王杨 新华社等媒体都报道了一种新型诈骗方式——手机“副号”钓鱼骗局。一位何姓先生的手机号莫名其妙成为别人的“副号”，一夜间被盗刷5万元。此类利用短信验证码的骗局实在需要好好揭露一番——

　　1冷门业务的“后门”+黑市买到的个人信息资料=能转走钱的短信验证码，骗子就这样拿走了钱。

　　2不上当，求自保，切记“四不”——不乱给验证码，不乱回复Y，不乱点短信链接和不乱下程序。

　　手机“副号”——能够彻底获取陌生手机号短信的冷门业务

　　手机“副号”究竟是个“什么鬼”？看到这则新闻后，许多人都会心生这样的疑问。它并不是大家熟悉的家庭亲情号或者企业内部号，主打特定人群间打电话有优惠。而是一种新兴的业务，大概从2015年12月才开始兴起的。它是用来干嘛的呢？看下面这个广告就明白了——

“副号”的相关宣传，它主打的是保护隐私，避免骚扰

　　现代社会，在各处办业务都少不得留个手机号。手机号曝光之后，免不了收到大量的营销信息乃至诈骗短信。“副号”的作用是防骚扰，给用户一个清静的空间。发布网络信息或者对外留联系方式的时候，留“副号”，而与之绑定的主号可以收到副号的信息、电话。可以说，初衷绝对是好的，也是一块很有潜质的业务。

　　然而好归好，在一些通信商那里却留着“后门”——1.两个不同机主信息的号可以自由绑定在一起；2.当“副号”一关机，所有的短信、电话都可以涌向“主号”。

何先生的手机号被骗子“接管”了将近两天

　　两个“后门”便为一些不法之徒利用了。以这位何先生为例，整个诈骗的过程是这样的——1.骗子首先购买大量的手机号码、身份证信息、银行卡资料，圈定范围。2.骗子给这些圈定的用户大量地发送请求其手机号为“副号”的短信来钓鱼。3.何先生稀里糊涂回了个Y，成为“副号”，中招。4.何先生的手机关机（可能是夜间睡觉主动关机，可能是被“主号”手机控制关机，也可能是被攻击关机……原因多样），所有发到何先生手机号上的信息都跑到了骗子所持有的“主号”上。5.骗子利用已经掌握的银行卡等信息，再配合第三方支付和短信验证码，成功刷走五万。

运营商为“副号”业务提供了非常“贴心”的功能，却容易被别有用心者利用

　　类似的冷门业务还有“自助换卡”，也一不小心就成为骗子的“后门”

　　央视报道过的小许要比何先生更倒霉，被转光了所有的积蓄。骗子利用的是一个叫“自助换卡”的冷门业务。该服务的核心精神是，让顾客不用去营业厅，通过在官网申请就可以4G新卡换旧卡，新卡生效之时便是旧卡作废之日。相当于号码都被人劫持了，里面的转款验证码自然随便用。

　　“自助换卡”的路径之一是原号码的主人在官网上输入手机收到的验证码。骗人的步骤如下：1.首先买到当事人的个人信息，其中可能包括运营商官网的登录密码。2.登录官网后，为当事人订一个增值业务制造恐慌情绪。3.向当事人的手机发送假消息，表示如果要退订服务的话要回复验证码。4.以极快地速度利用冒充的官方号发送当事人办理“自助换卡”的验证码。5.当事人在对乱扣费的增值业务恐慌之时，极易上钩，把“自助换卡”的验证码当作补卡验证码发过去。6.接下来骗子已经控制住当事人的手机号了，自然为所欲为。

　　应该说，这些冷门业务确实提供了便利。但是由于在流程设置时未能充分地考虑防诈骗的问题，给予了一些骗子很大的“后门”。真是弄巧成拙。

　　冷门业务的“后门”+黑市买到的个人信息资料=能转走钱的短信验证码，骗子就这样拿走了钱

　　要想骗走钱，有一个前提——掌握被骗者的身份证号码、银行卡号码和密码等个人信息。由于个人信息泄露严重，这些信息非常容易便可以在黑市上买到。去年，南都曾经做过一个非常详尽的调查报道，只花了700元，记者便买到了同事几乎所有的隐私信息，包括四大银行存款记录、手机实时定位、手机通话记录等等。

　　个人信息泄露和贩卖如此严重的情况下，骗子很容易便能上手了。而通过短信验证码来转款，又是其中最便捷的获利手段之一。骗子不用编写大段大段的谎言，也不用亲自打电话，甚至还不用等被骗者去ATM机或者银行柜台转款，嗖地一下，钱就划走了。

　　因为在移动支付时代，手机动态验证码成为许多平台的主力验证方式。尽管不少的专家也在质疑它存在漏洞、隐患，但是还找不到更好的替代。这里大致总结一下利用短信验证码诈骗的模式——

　　不上当，求自保，切记“四不”——不乱给验证码，不乱回复Y，不乱点短信链接和不乱下程序

　　防不胜防也得防。短信验证码诈骗中，手机运营商、第三方支付平台等都很难撇清自己的责任。而庞大的个人信息贩卖黑市，则从个人信息泄露到贩卖再到利用，是一条特别完整的黑色链条，要打击它，涉及方方面面，在此不赘述。

　　单就验证码问题而言，手机运营商和第三方支付平台提供便利服务当然是好事情，没有因噎废食的必要，只是有两点常见漏洞需要弥补：1.尽到详尽提示的义务，有的短信只说“您的验证码是XX”，而不说明具体这个验证码是拿来做什么的，自然有误导性。2.尽到查验身份的义务，既然手机都实名制了，就不应该随便两个没有关系的手机便能绑定主副号，也不应该随随便便，不验证身份卡就换了。

　　当然，个人信息贩卖猖獗的情况下，个人必须要求自保，得记住四个要点：不乱给验证码（给出去别人便可能控制你的手机号或者成功转款），不乱回复Y（表示同意办理业务），不乱点短信中的链接（有可能一点就感染了病毒）和不乱下载程序（有可能装了盗取信息的木马）。

　　利用个人信息诈骗，实在是花样百出。而验证码又是骗钱手段中非常重要的一种。在呼吁打击个人信息黑色链条和加强运营商、支付平台责任的同时，针对个人的重要事情也要说三遍：不要乱给验证码，不要乱给验证码，不要乱给验证码。