图情范儿|警惕！被动短信验证，正被骗子利用

北京联盟_本文原题：警惕！被动短信验证，正被骗子利用
文章来源：Admin Team
骗局
今天在1818黄金眼上看到一个电话骗走了5万块钱，随着安全教育的普及，骗子的手法也越来越高明，其中的过程引起了我的兴趣。
目前视频只有油管链接：
【1818黄金眼】筹来为儿子的手术费，一个电话被骗掉五万多
简单总结下骗子的手法：

通过信息泄露，获取受害人的网购订单详情
以商品质量问题要求退款为名，电话联系受害人，获取信任
发送二维码链接，要求受害人填写个人信息
随后要求受害人向中国农业银行短信发送一段字符
受害人银行存款被骗

其中的过程4让我产生了疑问，为什么向银行发送短信就可以让骗子取走受害者的银行存款。
类似的短信字符如下：
MBAPACTIVATE#Xa7DzA6/vbLYLux60bXmrZyr/9cgfEWTtsrjAnKwI/I=
字符的结构应该是MBAPACTIVATE加上一串token ，而前面的英文解读出来应该是手机银行的激活功能。
通过谷歌图片搜索 MBAPACTIVATE关键词，发现了更多类似的短信，点击发现每一张图片的背后都是一个类似被骗的新闻。

本文插图

相关新闻
老婆被骗3万4 ，求教大家怎么办？
好，我昨天接到一个电话，是说我快递未签收退款给我的，他就通过趣店的一个APP说退款给我
蒙城：轻信“淘宝退款” ， 20分钟被骗两万多！
短信字符的作用
中国农业银行的掌上银行在更换手机号时，验证方式是用户向银行主动发送验证信息。一般情况下用户更换手机号，官方会发送一段数字验证码来确认用户的真实性，采用的是获取验证码的方式。
中国农业银行采取的是用户主动发送验证信息，这也就解释了那串短信字符的含义。所以过程4可以视为骗子在修改受害者的掌上银行绑定的手机号，而受害者无意中完成了这个验证过程，最终导致了经济损失。
延伸思考
从上面的第二则类似新闻可以看到，中国农业银行使用此种验证方式从2017就有了，而在2019年后被骗子广泛用于电信诈骗上。
对于用户主动验证方式，我认为存在安全缺陷，因此我将用骗子相似的手法来修改别人的QQ密码。
实施过程
腾讯对于用户修改密码，官方只会发送一次验证码，对于没有接收到验证码就需要用户主动向腾讯发送验证短信。腾讯重置密码过程如下：
1. 填写账号
2. 身份验证，需要给出该账号的绑定手机号
3. 手机号验证，主动发送或被动接收
4. 短信验证成功，完成修改密码
看过本公众号的朋友，应该知道，之前分析过朋友QQ号被盗最终被诈骗的文章
《遇到一个骗子，发现一个骚思路》