒng)（Traffic Distribution System，一種自動(dòng)化跳轉(zhuǎn)技術(shù)）開(kāi)始。很多用戶是被"域名仿冒"（typosquatting）騙進(jìn)來(lái)的——比如想訪問(wèn)某電信運(yùn)營(yíng)商官網(wǎng)，卻點(diǎn)進(jìn)了拼寫(xiě)極其相似的假域名。

頁(yè)面看起來(lái)毫無(wú)異常：選紅綠燈、點(diǎn)斑馬線，或者做一道簡(jiǎn)單選擇題。但當(dāng)你按下"繼續(xù)"按鈕時(shí)，手機(jī)自帶的短信應(yīng)用會(huì)自動(dòng)彈出，收件人和內(nèi)容都已經(jīng)填好。

這才是真正的攻擊點(diǎn)。整個(gè)"驗(yàn)證"流程包含多個(gè)步驟，每走一步，你的手機(jī)就會(huì)向十幾個(gè)國(guó)際號(hào)碼發(fā)送短信。這些號(hào)碼分布在17個(gè)國(guó)家，包括阿塞拜疆、緬甸、埃及等以高額短信終止費(fèi)著稱的地區(qū)。

單次交互可能產(chǎn)生約30美元的國(guó)際短信費(fèi)用。沒(méi)有惡意軟件，沒(méi)有設(shè)備入侵，賬單上的數(shù)字就是全部損失。

正方觀點(diǎn)：技術(shù)設(shè)計(jì)精妙，利用了系統(tǒng)級(jí)漏洞

這套騙局的高明之處在于"借力打力"。攻擊者沒(méi)有試圖突破手機(jī)的安全機(jī)制，而是直接調(diào)用系統(tǒng)原生功能。

預(yù)填充短信+預(yù)加載收件人列表，這是手機(jī)操作系統(tǒng)提供的標(biāo)準(zhǔn)接口。任何網(wǎng)頁(yè)都可以通過(guò)特定代碼觸發(fā)短信應(yīng)用，就像分享功能一樣常見(jiàn)。詐騙者只是把這項(xiàng)"便利功能"變成了提款通道。

更隱蔽的是收益鏈條。國(guó)際短信存在"終止費(fèi)"機(jī)制——當(dāng)短信從A國(guó)運(yùn)營(yíng)商發(fā)送到B國(guó)運(yùn)營(yíng)商時(shí)，B方會(huì)收取一筆費(fèi)用。某些地區(qū)的終止費(fèi)被人為抬高，形成灰色利潤(rùn)空間。攻擊者與當(dāng)?shù)剡\(yùn)營(yíng)商或中介簽訂收入分成協(xié)議，每發(fā)一條短信，就能從這筆費(fèi)用中抽成。

這種模式下，詐騙者甚至不需要直接接觸受害者。他們搭建假頁(yè)面、購(gòu)買流量、接入分成網(wǎng)絡(luò)，剩下的由電信計(jì)費(fèi)系統(tǒng)自動(dòng)完成。

頁(yè)面設(shè)計(jì)也充滿心理操控。后退按鈕劫持（back-button hijacking）用JavaScript篡改瀏覽器歷史記錄，讓用戶按返回時(shí)只是刷新騙局頁(yè)面，而非離開(kāi)。這種"軟囚禁"延長(zhǎng)了用戶停留時(shí)間，增加了完成全部步驟的概率。

從犯罪經(jīng)濟(jì)學(xué)角度看，這是典型的規(guī)模化輕資產(chǎn)操作：?jiǎn)斡脩羰找娌桓撸s30美元），但獲客成本極低（依賴自動(dòng)化流量 redirect），且法律追溯困難（跨國(guó)電信計(jì)費(fèi)鏈條）。

反方觀點(diǎn)：用戶警覺(jué)性不足才是主因

另一種解讀將責(zé)任指向用戶端。驗(yàn)證碼確實(shí)無(wú)處不在，但"短信應(yīng)用自動(dòng)彈出"這一異常信號(hào)，理論上應(yīng)該觸發(fā)警覺(jué)。

普通驗(yàn)證碼從不要求用戶發(fā)送短信。點(diǎn)擊類驗(yàn)證（選圖片、點(diǎn)按鈕）和通信類操作（發(fā)短信、打電話）屬于完全不同的權(quán)限層級(jí)。后者涉及運(yùn)營(yíng)商計(jì)費(fèi)，前者只是網(wǎng)頁(yè)交互。

預(yù)填充收件人列表更是明顯異常。任何要求你向陌生號(hào)碼發(fā)送短信的"驗(yàn)證"，本質(zhì)上都是在索取財(cái)務(wù)授權(quán)。

后退按鈕失效也是可識(shí)別的技術(shù)異常。正常網(wǎng)頁(yè)不會(huì)劫持瀏覽器導(dǎo)航功能，這種體驗(yàn)斷裂本身就是警示信號(hào)。

從這一視角看，詐騙的成功依賴于用戶對(duì)界面流程的"自動(dòng)駕駛"狀態(tài)——習(xí)慣性點(diǎn)擊、不閱讀、不質(zhì)疑。30美元的損失，買的是一次注意力管理的教訓(xùn)。

防御層面，用戶完全有能力阻斷攻擊：關(guān)閉網(wǎng)頁(yè)短信自動(dòng)填充權(quán)限、對(duì)異常跳轉(zhuǎn)保持警惕、定期檢查賬單明細(xì)。這些措施不需要技術(shù)背景，只需要改變"驗(yàn)證碼=無(wú)害"的心理預(yù)設(shè)。

判斷：系統(tǒng)漏洞與用戶盲區(qū)共同構(gòu)成攻擊面

兩種觀點(diǎn)都有事實(shí)支撐，但單獨(dú)成立都會(huì)失真。

技術(shù)視角準(zhǔn)確指出了攻擊的結(jié)構(gòu)性基礎(chǔ)。電信計(jì)費(fèi)系統(tǒng)的收入分成機(jī)制、國(guó)際短信終止費(fèi)的定價(jià)差異、網(wǎng)頁(yè)調(diào)用原生應(yīng)用的權(quán)限設(shè)計(jì)——這些不是"漏洞"，而是被惡意利用的正常功能。攻擊者像會(huì)計(jì)師一樣研究全球電信資費(fèi)表，找到成本與收益的最優(yōu)解。

但用戶視角的批評(píng)也有盲點(diǎn)。要求普通網(wǎng)民識(shí)別"后退按鈕劫持"的技術(shù)實(shí)現(xiàn)，或理解"國(guó)際短信終止費(fèi)"的商業(yè)模式，是不現(xiàn)實(shí)的。界面設(shè)計(jì)的核心原則之一就是降低認(rèn)知負(fù)荷，而這套騙局恰恰利用了優(yōu)秀設(shè)計(jì)的副產(chǎn)品——用戶的信任慣性。

更準(zhǔn)確的框架是：攻擊面由系統(tǒng)特性與用戶行為共同構(gòu)成，缺一不可。

沒(méi)有電信計(jì)費(fèi)系統(tǒng)的分成機(jī)制，詐騙無(wú)法變現(xiàn)；沒(méi)有用戶對(duì)驗(yàn)證碼的條件反射式信任，轉(zhuǎn)化率會(huì)大幅下降。Pieter Arntz追蹤的這個(gè)長(zhǎng)期運(yùn)行活動(dòng)，正是在這兩個(gè)條件的交集處持續(xù)收割。

這揭示了一個(gè)更廣泛的威脅趨勢(shì)。傳統(tǒng)網(wǎng)絡(luò)犯罪依賴惡意軟件感染或憑證竊取，需要突破設(shè)備防御或欺騙用戶交出敏感信息。新型攻擊則轉(zhuǎn)向"功能濫用"——完全使用合法接口、正常權(quán)限、標(biāo)準(zhǔn)流程，只是組合方式服務(wù)于非法目的。

防御邏輯因此需要調(diào)整。技術(shù)層面，操作系統(tǒng)和瀏覽器可以考慮增加敏感操作的確認(rèn)層（如短信發(fā)送前的二次授權(quán)）。用戶教育層面，重點(diǎn)不是記住具體詐騙手法，而是建立"異常即停"的反應(yīng)模式——任何偏離預(yù)期流程的步驟，都值得暫停核實(shí)。

對(duì)企業(yè)安全團(tuán)隊(duì)而言，這類攻擊也有啟示。員工培訓(xùn)常聚焦釣魚(yú)郵件和惡意附件，但"功能濫用"型威脅需要不同的檢測(cè)思路：關(guān)注異常流量模式、監(jiān)控非標(biāo)準(zhǔn)域名訪問(wèn)、分析用戶行為序列中的斷裂點(diǎn)。

你的下一步

現(xiàn)在打開(kāi)你的手機(jī)設(shè)置，檢查瀏覽器權(quán)限中是否有"自動(dòng)發(fā)送短信"或類似選項(xiàng)。如果存在，考慮關(guān)閉它——這是你能在30秒內(nèi)完成的有效防御。

下次遇到驗(yàn)證碼頁(yè)面時(shí)，給自己設(shè)定一個(gè)3秒延遲：先確認(rèn)這是當(dāng)前網(wǎng)站應(yīng)有的步驟，再點(diǎn)擊任何按鈕。如果短信應(yīng)用意外彈出，立即鎖屏或強(qiáng)制關(guān)閉瀏覽器，不要完成發(fā)送。

月底查賬單時(shí)，多花一分鐘掃一眼短信費(fèi)用明細(xì)。30美元的異常在當(dāng)月發(fā)現(xiàn)，追回的可能性遠(yuǎn)高于數(shù)月后的申訴。

這些動(dòng)作不改變?nèi)魏蜗到y(tǒng)漏洞，但會(huì)把你移出攻擊者的目標(biāo)集合。在功能濫用型威脅面前，"不值得攻擊"往往比"無(wú)法攻擊"更實(shí)際。