上周六我跟发小阿凯在商圈的老火锅店里排队等位,好不容易坐下开吃,刚涮完毛肚,阿凯的手机“叮”得一声弹出来一条短信,发件显示是三大运营商的官方号,内容明明白白写着:【中国通信】您的通信行程卡验证码为XXXX,有效期10分钟,请勿向他人泄露。
阿凯当时拿着筷子就停住了,抬头跟我说:“不对啊?行程卡不是下线一年多了吗?怎么还能收到验证码?我这大半个月连市都没出,更没碰过什么行程卡查询啊?”
正说着呢,邻座戴耳机的小姐姐凑过来举着自己的手机给我们看,说她昨天下午刚收到一模一样的短信,她今天早上刷朋友圈,光她们公司就有三个人说收到了,现在小红书上搜关键词,好多网友都在晒同款,我当时翻了翻,确实,从2024年8月份开始,全国各个城市的网友都在吐槽这件事,#莫名收到通信行程卡验证码#这个话题还冲上了多个地方的微博同城热搜,不管是移动、联通还是电信用户,都有中招的情况。
好好的服务都下线一年多了,怎么会突然冒出来一大堆验证码?这件事看起来莫名其妙,背后其实藏着不少你想不到的陷阱,今天就跟大家好好掰扯掰扯。
行程卡早已正式下线,验证码为啥还会发出来?
很多人可能对行程卡下线的时间都没什么概念了,我特意核查了工信部的官方公告,2022年12月13日0点起,通信行程卡服务正式下线,官方明确说明,所有存储的用户行程数据全部会按照法律要求删除,服务接口也会同步关闭,从那之后,正规渠道根本不可能再提供行程卡查询服务,更不可能发出验证码。
那为什么现在还会有大量用户收到验证码?网上有很多说法,有人说就是有人输错手机号了,刚好输成你的,不小心触发了验证,可问题是,哪有全国范围成千上万的人同时输错手机号?这种概率低到相当于出门捡五百万,显然说不通。
还有人说,就是运营商的系统bug,过期的服务忘了关接口,这种情况可能有个别案例,但不可能批量出现这么多,今年8月江苏南通警方已经针对这件事发布了官方预警,明确说明近期多名市民收到此类过期验证码,背后大多是黑产作祟,不是什么系统错误。
目前业内和警方比较统一的判断是:这些验证码都是黑产批量发送的,目的就是测试你的手机号是不是“活号”——也就是目前还在正常使用、有人在用的手机号,黑产手里往往握有大量从各个渠道泄露出来的手机号数据,这些数据很多是好几年前的,有的已经停机不用了,他们需要筛选出还在正常使用的活号,之后才能卖给诈骗团伙或者用来做其他违规的事情。
而之所以选择发“通信行程卡验证码”,说白了就是钻了大家的心理空子:几乎全国人民都用过行程卡,对这个名字不陌生,收到验证码不会第一时间就当成垃圾短信删掉,就算你不回,只要你的手机能收到这条短信,就说明这个号是活的,黑产的目的就达到了。
看起来只是一条垃圾短信,背后藏着三种常见陷阱
很多人看到这会说不就是一条破短信吗?我直接删掉不就行了,能有什么危险?可实际上,这件事远没有你想的那么简单,我整理了目前已经出现的三种陷阱,每一种都可能让你蒙受损失。
第一种,就是筛选活号,给后续精准诈骗铺路,我之前一个远房阿姨就吃过这个亏,2023年上半年她连续一周收到各种各样的陌生验证码,有银行的,有快递的,还有什么会员验证的,她没当回事,都直接删了,结果半个月之后就接到了冒充“医保局工作人员”的电话,说她的医保卡异地被盗刷,要她转钱到“安全账户”核实,阿姨一辈子省吃俭用,一下子慌了,被骗走了两万七千多块钱,后来警方破案之后说,阿姨的手机号就是黑产筛选出来的活号,被诈骗团伙花几百块钱买走了,诈骗分子就是知道这个号有人用,才会精准打电话过去。
黑产的规则很明确,筛选出来的活号会按人群分类,比如经常收支付验证码的手机号,就卖给裸聊诈骗、网贷诈骗;有孩子信息的手机号,就卖给课外培训诈骗、冒充老师收学费诈骗;老年人的手机号,就卖给保健品诈骗、医保社保诈骗,一条活号能卖几分钱到几毛钱不等,黑产一天发几十万条短信,就能躺赚几万块,赚的就是我们信息泄露的钱。
第二种,就是冒用身份注册,轻则背锅重则丢钱,有些黑产不仅仅是筛选活号,还会下一步骗你说出验证码,我看过今年年初杭州警方破获的一个案子,犯罪团伙就是先批量发行程卡验证码,过个几分钟再给你打电话,说“我们是通信管理局的,查到你的身份信息被冒用注册了行程卡,需要你把刚才收到的验证码告诉我们,帮你冻结”,很多不懂的人,尤其是老年人,一听自己身份被冒用,立马就慌了,乖乖把验证码说了出去。
拿到验证码之后,犯罪团伙就会用你的手机号注册各种互联网账号、支付账号,如果你的身份证信息刚好也泄露了,他们甚至能直接开通小额贷款,或者转走你支付账户里的钱,就算没有那么严重,这些用你的身份注册的账号,如果被用来发违法违规内容,或者做水军刷评论,最后警方溯源找到的就是你,你还要花精力去自证清白,平白无故惹一堆麻烦。
第三种,就是钓鱼链接引流,点进去就偷你的个人信息,很多时候,你刚收到行程卡验证码,不到一分钟就会收到第二条短信:“如非本人操作,请点击链接XX查看并冻结你的行程卡信息”,很多人本来就纳闷为什么会收到验证码,一看到这句话就好奇,想点进去看看怎么回事,结果一点进去就是钓鱼网站,网页做得跟真的官方网站一模一样,让你填身份证号、银行卡号、预留手机号,甚至银行卡密码,你填完提交,这些信息直接就发到骗子后台了,用不了多久你银行卡里的钱就没了,我同事小张的妈妈上个月就差点中招,收到类似的短信差点点链接,还好小张刚好回家看到抢过手机给删了,不然老人卡里五万多退休金就没了。
为什么我们的信息会被黑产拿到?个人信息泄露早就是常态
很多人会纳闷,我从来没把自己的手机号给过别人,为什么黑产能找到我?其实说句实在话,在现在这个互联网环境里,我们的个人信息早就不知道被泄露多少次了。
我查了国家网信办今年上半年发布的《移动互联网应用程序个人信息保护治理工作报告》,2024年1到6月,网信办一共下架了超过1.5万款违规收集个人信息的APP,其中超过六成的APP都存在“超范围收集用户权限”的问题,也就是说你下载一个修图APP,它非要要你的通讯录权限和短信权限,本质就是偷你的个人信息拿去卖。
疫情三年里,很多场所、很多第三方平台都要求你出示行程卡,很多小商家、小机构为了自己方便,违规留存了大家的手机号、行程信息还有身份证信息,行程卡下线之后,这些机构根本不会按照要求删除这些数据,反而会转手卖给黑产,变成黑产手里的资源,我们之前用行程卡的时候留下的信息,就这么在黑市里流转了一年多,现在被黑产拿出来批量筛选活号,就变成了我们手机里莫名其妙的验证码。
还有很多我们日常不注意的小细节,比如你随便扫一个街头的二维码领小礼品,你在不知名的网站上留手机号领优惠券,你注册一个不知名的小程序猜比分赢红包,这些都会把你的手机号泄露出去,这些信息最终都会流转到黑产手里,等着被筛选、被转卖、被用来做诈骗。
碰到这种情况,做好这四件事就能避开风险
说这么多,那要是我们真的莫名收到了通信行程卡验证码,到底该怎么做才能保护自己?我整理了几个非常实用的方法,大家可以记下来:
第一,也是最重要的一点:不管谁问你要验证码,不管说的多么吓人,你都绝对不要说出去,陌生链接更绝对不要点,行程卡已经下线一年多了,官方根本不可能再找你要验证码,运营商更不会让你点陌生链接核实信息,凡是跟你要验证码的,100%是骗子,阿凯收到验证码之后不到十分钟就接到了所谓“通信管理局”的电话要验证码,他直接挂了电话打给10086官方客服,客服说根本没有这回事,就是典型的诈骗,直接拉黑就好。
第二,查一查自己的身份信息有没有被冒用注册,很多人不知道,工信部现在有免费的“一证通查”服务,你只用输入自己的身份证号和手机号,就能查到你的身份证下面绑定了多少个手机号,多少个互联网账号,微信搜“工信微报”公众号就能找到入口,非常方便,如果你收到了莫名其妙的验证码,最好去查一下,要是查到有不是你自己注册的账号,直接申请注销就能避免后续出问题。
第三,开启垃圾短信拦截,举报违规号码,现在三大运营商都提供免费的垃圾短信拦截服务,你收到这种短信之后,可以直接转发给10086999(移动)或者10010(联通)或者10000(电信)举报,运营商会拉黑这个发件号码,还能帮你加强拦截,另外现在不管是苹果还是安卓手机,系统本身都自带垃圾短信拦截功能,把这个功能打开,大部分的垃圾验证码都会被自动拦截掉,不会出现在你的收件箱里。
第四,如果不小心泄露了信息,第一时间报警冻结,要是你真的不小心把验证码告诉了别人,或者点了陌生链接填了信息,第一时间打银行客服冻结你的银行卡,然后带着手机和短信记录去派出所报警,越早处理,越能把损失降到最低,千万不要因为不好意思或者怕麻烦拖着,拖到最后钱被转走了追回来的难度就大了。
个人信息保护没有“过去式”,过时服务更要警惕
最后我也说一点我自己的个人观点,我做了多年互联网行业科普,我发现很多人都有一个误区:就是对于这种过时的服务掉以轻心,觉得行程卡都不用了,一个验证码而已,没什么大不了,随手删掉就完了,根本不在意,可实际上,这种“过时服务发的验证码”恰恰是最危险的,因为骗子就是抓准了你对它不警惕的心理:你对银行卡验证码很小心,对快递验证码很小心,可对已经下线一年多的行程卡验证码,你根本不会想到它是诈骗,反而容易放松警惕掉进陷阱。
我还见过很多人收到验证码之后,喜欢把截图打个码发朋友圈问“有没有人跟我一样收到这个?”,其实这里也有风险,很多人打码只打中间四位,可其实黑产只要知道前三位和后四位,再结合你的头像、昵称,就能把你的整个手机号拼出来,反而进一步把你的信息泄露出去,真的没必要。
另外我也觉得,这件事也给我们提了个醒:个人信息保护真的是一件长期的事,不管是疫情期间收集的信息,还是现在我们日常用APP留下的信息,只要监管不到位,只要企业不按规定删除,就随时可能变成黑产手里的工具,我们普通人除了自己提高警惕,也希望相关部门能加强对这些过期数据的监管,把还在黑市里流转的个人信息堵在源头,避免更多人被骗。
记住一句话:只要不是你自己主动申请的验证码,不管是什么服务的,不管过期还是没过期,一律别点、一律别给,多留一个心眼,就能避开99%的陷阱。