本报记者 陈宝亮 北京报道

　　一个不寻常的短信诈骗案迅速走红，吸引了几乎所有的手机安全公司以及电信专家为之讨论，并复盘了这一诈骗案的整个流程。

　　日前，北京移动用户许先生爆料，在4月8日下午先后收到来源为“1065800”、“10086”的短信提示机主订阅了某财经杂志的手机报，花费40元/半年，该订阅直接导致许先生欠费。误以为被运营商摊派业务的许先生想赶紧退订该业务，不料却陷入了一个精心策划的诈骗陷阱。在短信里回复了一个6位数的校验码之后，支付宝、三张银行卡、百度钱包里的所有财产被洗劫一空。

　　综合多个安全企业、电信专家的复盘情况来看，诈骗嫌疑人（下简称“嫌疑人”）在行动之前已经获取了许先生的身份证、手机号、银行卡信息、网上营业厅登陆密码，然后借助10086网上营业厅、139邮箱的官方运营商渠道骗取了许先生的校验码，完成“自助换卡”，用自己手中空白的SIM卡替换了许先生的手机卡，完成偷天换日，并使许先生的SIM卡作废。至此，在支付宝、银行的网上平台面前，此时的嫌疑人已经是许先生本人，而犯罪分子则轻而易举通过更改密码等方式转走了许先生的财产。

　　这件事被复盘之后，中国移动成为众矢之的。2015年，全国公安机关共立电信诈骗案件59万起，同比增长了32.5%。为此，国务院牵头由23部委启动打击治理电信网络新型违法犯罪工作部际联席会议制度，但仍未提及根除电信诈骗。

　　登峰造极的骗术

　　“骗子的业务水平堪称登峰造极”，多位接受21世纪经济报道记者采访的电信业专家（包括中国移动业务支撑系统规划部建设处处长宁宇、中国电信辽宁分公司业务支撑系统刘岩）认为：“估计中国移动内部大部分业务人员，都没有骗子对业务了解得透彻。”

　　这一个连环骗术中，涵盖了获取中国移动空白SIM卡、网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等五种偏门业务，除此之外，嫌疑人还精通支付宝、百度银行的改密、绑定流程。

　　在获取了许先生的手机号、10086营业厅登陆密码，以及身份证、三张银行卡信息的情况下，嫌疑人用许先生的手机号登陆北京移动10086网上营业厅，订阅了某财经杂志业务。此时，北京移动系统自动向许先生手机发出1065800、10086的订阅提示短信，并提示由于该业务支付了40元，许先生手机欠费。

　　由于过去多年间，运营商曾多次被曝光私自给用户订阅业务，用户收到此类短信时第一反应往往是吐槽运营商、然后想办法退订。

　　其后，嫌疑人登陆上海移动用户施先生的139邮箱，并通过139邮箱向许先生发送“退订业务请发送校检码”的短信，这封短信显示来源为“106581390”。记者联系到施先生，对方称“从未使用过139邮箱”，139邮箱系中国移动自动为客户开通的免费业务，但施先生的邮箱已经被嫌疑人盗用，成为作案工具。

　　收到该短信的许先生潜意识将这认为是业务退订短信。而就在此时，嫌疑人通过10086网上营业厅激活“自主换卡”业务，10086默认给许先生发出短信提示“您6位USIM卡验证码为******”。几乎没有犹豫，许先生就将这组数字回复给来源为“106581390”的短信。

　　其后，嫌疑人通过139邮箱收到这组数字，完成了网上营业厅“自助换卡”的验证环节，通过其后的操作将许先生的手机号码写入事先准备好的中国移动空白SIM卡。这种空白SIM卡摇身一变成为正式卡，而许先生的SIM卡则报废、停用，手机也自动进入“无SIM卡”状态。

　　偷天换日的嫌疑人启用这张SIM卡后，可以通过自己的手机接收所有许先生的电话、短信信息，然后配合已经获取的支付宝、银行卡账号、身份证信息，开始转移财产。而进入“无SIM卡”状态的许先生还挤在回家的地铁上，加上之前的“欠费”提示短信，并未对此产生怀疑。

　　区别于目前主流的木马、病毒、伪基站诈骗等手段，前者主要通过伪造的信息、网站等平台实施诈骗，消费者保持一定的警惕性就可以识别这种骗术。但本次的诈骗手法，则全部借用了北京移动的正式消息通道，而且手段新颖，相对难以识别。

　　移动业务漏洞

　　12日下午，北京移动正式回复称，该手机号码系通过海南海口IP、采用客户自设密码登陆营业厅，并通过客户本机下发的验证码换卡成功，业务流程办理正常。事实上，整个过程中，北京移动判断登陆者为本人，且操作符合业务流程。北京移动提醒用户妥善保管并定期修改网站登陆密码和客服密码。