回复短信就中招！手机“副号”成诈骗新目标

冒充熟人借钱，冒充公安局、检察院、法院人员查案，短信、二维码中暗藏木马链接……这些骗术，想必大家都有了免疫力，但是你知道吗？一些你闻所未闻的电信业务，也开始成为骗子设置的新陷阱！

“副号”的相关宣传，它主打的是保护隐私，避免骚扰。

如果手机收到了办理添加“副号”业务的短信，务必不要着急回复，因为您的手机号码可能被犯罪分子盯上了。春节期间，深圳市民何先生就发现自己手机号码被锁定，同时，某购物平台账户遭陌生人盗刷，犯罪分子通过互联网信贷消费和申请贷款，一夜间洗劫了他5万多元。

不用身份证、不用银行卡，连真实姓名都无需知道，钱就这样不翼而飞了。

“副号”到底是什么？很多人首先会联想到“亲情号”，但“副号”和“亲情号”并不是一回事。

亲情号通常指不同机主、不同号码，为了彼此之间通话更便宜而开通的话费套餐。

副号则是由运营商提供的“一卡多号”业务，在不换手机、不换SIM卡的基础上，用户可以增加最多3个真实手机作为副号。

 主号只要编辑短信 "KT 手机号码 " 发送给运营商，该手机号码会收到一条来自运营商的确认短信，回复 Y 就会成为副号。

当副号关机时，电话和短信都会被主号接管。

何先生的手机号是怎么成为犯罪分子的“副号”的呢？

案情回顾

第一步：买料。犯罪分子在网上购买泄露的姓名、银行卡号、身份证号和预留手机号，俗称为“四大件”。

第二步：钓鱼。犯罪分子向已经掌握了银行卡信息的用户，发起绑定副号的业务申请，以广撒网的方式寻找作案对象。如果有人不慎回复 Y，就会上钩成为副号。

第三步：强迫关机。由于主号只有在副号关机的情况下才能接管短信，犯罪分子这时一般会采用两种手段，一是利用短信轰炸强迫目标把手机关机，二是利用手机云服务，对手机进行远程操作。

第四步：空手套白狼。利用主号收到的短信验证码，犯罪分子对手机号码绑定的网购账户进行洗劫。

花样叠出，防不胜防！对于这类诈骗来说，在接到各类短信通知后，一定要看清短信内容，不可随意回复。

短信保管服务也不安全

被钻空子的电信类业务还不止手机副号，一种名叫短信保管的业务也不太安全。

短信保管业务开通后，便可以在运营商的服务器上保存你的手机短信，现在，不少手机厂商的云服务也在做同样的事情。然而，这却是个暗藏危险的功能。

犯罪手法

第一步：撞库，获取各类账户信息。所谓“撞库”，就是利用软件对高概率数字序列进行尝试，利用这种简单粗暴的方法，用户的网络身份、网银账号、手机营业厅等账户便一览无遗。

第二步：开通短信保管和短信拦截业务，获取验证码。这是最关键的一步。开通这一业务后，保证登陆安全的动态验证码就顺利成了犯罪分子的囊中之物。

第三步：开通实体SIM卡。此时，犯罪分子就可以伪装是受害人，在网上营业厅申请4G换卡业务。为了便民，有些运营商会直接就可以把卡快递到指定地址。

大家知道，许多重要服务都依赖手机验证，如果你将手机短信同步备份到服务器上，就增加了暴露机会，一旦网上营业厅服务密码被盗，或云服务登录权限被盗，就等于在“裸泳”。

据京东金融安全专家介绍，不法分子首先利用猖獗的黑产交易，获得涵盖用户姓名、银行卡号、身份证号以及银行预留手机号等的个人敏感信息，俗称为“四大件”。然后，利用运营商主副号绑定业务不验证实名一致性的漏洞，将受害者手机号绑定为副号，一旦你误回复，就上钩了。不法分子进而接管受害者手机号，劫持银行卡交易的短信验证码，然后通过一系列复杂手法完成对受害者账户的资金窃取。

“此手法属跨平台作案，涉及到运营商、手机云服务商、银行、第三方支付平台、消费金融服务方，行业需要联防联控，筑高防护壁垒。”安全专家建议，尽量不要去注册小型不安全的网站，避免个人信息被盗用；保护好自己的手机号，用户手机号所属的运营商也是黑产交易的活跃点，运营商服务密码一定要牢记，不要透露给别人；如果手机出现无故停机状况，建议第一时间联系手机运营商，切莫忽视手机异常，谨防手机号被不法分子控制。

防范电信诈骗，我们可以做这些：

1. 静态密码设置一定要复杂。密码设置得复杂一点，让攻击者没有那么容易，攻击者一般都喜欢找容易破解的用户。

2. 遭遇“干扰信息”仔细甄别，莫慌张。每个人手机上，可能都会出现过各种的干扰信息，大家要对各种"运营商"、"银行"等身份的手机短信，和来电进行认真甄别，冷静应对。

3. 手机离奇“瘫痪”，紧急“挂失”当先。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于"信息孤岛"时，冒名顶替机主身份窃取账户。

4. 短信验证码不能告诉任何人！运营商只会单向地告诉你验证码是多少，不会要求你把验证码再次发送给它，任何问你要验证码的都是骗子。

切记！

收到有疑问的短信，

一定要第一时间打电话询问客服，

千万别根据短信操作！！

来源 北京日报

编辑 桂桐