网友亲测“短信回复TD退订”：结果悲剧到家！

收到不想要的短信资讯，回复TD退订的经历很多人都有过。但90后网友merci却因为这一操作，致使三张银行卡里的数万元存款三小时内陆续被转走。

近日，一名北京网友发布的“为什么一条短信就能骗走我所有的财产？”的文章在网络广为传播。据网友爆料，他在收到一条“订阅增值业务”的短信，根据提示回复了“取消+验证码”之后，半天之内支付宝、银行卡上的资金被席卷一空。

到底是什么样的电信诈骗手段完成了这一卑劣的盗窃行为呢？

“在知道自己损失了几乎所有现金之后，我的内心是无比崩溃的。”这名网友写道，从一条短信开始自己“一夜之间，支付宝、所有的银行卡信息都被攻破、所有银行卡的资金全部被转移。”对此，有关安全专家表示，这是一起典型的综合利用“个人信息+ USIM补换卡+改号软件发送诈骗短信”的电信诈骗案件。

回复短信“TD”退订引发“噩梦”

“4月8日，周五，下班回家地铁上。我的手机忽然收到一条短信：显示来源为‘1065800’的号码发来了一条短信杂志，这种垃圾杂志看多了，我第一反应是回复‘TD’。该短信回复我‘发的指令不正确’。”

文中信息显示，随后该用户相继收到显示为“10086”，以及“10658139013816280086”发来的信息，提示已开通“中广财经半年包业务”，“如需退订请编辑短信‘取消+校验码’至本条短信退订”。而在另一条显示来源为“10086”的信息中，该用户收到“尊敬的客户，您的USIM卡6位验证码为******”。此时，我只想快点退订这个破业务，压根儿不知道USIM卡验证码是什么，于是回复了“取消+******”。

此后，这名网友的支付宝、支付宝所绑定的招商银行账户，以及工商银行账户陆续发生转账。甚至，在该用户紧急将支付宝的银行卡解绑之后，“我马上检查我的网银。然后我悲伤地发现，我的中国银行、招商银行网银根本登不上，密码已经被篡改了。而我能登上的工商银行卡网银，一查交易明细，网银此时竟也在发生转账。”

“时间太短。”该网友写道，银行要打进客服电话，“所有卡都挂失完成，已耗去大半小时，一切为时晚矣。我知道，此时，我支付宝和银行卡里所有的钱都没了……”

这名网友第二天到各个营业厅打印交易流水确认“两张卡都已空空如也。”更确认对方“不但攻破了我支付宝的账号，连各个银行的网银也逐个攻破”，包括163邮箱密码也被篡改。其间还包括，“对方”在该用户完全不知情的情况下，将“我的三张银行卡都绑定关联了百度钱包”，用于转账。

该网友文中称，“被问及需要哪些信息才能把我的卡关联百度钱包时，客服说‘银行卡信息、姓名、身份证号、手机号、验证码’。而我如今仍不明白，他是如何搞定我这些信息的。至今仍不明白。”该网友表示，当晚已向警方报案。

移动已确认办理“短信业务”IP在海口

昨日下午，北京移动在核查之后就上述事件给予回复说明，并通过官微进行了公布。北京移动表示，经公司内部查证，获知相关情况如下：2016年4月8日17时54分，手机号码152****1249通过静态密码（客户自设密码）方式，登录北京移动官方网站，经网站弹屏二次确认后，办理“中广财经半年包”业务，IP地址显示登录地点为海南海口；18时13分，手机号码152****1249以同样方式登录网站办理更换4G USIM卡业务。系统向客户本机下发换卡二次确认验证码（6位USIM验证码），该验证码被输入后，换卡成功。前后过程仅用了19分钟。

北京移动指出，以上业务办理流程正常。公司将积极配合有关部门，提供相关证据，进行后续查证。同时提醒客户：为保护您的财产安全，请妥善保管并定期修改网站登录密码和客服密码；请勿将系统下发的业务办理验证密码转发和泄露给他人；如收到不知情业务开通短信，请发送短信“0000”到10086查询及退订所订购的业务，有疑问可进一步致电10086咨询。

事件发生后，支付宝的相关人士表示在跟进中。根据事主写到的，支付宝目前已经赔付一笔在支付宝上非用户本人操作的充值行为以及非本人操作转账行为带来的手续费。另外，支付宝已经承诺在事主提交相关材料，并且在保险公司审核后，有可能会全款赔付。

机主实际上配合别人完成远程“补卡操作”

专业人士分析认为，上述案例信息中提及的“USIM卡验证码”是整个事件的关键之一。

“为什么犯罪分子要如此大费周章？就是首先要设置圈套，骗取用户的验证码。”分析认为，案例情况很有可能是犯罪分子通过登录机主的网上营业厅，先提交订阅申请，之后利用机主着急退订的心理，紧接着发来钓鱼短信，诱使机主回复“取消+验证码”，套取了系统下发给用户的真实的验证码。之后又申请了换卡，进而确认验证码换卡成功，而后再发生更为严重的网银资产的盗取。

根据该网友披露的信息，用户的手机卡被别人补办，机主遭遇了电信诈骗中的“补卡攻击”。从客观效果来看，相当于机主配合“别人”完成了手机的补卡操作。机主的手机卡实际已经在别人的手上，在这样的情况下，就很有可能引发一系列的网银被盗问题。

电信运营商称不会做任何赔偿

作为电信运营商方面的中国移动相关人员在电话里明确告知当事人，不会做任何赔偿。

Merci提出质疑：1、他已很久不登陆移动官网，甚至忘记上次登陆的时间，骗子为何如此简单便破解密码？2、为何换卡的流程过于简单，只有一个验证码就能复制走号码？

对此，安全专家陆兆华分析认为，用户常用的密码很可能多个平台重复使用，某一个网络平台的资料和密码丢失之后，诈骗分子很可能会采取撞库的形式通杀其他平台的帐号密码，除此之外，一些黑产非法交易、第三方网络平台存在漏洞都有可能泄露，即个人信息的泄漏是有很多种可能性的，不一定就是移动官网自身泄露的。

对于merci提出的第二点质疑，陆兆华称，卡与卡之间通过验证码复制的安全性是依赖一定的条件，因为卡与卡之间是属于死物，在营业厅面对面的换卡下是相对安全的。如果是远程空中复制，鉴于发案的严重性，运营商的确需要思考如何加强这方面的验证门槛。到底谁应为此事负责？一切还有待于警方的调查结果。