北京
你以為在證明"我是人類",實際上正在給騙子打工。這種新型詐騙不用裝軟件、不偷密碼,單靠一個假驗證碼頁面,就能讓你的手機賬單憑空多出幾十美元。
騙局拆解:驗證碼背后的國際短信陷阱
網絡安全公司Malwarebytes的研究員Pieter Arntz最近追蹤到一個長期運行的詐騙活動。它的核心設計極其簡潔——完全利用用戶對驗證碼的習慣性信任。
詐騙流程從惡意廣告或流量分發系統(Traffic Distribution System,一種自動化跳轉技術)開始。很多用戶是被"域名仿冒"(typosquatting)騙進來的——比如想訪問某電信運營商官網,卻點進了拼寫極其相似的假域名。
頁面看起來毫無異常:選紅綠燈、點斑馬線,或者做一道簡單選擇題。但當你按下"繼續"按鈕時,手機自帶的短信應用會自動彈出,收件人和內容都已經填好。
這才是真正的攻擊點。整個"驗證"流程包含多個步驟,每走一步,你的手機就會向十幾個國際號碼發送短信。這些號碼分布在17個國家,包括阿塞拜疆、緬甸、埃及等以高額短信終止費著稱的地區。
單次交互可能產生約30美元的國際短信費用。沒有惡意軟件,沒有設備入侵,賬單上的數字就是全部損失。
正方觀點:技術設計精妙,利用了系統級漏洞
這套騙局的高明之處在于"借力打力"。攻擊者沒有試圖突破手機的安全機制,而是直接調用系統原生功能。
預填充短信+預加載收件人列表,這是手機操作系統提供的標準接口。任何網頁都可以通過特定代碼觸發短信應用,就像分享功能一樣常見。詐騙者只是把這項"便利功能"變成了提款通道。
更隱蔽的是收益鏈條。國際短信存在"終止費"機制——當短信從A國運營商發送到B國運營商時,B方會收取一筆費用。某些地區的終止費被人為抬高,形成灰色利潤空間。攻擊者與當地運營商或中介簽訂收入分成協議,每發一條短信,就能從這筆費用中抽成。
這種模式下,詐騙者甚至不需要直接接觸受害者。他們搭建假頁面、購買流量、接入分成網絡,剩下的由電信計費系統自動完成。
頁面設計也充滿心理操控。后退按鈕劫持(back-button hijacking)用JavaScript篡改瀏覽器歷史記錄,讓用戶按返回時只是刷新騙局頁面,而非離開。這種"軟囚禁"延長了用戶停留時間,增加了完成全部步驟的概率。
從犯罪經濟學角度看,這是典型的規模化輕資產操作:單用戶收益不高(約30美元),但獲客成本極低(依賴自動化流量 redirect),且法律追溯困難(跨國電信計費鏈條)。
反方觀點:用戶警覺性不足才是主因
另一種解讀將責任指向用戶端。驗證碼確實無處不在,但"短信應用自動彈出"這一異常信號,理論上應該觸發警覺。
普通驗證碼從不要求用戶發送短信。點擊類驗證(選圖片、點按鈕)和通信類操作(發短信、打電話)屬于完全不同的權限層級。后者涉及運營商計費,前者只是網頁交互。
預填充收件人列表更是明顯異常。任何要求你向陌生號碼發送短信的"驗證",本質上都是在索取財務授權。
后退按鈕失效也是可識別的技術異常。正常網頁不會劫持瀏覽器導航功能,這種體驗斷裂本身就是警示信號。
從這一視角看,詐騙的成功依賴于用戶對界面流程的"自動駕駛"狀態——習慣性點擊、不閱讀、不質疑。30美元的損失,買的是一次注意力管理的教訓。
防御層面,用戶完全有能力阻斷攻擊:關閉網頁短信自動填充權限、對異常跳轉保持警惕、定期檢查賬單明細。這些措施不需要技術背景,只需要改變"驗證碼=無害"的心理預設。
判斷:系統漏洞與用戶盲區共同構成攻擊面
兩種觀點都有事實支撐,但單獨成立都會失真。
技術視角準確指出了攻擊的結構性基礎。電信計費系統的收入分成機制、國際短信終止費的定價差異、網頁調用原生應用的權限設計——這些不是"漏洞",而是被惡意利用的正常功能。攻擊者像會計師一樣研究全球電信資費表,找到成本與收益的最優解。
但用戶視角的批評也有盲點。要求普通網民識別"后退按鈕劫持"的技術實現,或理解"國際短信終止費"的商業模式,是不現實的。界面設計的核心原則之一就是降低認知負荷,而這套騙局恰恰利用了優秀設計的副產品——用戶的信任慣性。
更準確的框架是:攻擊面由系統特性與用戶行為共同構成,缺一不可。
沒有電信計費系統的分成機制,詐騙無法變現;沒有用戶對驗證碼的條件反射式信任,轉化率會大幅下降。Pieter Arntz追蹤的這個長期運行活動,正是在這兩個條件的交集處持續收割。
這揭示了一個更廣泛的威脅趨勢。傳統網絡犯罪依賴惡意軟件感染或憑證竊取,需要突破設備防御或欺騙用戶交出敏感信息。新型攻擊則轉向"功能濫用"——完全使用合法接口、正常權限、標準流程,只是組合方式服務于非法目的。
防御邏輯因此需要調整。技術層面,操作系統和瀏覽器可以考慮增加敏感操作的確認層(如短信發送前的二次授權)。用戶教育層面,重點不是記住具體詐騙手法,而是建立"異常即停"的反應模式——任何偏離預期流程的步驟,都值得暫停核實。
對企業安全團隊而言,這類攻擊也有啟示。員工培訓常聚焦釣魚郵件和惡意附件,但"功能濫用"型威脅需要不同的檢測思路:關注異常流量模式、監控非標準域名訪問、分析用戶行為序列中的斷裂點。
你的下一步
現在打開你的手機設置,檢查瀏覽器權限中是否有"自動發送短信"或類似選項。如果存在,考慮關閉它——這是你能在30秒內完成的有效防御。
下次遇到驗證碼頁面時,給自己設定一個3秒延遲:先確認這是當前網站應有的步驟,再點擊任何按鈕。如果短信應用意外彈出,立即鎖屏或強制關閉瀏覽器,不要完成發送。
月底查賬單時,多花一分鐘掃一眼短信費用明細。30美元的異常在當月發現,追回的可能性遠高于數月后的申訴。
這些動作不改變任何系統漏洞,但會把你移出攻擊者的目標集合。在功能濫用型威脅面前,"不值得攻擊"往往比"無法攻擊"更實際。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
