警惕！被动短信验证，正被骗子利用

骗局

今天在1818黄金眼上看到一个电话骗走了5万块钱，随着安全教育的普及，骗子的手法也越来越高明，其中的过程引起了我的兴趣。

目前视频只有油管链接：

【1818黄金眼】筹来为儿子的手术费，一个电话被骗掉五万多

简单总结下骗子的手法：

1. 通过信息泄露，获取受害人的网购订单详情

2. 以商品质量问题要求退款为名，电话联系受害人，获取信任

3. 发送二维码链接，要求受害人填写个人信息

4. 随后要求受害人向中国农业银行短信发送一段字符

5. 受害人银行存款被骗

其中的过程4让我产生了疑问，为什么向银行发送短信就可以让骗子取走受害者的银行存款。

类似的短信字符如下：

MBAPACTIVATE#Xa7DzA6/vbLYLux60bXmrZyr/9cgfEWTtsrjAnKwI/I=

字符的结构应该是MBAPACTIVATE加上一串token，而前面的英文解读出来应该是手机银行的激活功能。

通过谷歌图片搜索MBAPACTIVATE关键词，发现了更多类似的短信，点击发现每一张图片的背后都是一个类似被骗的新闻。

相关新闻

老婆被骗3万4，求教大家怎么办？

好，我昨天接到一个电话，是说我快递未签收退款给我的，他就通过趣店的一个APP说退款给我

蒙城：轻信“淘宝退款”，20分钟被骗两万多！

客服”一句话，让台州一女子损失10万元_手机网易网

短信字符的作用

中国农业银行的掌上银行在更换手机号时，验证方式是用户向银行主动发送验证信息。一般情况下用户更换手机号，官方会发送一段数字验证码来确认用户的真实性，采用的是获取验证码的方式。

中国农业银行采取的是用户主动发送验证信息，这也就解释了那串短信字符的含义。所以过程4可以视为骗子在修改受害者的掌上银行绑定的手机号，而受害者无意中完成了这个验证过程，最终导致了经济损失。

延伸思考

从上面的第二则类似新闻可以看到，中国农业银行使用此种验证方式从2017就有了，而在2019年后被骗子广泛用于电信诈骗上。

对于用户主动验证方式，我认为存在安全缺陷，因此我将用骗子相似的手法来修改别人的QQ密码。

实施过程

腾讯对于用户修改密码，官方只会发送一次验证码，对于没有接收到验证码就需要用户主动向腾讯发送验证短信。腾讯重置密码过程如下：

1.填写账号

2.身份验证，需要给出该账号的绑定手机号

3.手机号验证，主动发送或被动接收

4.短信验证成功，完成修改密码

看过本公众号的朋友，应该知道，之前分析过朋友QQ号被盗最终被诈骗的文章

《遇到一个骗子，发现一个骚思路》 

实施难点有两个，已知受害人的QQ号，但无法得知该号的绑定手机号码，同时无法完成手机号验证。

QQ号获取手机号

获取手机号方法有很多，比较便捷的是使用社工库，对于长久使用的QQ号成功率很高。本次模拟的受害者的QQ号通过社工库成功查询到了手机号。

这个过程如同骗子获取到泄露的网购订单。

手机号验证

要接收腾讯的验证码来完成手机号验证基本不可能，所以使用骗子相同的手法，让用户主动完成验证。

现在HTML5可以实现浏览器辅助发送短信，其中可以帮用户填写短信内容，收信人手机号，用户只要完成点击发送的操作。

就比如网易邮箱开通POP3/IMAP/SMTP服务采用的就是扫描二维码跳转发送短信手机页面，同时已经填写了收信人和内容。可以尝试一下二维码，这是网易的跳转链接。

上述QQ密码重置代码如下:

<a href="sms:1069070069?body=CZ3384">senda> // android<a href="sms:1069070069&body=CZ3384">senda>  // ios

完整代码可以参考：h5发送短信以及判别用户浏览器版本

我们现在只要合理化发送短信的要求，获取受害者的信任，就可以实现手机号验证。

假设我已经添加受害人为QQ好友，将上述代码部署到公网，并将URL转化为一个二维码。为了合理化之后会弹出的发送短信的页面，我们可以和受害人讲这是一个中国移动（可以根据手机号选择对应的运营商）的话费赠送活动，会赠送5-100元不等的话费，只需要点击发送即可。很大概率受害人就掉入骗局了。

总结

其实，根据上面重置别人的QQ密码的方案，我是想说被动发送短信验证业务很容易被利用，因为人们普遍知道“问你要验证码的都是骗子”，所以骗子很难获取到受害人的验证码，从而无法实施诈骗。

但对于主动发送验证信息的，很多人缺少提防，容易被利用，从而造成损失。