为什么会莫名收到验证码信息（突然接收到莫名验证码）

前几天，豆瓣上一个帖子非常火。

重点是机哥看完有点心慌慌，感觉自己随时成为下一个受害者。

事情是酱紫的。一位叫「独钓寒江雪」的网友在豆瓣发帖，称他睡觉醒来，发现手机收到了 100 多条验证码短信，全是被扣款的信息。

「独钓寒江雪」这名字太拗口了，机哥就管他叫「UP 主」吧。

UP 主赶紧查了下银行卡余额，果真是被扣款了，主要是来自两个方面——支付宝和京东。

让机哥一个个来说哈，首先是支付宝。这群骗子非常聪明，居然还会“洗黑钱”这套路：用支付宝来买 Q 币，然后再转手卖掉。

除了这个买 Q 币之外，UP 主的支付宝余额、余额宝...和支付宝关联的钱,全部都被转走，一毛不剩。

重点来了，泥萌都知道支付宝有一个「盗刷险」么？

刚好 UP 主也有买，而且是自动续费，感觉这钱能够拿回来，问题不大。

问题不大才是问题最大的。

根据 UP 住提供的证明，支付宝居然拒赔。

机哥没有第一时间 diss 支付宝，想了下，的确有拒赔的理由。

要知道，支付宝在安全方面，可以说做得 hin 好。除了要知道账号密码，陌生设备登录还要通过验证码登录，最后还有支付密码这一关，想被盗刷，还是有辣么一点难度。

能通过这么多的安全验证方法几乎没有，支付宝甚至有理由怀疑 UP 主是“监守自盗，贼喊捉贼”。最离奇的一幕出现了..

UP 主明明是「自动续保」，但是有那么几分钟，保单突然就失效，过了十来分钟又重新生效。泥萌留意一哈这个时间。

幸好最后支付宝，还是给 UP 主赔付了这笔盗刷。

然而，这事还没完。

因为还有一个京东。机哥本以为京东被盗刷就是剁自己的手，帮别人买东西。

千算万想，机哥忘了白条、金条这种业务。

UP 主就被无缘无故开通白条、金条，被骗子借走一万多。

为什么机哥要说这个很扯？

因为这种借贷业务，除了手机号码，还需要本人手持身份证的照片！骗子是怎么绕过这个验证，拿到这笔钱的？

UP 主和机哥也有同样的疑问，客服的回答，也是肯定要本人手持身份证的照片。

但是 UP 主根本没有提供手持身份证的照片，那这是怎么贷出去的？最后，京东回应，帮 UP 主垫付白条和金条的费用。

但是怎么在没有手持身份证的情况下，实现借贷，至今没有答案。事情大概就是酱紫。

UP 主在收到一堆验证码之后，无缘无故就被全面盗刷。

接下来，就是机哥的戏码。短信验证这种二次确认的方法，从银行、支付宝、微信，到游戏账号、社交 App ，都在使用。

也是目前较为安全的一种二次认证方式。

如果你是魔兽的硬核玩家，在没有短信验证的那个年代，都是用这种叫将军令的玩意，来进行二次认证的。

这种东西，其实和短信验证的作用类似，即使你的账号密码泄露，但是对方没有这个二次验证码，照样无法登陆你的账号。

像各大银行也有推出过类似的玩意，U 盾泥萌总知道吧？原理也是一样的。

但这种东西实在太累赘，毕竟你会随身带手机，而不会随身带这种玩意。

So，渐渐地，短信验证就取代它们，成为主流的二次认证方式。

问题就出现在短信验证这里。目前为止，收发短信大都是在使用 2G 网络。

这种网络非常不安全，最直接的体现就是伪基站。

以往的伪基站，基本都是用来群发垃圾短信，小手一点，方圆几公里的手机，都会收到各种垃圾短信推送。而且它还能伪装成官方的手机号码，像移动的 10086，工行的 95588 等等。

套路也 hin 简单，就是告诉你中奖了，或者被盗刷了，让你点击短信里的钓鱼链接。

不过这几年，伪基站基本是一抓一个准，逮捕的逮捕，捡肥皂的捡肥皂。而且现在的人，也没那么好骗，这种钓鱼链接的获益越来越少。这不，骗子也是与时共进，搞出一个伪基站 2.0 版本。

除了有以前的伪装官方号码群发短信之外，多出嗅探功能。

这个嗅探功能 hin 简单，就是看你手机上的各种短信。

无论是你和小情人的亲昵短信，学校的录取通知，还是各种验证码短信，全部看光光。

So，UP 那天晚上收到那么多验证码，很有可能是正在被人嗅探撞库。

退一万步想，有你的手机号码，再通过短信验证的方法，登录或者修改密码，简直不要太简单。

这种低成本，空手套白狼，收益丰厚的黑产，有一条超级完整的产业链。

特别是 QQ 群，用「伪基」做关键词一搜，一大堆这样的群。

里面都是在出售是什么，相信大家心里都有数啦。

就酱紫，骗子拿到了他们所谓的四件宝——姓名、证件号码、银行卡号、银行密码。

但真正的表演，现在才开始。

拿到资料后，他们开始“洗”，和黑社会的“洗钱”差不多，他们要把这些钱通过多个渠道，把钱洗白后才能用。

So，现在你知道，为什么开头那 UP 主，会被盗刷 1000 个 Q 币了吧？

不过，这种虚拟产品，需要支付一定的手续费给中间商，并不好用。更好用的是，银行的相关产品。

这些，就是群里骗子在讨论，哪个银行的产品变现洗白最好。这是「融e联」。

工行的 e 支付。

甚至还有人做过统计，列出各大银行、支付宝、京东的单笔转账额度和单日限制。

不怕骗子没文化，就怕骗子专业化。

你大半生打拼出来的血汗钱，别人用几条短信，就能把你钱的全部转走。

So，我们能做什么？

首先，这种伪基站发出的诈骗短信，绝大部分都是通过 2G 网络发送，所以只要让短信的收发，运行在 3G/4G 网络上即可。最简单的方法就是开启「volte」。

不过并不是每部手机，每个地方都支持 volte。

如果你是 iPhone 用户，神秘通道在这里：「设置」「蜂窝移动网络」「蜂窝移动数据选项」「启用 LTE」。

安卓用户，因为系统多元化的原因，泥萌可以在手机设置里面找找。

还有，内种会同步短信的备份软件，像 QQ 备份，iCloud，以及现在各手机自带的云服务...等等，记得把短信同步功能关掉。

否则，别人只要黑掉你的账户，你收到的验证码，他们在云端就能看光光。

真滴，我们能做的就只能这么多。

2G 网络被劫持，这个问题暂时还没能解决，所以各大运营商才大力推动 4G，尽快关闭 2G 网络。

最后，保管自己的个人信息，特别是「四大件」和手持身份证的照片；如果收到奇怪的验证码短信，伪基站很有可能就在附近。

我，机哥，揭露黑产的男人。

,