“请勿向任何人透露此代码!”当涉及到一次性代码和密码时, 这个建议看起来不言自明, 几乎用不着反复重申。然而…
礼貌请求帮助
我们最近遇到了这样一个网络钓鱼骗局。有人收到内容大致如下的短信:
“你好, 你不认识我, 但你用的电话号码以前是我的。我在尝试登录与此号码关联的旧帐户, 但该帐户通知我说会以短信方式把验证码发送到此号码。你愿意把验证码告诉我或者转发给我吗?如果不愿意就算了。”
没错, 如果你的电话号码长时间不用, 移动运营商很可能会回收此号码, 然后出售给其他人。所以你的电话号码可能曾经有其他机主, 这是可能的, 尤其是你最近刚刚拿到注册这个号码。许多人都知道这一点。
该请求的措辞很礼貌, 看起来十分有说服力。好心人喜欢有礼貌的人, 而且提出的要求看起来也合情合理, 所以很可能他们会同意这样做。机主收到验证码后, 会将其发送给提出礼貌请求的对方, 他们会对此表示深深的感谢。然而, 好心的撒玛利亚人实际上是把对自己帐户的访问权拱手送予他人。
真相
可以肯定的是, 真正用过你现在号码并需要你帮助的人发来信息的可能性极低。几乎不太可能。更可能的一个解释是这是网络钓鱼骗局。下面我们将描述这一切是如何发生的。
在网络空间中, 攻击者发现一个电子邮件地址(你的地址)与一个电话号码(也属于你)关联在一起。如果您在或者以前在雅虎、Twitter或LinkedIn(或者在最近用户数据遭到泄露的数百个不太有名的服务之一)上拥有帐户, 那么发现哪个电话号码与你的电子邮件相关联是很容易的事。
攻击者首先会窃取你的电子邮件。为此, 他们需要重置密码。但他们在尝试重置密码时, 服务会通过短信方式把验证码发送到与帐户关联的电话号码, 确认试图重置密码的是帐户所有者。
但在采取这一步骤之前, 骗子会给你发一条类似于上面内容的感人短信。验证码的有效期只有几分钟, 所以网络犯罪分子需要以这样的方式来打动你, 让你毫不延迟地向他们发送验证码。
有权访问您的电子邮件后, 攻击者就可以重置与地址相关联的所有帐户的密码 – 社交媒体、其他邮件服务、网络钱包等。密码重置的链接会发送到该电子邮件地址, 瞧!现在网络犯罪分子 – 而不是你 – 有权访问你的所有账户。
这就是为什么不应该向任何人透露以短信发送的验证码的原因, 不管你收到多么恳切的帮助请求。只要透露一个验证码, 就可能会使你网上的所有帐户被锁定。