你以为在证明"我是人类",实际上正在给骗子打工。这种新型诈骗不用装软件、不偷密码,单靠一个假验证码页面,就能让你的手机账单凭空多出几十美元。
骗局拆解:验证码背后的国际短信陷阱
网络安全公司Malwarebytes的研究员Pieter Arntz最近追踪到一个长期运行的诈骗活动。它的核心设计极其简洁——完全利用用户对验证码的习惯性信任。
诈骗流程从恶意广告或流量分发系统(Traffic Distribution System,一种自动化跳转技术)开始。很多用户是被"域名仿冒"(typosquatting)骗进来的——比如想访问某电信运营商官网,却点进了拼写极其相似的假域名。
页面看起来毫无异常:选红绿灯、点斑马线,或者做一道简单选择题。但当你按下"继续"按钮时,手机自带的短信应用会自动弹出,收件人和内容都已经填好。
这才是真正的攻击点。整个"验证"流程包含多个步骤,每走一步,你的手机就会向十几个国际号码发送短信。这些号码分布在17个国家,包括阿塞拜疆、缅甸、埃及等以高额短信终止费著称的地区。
单次交互可能产生约30美元的国际短信费用。没有恶意软件,没有设备入侵,账单上的数字就是全部损失。
正方观点:技术设计精妙,利用了系统级漏洞
这套骗局的高明之处在于"借力打力"。攻击者没有试图突破手机的安全机制,而是直接调用系统原生功能。
预填充短信+预加载收件人列表,这是手机操作系统提供的标准接口。任何网页都可以通过特定代码触发短信应用,就像分享功能一样常见。诈骗者只是把这项"便利功能"变成了提款通道。
更隐蔽的是收益链条。国际短信存在"终止费"机制——当短信从A国运营商发送到B国运营商时,B方会收取一笔费用。某些地区的终止费被人为抬高,形成灰色利润空间。攻击者与当地运营商或中介签订收入分成协议,每发一条短信,就能从这笔费用中抽成。
这种模式下,诈骗者甚至不需要直接接触受害者。他们搭建假页面、购买流量、接入分成网络,剩下的由电信计费系统自动完成。
页面设计也充满心理操控。后退按钮劫持(back-button hijacking)用JavaScript篡改浏览器历史记录,让用户按返回时只是刷新骗局页面,而非离开。这种"软囚禁"延长了用户停留时间,增加了完成全部步骤的概率。
从犯罪经济学角度看,这是典型的规模化轻资产操作:单用户收益不高(约30美元),但获客成本极低(依赖自动化流量 redirect),且法律追溯困难(跨国电信计费链条)。
反方观点:用户警觉性不足才是主因
另一种解读将责任指向用户端。验证码确实无处不在,但"短信应用自动弹出"这一异常信号,理论上应该触发警觉。
普通验证码从不要求用户发送短信。点击类验证(选图片、点按钮)和通信类操作(发短信、打电话)属于完全不同的权限层级。后者涉及运营商计费,前者只是网页交互。
预填充收件人列表更是明显异常。任何要求你向陌生号码发送短信的"验证",本质上都是在索取财务授权。
后退按钮失效也是可识别的技术异常。正常网页不会劫持浏览器导航功能,这种体验断裂本身就是警示信号。
从这一视角看,诈骗的成功依赖于用户对界面流程的"自动驾驶"状态——习惯性点击、不阅读、不质疑。30美元的损失,买的是一次注意力管理的教训。
防御层面,用户完全有能力阻断攻击:关闭网页短信自动填充权限、对异常跳转保持警惕、定期检查账单明细。这些措施不需要技术背景,只需要改变"验证码=无害"的心理预设。
判断:系统漏洞与用户盲区共同构成攻击面
两种观点都有事实支撑,但单独成立都会失真。
技术视角准确指出了攻击的结构性基础。电信计费系统的收入分成机制、国际短信终止费的定价差异、网页调用原生应用的权限设计——这些不是"漏洞",而是被恶意利用的正常功能。攻击者像会计师一样研究全球电信资费表,找到成本与收益的最优解。
但用户视角的批评也有盲点。要求普通网民识别"后退按钮劫持"的技术实现,或理解"国际短信终止费"的商业模式,是不现实的。界面设计的核心原则之一就是降低认知负荷,而这套骗局恰恰利用了优秀设计的副产品——用户的信任惯性。
更准确的框架是:攻击面由系统特性与用户行为共同构成,缺一不可。
没有电信计费系统的分成机制,诈骗无法变现;没有用户对验证码的条件反射式信任,转化率会大幅下降。Pieter Arntz追踪的这个长期运行活动,正是在这两个条件的交集处持续收割。
这揭示了一个更广泛的威胁趋势。传统网络犯罪依赖恶意软件感染或凭证窃取,需要突破设备防御或欺骗用户交出敏感信息。新型攻击则转向"功能滥用"——完全使用合法接口、正常权限、标准流程,只是组合方式服务于非法目的。
防御逻辑因此需要调整。技术层面,操作系统和浏览器可以考虑增加敏感操作的确认层(如短信发送前的二次授权)。用户教育层面,重点不是记住具体诈骗手法,而是建立"异常即停"的反应模式——任何偏离预期流程的步骤,都值得暂停核实。
对企业安全团队而言,这类攻击也有启示。员工培训常聚焦钓鱼邮件和恶意附件,但"功能滥用"型威胁需要不同的检测思路:关注异常流量模式、监控非标准域名访问、分析用户行为序列中的断裂点。
你的下一步
现在打开你的手机设置,检查浏览器权限中是否有"自动发送短信"或类似选项。如果存在,考虑关闭它——这是你能在30秒内完成的有效防御。
下次遇到验证码页面时,给自己设定一个3秒延迟:先确认这是当前网站应有的步骤,再点击任何按钮。如果短信应用意外弹出,立即锁屏或强制关闭浏览器,不要完成发送。
月底查账单时,多花一分钟扫一眼短信费用明细。30美元的异常在当月发现,追回的可能性远高于数月后的申诉。
这些动作不改变任何系统漏洞,但会把你移出攻击者的目标集合。在功能滥用型威胁面前,"不值得攻击"往往比"无法攻击"更实际。