“朋友們,小心新型詐騙!剛剛我們班有位同學微信號被盜,騙子登錄他的微信給同學發語音借3000元錢,語音跟這位同學的聲音簡直一模一樣。大家給班裡同學講一下,遇到借錢先打電話確認是否是本人,哪怕是微信語音也不能相信……”
這是出現在新疆某高校大學生馬英傑微信朋友圈的一段文字,當天晚上,這段內容在校園中廣泛傳播。
陌生同學發語音借錢
11月25日下午,在新疆上大學的馬英傑突然收到了同學劉新(化名)發來的微信語音:“你現在方便借我3000塊錢嗎?我買點東西有急用,完後晚點還給你。”
這讓馬英傑感到莫名其妙。“我跟他不是一個班的,只因一次社團活動添加了對方的微信,但平時極少通過微信交流。”馬英傑說道。
雖然對方發來的微信語音與劉新本人的聲音幾乎一樣,但馬英傑還是很疑惑,“依我對他的瞭解,他不會說出這種借錢的話。”
果然,8分鐘後,馬英傑收到了劉新發來的文字信息:“我的賬號剛剛被盜,不要相信任何信息,千萬不要掃碼轉賬。騙子現在技術很強,可以模仿我的聲音,大家引以為戒。”劉新說道。
當天,馬英傑與其他同學聊天得知,幾乎在同一時間,劉新的微信好友都收到了這條借錢語音信息。“騙子給同學們發的信息幾乎一樣,大家都知道他的微信號被盜了。”馬英傑說。
劉新告訴《IT時報》記者,自己此前找考研資料時用手機微信掃過一個二維碼,掃碼之後手機裡自動下載了一個軟件,但自己並未注意。“應該就是那時被騙子盯上的。”劉新說。
實際上,通過微信語音詐騙的案例並不稀奇。有媒體報道,今年10月南京的陳先生收到好友王某發來的一條微信語音,讓他轉錢到某個收款碼上買個東西,陳先生因此被騙走了5000元。
劉新的微信賬號是如何被盜的?《IT時報》記者向微信方面進行了求證。
“用戶11月25日發現微信賬號被盜,後臺顯示用戶11月24日是通過微信密碼登陸,並通過短信二次驗證。”微信方面相關人士表示,鑑於極少可能出現突破賬號密碼以及短信驗證雙重保障的盜號情況,推測用戶可能遭遇了欺詐,向冒充身份的詐騙嫌疑人透露了個人密碼和驗證碼,造成微信號被盜。
微信方面人士表示,常見的微信號被盜的情況有幾種,例如,微信密碼設置過於簡單、手機安裝木馬、非法客戶端導致隱私洩露、轉發登陸短信可能導致微信賬號被壞人登陸以及設置了與其他產品一致的密碼,當其他地方洩密,微信可能連帶被盜。
在國內民間非企運營互聯網安全組織網絡尖刀安全團隊創始人曲子龍看來,微信清粉、下載第三方插件等操作是微信賬號密碼被盜用的元兇。
不少人會經常收到這樣一條清粉信息:“清粉進行中,勿回消息,免費清理:http://info…”。
“一旦有用戶因為好奇點開了類似的鏈接,在清粉過程中,不法分子會利用爬蟲悄無聲息地偷走用戶的微信賬號密碼、聊天記錄中的語音、常聯繫好友的信息,甚至更多的隱私內容,”曲子龍表示,目前大部分的清粉工具都存在安全隱患。
微信方面也表示,批量清理殭屍粉工具,本質上就是一個外掛。利用微信PC或網頁端登錄授權功能,將用戶的微信授權給外掛軟件進行操作。這個過程相當於用戶把微信的控制權授權拱手讓人。
“另外,用戶在使用微信時打開了釣魚網頁,需要用戶使用微信賬號授權給第三方,或是輸入自己的微信賬號和密碼才能正常使用的應用,也可能導致自己的微信賬號密碼等隱私信息洩漏。”曲子龍補充道。
特製變聲器偽造上千種語音
不法分子獲取了用戶的微信賬號、密碼之後,便能通過物理手段登陸用戶的微信。
曲子龍表示,所謂物理手段就是,用戶使用某個終端授信登錄過一次微信,此時微信會主動將這一終端視為允許登錄微信的白名單,當這一終端下次登陸用戶微信時,只要用戶在自己的手機上點擊了同意登陸,不出3秒便能登陸成功。
針對用戶案例中提到的“懷疑掃了來歷不明的二維碼而造成盜號”,微信方面表示,“我們對這種情況有安全提醒及系統異常攔截,用戶通過微信掃描二維碼訪問網頁時,微信將判斷該網站是否屬於數據庫白名單,如果網址在白名單上,用戶可直接訪問;如不是,則會被判斷為非安全網址,用戶需通過複製操作才能繼續訪問。”
需要注意的是,如果不法分子拿到了這些終端,他們極有可能使用這些終端重複登陸用戶微信,甚至將用戶本人從微信的另一端擠下來進行詐騙。
令馬英傑疑惑的是,不法分子是如何模仿出與劉新聲音相似度極高的語音的?
“通過清理殭屍粉、安裝第三方搶紅包插件等操作,不法分子便能夠從中獲取用戶本人的聲音。隨後,他們會藉助特製的變聲器對相近聲音的音色、音調進行調整使之變無限與受害者的聲音相近,通過特製的變聲器,一個人的聲音可以偽造出幾百甚至上千種不同的聲音頻率。”曲子龍說道。
實際上,在用戶眼中與自己聲音相似度很高的中性語音,不法分子眼中相似度不到20%。
曲子龍表示,中性聲音有很多方式,比如女生在睡不醒、生病狀態時的聲音就基本都是一個音,很難分辨。即便對方產生了懷疑,不法分子在詐騙的過程中也可以以一句生病、感冒、嗓子不舒服等原因矇混過關,輕易騙過對方的信任。
被盜號了怎麼辦?
微信官方建議,在使用微信的過程中,如用戶發現任何違法亂紀的行為,應當第一時間向公安機關報案,並通過微信客戶端的投訴功能向微信舉報,我們將積極配合公安機構進行處理。
另外,鑑於微信賬號已經成為用戶個人重要標識,賬號安全是微信安全的根基,我們建立了微信“帳號保護”機制、緊急凍結功能,以及防詐騙提醒機制等。
所謂帳號保護機制,即用戶開啟“帳號保護機制”後,更換設備登錄需要提供短信驗證碼,即使密碼被盜,由於騙子無法接收到短信驗證碼,也是無法在其他手機上登錄自己的微信帳號的,從而大幅度提高微信安全係數。
防詐騙提醒機制則是,微信從最初的產品設計就針對詐騙等有害信息設置有效的應對措施。 曾有詐騙記錄的帳號在添加好友的時候,系統會根據安全策略向被添加用戶發送防詐騙提醒。
需要注意的是,除了不要亂用第三方的“清粉”、不要隨意下載第三方插件如“搶紅包”“微商輔助”等,還能如何保護自己的微信安全?
曲子龍表示,通過微信自身的安全機制就能很容易排查出非安全授信設備,具體排查可以在微信【我-設置-賬號與安全-登陸設備管理】中查看,將不是自己的設備及時刪除。
另外,在一些公共場所使用WiFi上網時也要特別注意,惡意軟件會通過某種特殊的方式,在微信軟件上“套”一層殼,來獲取用戶的隱私內容,尤其是從事微商或代購的人員在電商平臺上購買的第三方微信輔助,同樣存在很高的洩漏隱私的風險。
另外,微信方面也為避免用戶號碼被盜提出了建議:
微信密碼不要設置過於簡單,不要設置成與其他產品相同的密碼;手機上不要安裝非官方微信客戶端,或非法插件;不要隨意點開廣告鏈接以避免手機被植入木馬;微信綁定的郵箱或其他綁定關係一旦出現洩密,請儘快修改綁定關係的密碼;無論他人以任何理由索要你的微信賬號、密碼、短信驗證碼等個人信息,堅決不要提供。
作者/李丹琦
圖像/IT時報 網絡
來源/《IT時報》公眾號vittimes
《IT時報》讀者調查
親愛的讀者:
你們好,很榮幸,能和你們一起,走完21世紀的第二個10年。
今年是《IT時報》成立15週年。15年間,《IT時報》與這個蓬勃的時代一起,走過初創的艱辛,享受成長的喜悅,站在時代的肩膀上,我們見證了科技社會無數的發明、創造和改變。
如果追溯過往,今年,也是《IT時報》及其前身《上海郵電報》的70歲生日。我們,與共和國同齡,我們的70年,是中國從“當了褲子也要把郵電通信搞上去”到“建設網絡強國”的70年。
所有過往皆為序章,無論15年還是70年,如今的《IT時報》,站在了一個新時代的開端。
身處這樣的時代,對於新聞媒體而言,是一種幸運。
2019年的《IT時報》,做了很多新的嘗試,報紙、網站、微信、微博、頭條號、抖音、Vlog……我們構建瞭如今最主流的多元渠道,讓聲音可以傳遞得更遠,但內容生產卻依然堅持客觀、中立、理性。
然而,知易行難。儘管我們期待每期報紙能夠完美呈現《IT時報》的初心,但也深知,我們做得還遠遠不夠。
我們想知道,你的想法 。
點擊“閱讀原文”,可在線參與《IT時報》讀者調查。為了感謝你為此付出的寶貴時間,我們有書相贈——本報作品集《風口的背後》,先到先得,贈完為止。別忘記在調查問卷最後填寫收信地址,謝謝!
我們還將抽取一位幸運讀者獲得【100元天貓超市儲值卡】
閱讀更多 IT時報 的文章
