最近，一篇受害人自述被骗经历的长文在网络上广为流传。作者称，由于回复了一条短信，他的支付宝、银行卡以及百度钱包里所有的资金一夜之间被“洗劫一空”。之所以受害人的所有账户被“全线攻破”，是因为除了个人信息这把“钥匙”早已泄露外， “双因子认证”的第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。

—

近年来，在个人信息泄露交易愈发猖獗的大背景下，单一的静态信息如账号、密码已经不能保证各类身份验证，尤其是在线支付的安全。举个栗子，就是“你爸自己说他是你爸”这把“钥匙”已经不安全了，必须用随着时间、事件等因素随机产生的一次性密码再加上“另一把钥匙”，同时拥有“两把钥匙”的人才能证明“你爸是你爸”。而这把“新钥匙”从最初的U盾、令牌开始，越来越多的“集成”到了智能手机上，“短信验证码”已经成为如今在线支付“双因子认证”的“必选项”。

我们在互联网交易中一定会涉及到身份认证，打个比方，就是所谓的证明“你爸是你爸”的过程。

什么叫“双因子认证”？

双因子认证（Two-factor authentication）是一种验证形式，又被简称为TFA、T-FA或者2FA，其要求采用两种以上的认证因素来进行验证。双因子认证技术致力于通过多重验证方式减少用户在数据请求过程中所遭遇到的风险。

因子包括密码、信用卡、手机号、口令纸卡、动态口令卡、U盾、指纹、短信验证码等。

双因子认证不是一个新的概念。当我们在银行自动提款机上取钱时，就已经应用到了双因子认证技术。在这一过程中，第一个认证因素是用户的储蓄卡或者信用卡（除无卡存款），第二个认证因素则是用户所输入的密码。

移动互联网时代，网上银行、支付服务商在转账过程中为了提高用户体验度，往往将双因子认定为“支付码（取款码）+短信验证码”，甚至某些支付渠道的更改支付密码过程仅仅通过验证码就可完成。

了解了这个，或许你认为手机能保管好，安全就得到保障。毕竟很多的案例都是手机遗失后通过短信修改了支付密码、在网站进行快捷支付。但是，你忽视了不法之徒是社会工程学、心理学专家。

“欺诈短信”花样翻新？

这个案件源自一条欺诈短信。为实现方便快捷的更换服务（多为4G卡推广服务），用户可在线提交申请实现换卡。流程如下：

申请白卡→老卡手机发送申请给10086→新卡收到确认码回复→写入新卡→老卡作废。

如果不法分子通过仿冒短信通知你发送XXX给10086：

看到此类短信，你很可能会回复。因为①毕竟是回复给10086嘛 ②很多新业务对于用户是盲区，并没有多少人知道一个短信能一分钟内实现两卡互换。

经过了这一系列的操作，此手机的真正主人曾经绑定所有银行卡、所有支付客户端从此全部易主，接下来面临的一定是全面遭遇洗劫！

看到上述案例你一定很紧张，马上去翻看短信了。但是真正实现还需要一个步骤，不法分子首先得能够用你的手机号和密码登录上你的移动官网。

他们用掌握的社工库、各种钓鱼网站得到的密码尝试登陆各类网站，除了移动官网，一定还有电商、社交、O2O等主流网站，一旦匹配成功，就会在你的账户里展开丰富的探索历程，这些过程就是利用了扫号撞库的工具。

什么是“撞库”“扫号”？

所谓“撞库”和“扫号”，都是网络黑产专用术语。跟它相关的，还有“拖库”。

简单来说，拖库就是黑产从业者用技术手段入侵一些安全防范不是很高的中小网站，取得大量的用户注册名和密码数据；然后再把这些用户名及密码跟网络银行、支付宝、淘宝等有价值的网站进行匹配登陆，这就是“撞库”。

实际操作中，黑客往往是通过专门的“扫号”软件，批量验证账号密码是否是有价值的。在现实生活中，很多用户在登陆不同网站时为了图方便好记，往往喜欢用统一的用户名和密码，所以“撞库”的人经常都会有所收获。

 —

解释了双因子认证，欺诈短信，撞库，扫号等等名词，你对花样翻新的电信欺诈是不是有了一些新的认知？如果你还懵懂，那也没关系，只要记好下面几招防骗术，在互联网世界里加强自我防范，防止被隔壁王叔叔冒充演绎“你爸不是你爸”的闹剧。

“5招”防范“验证码攻击”

一、静态密码设置一定要复杂

其次，攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、”银行”等身份的手机短信和来电进行认真甄别，冷静应对。

二、遭遇“干扰信息”仔细甄别莫慌张

每个人手机上，可能都会出现过各种的干扰信息，那么如果在我们风险意识并不是很强的情况下，很容易被这种干扰信息所误导，就会产生后续的一系列的损失。

三、手机离奇“瘫痪” 紧急“挂失”当先

另外，如果手机通讯出现瘫痪，一定要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于“信息孤岛”时，冒名顶替机主身份窃取账户。

四、短信验证码 不能告诉任何人！

最最重要的是：短信验证码不要告诉任何人！电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。

五、不要安装来路不明的应用

对于小白建议只安装手机品牌商店中的应用（起码安全性要高一些）。

从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统，构成了如今我们每个人信息和财产安全的链条。受害者小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟：所谓“好的用户体验”，就像一架天平，一头是“便捷”，而另一头是任何时候都不能忽略的“安全”，这架天平的平衡一旦打破，所有的一切都会“归零”。