你刚点开一个链接,页面跳出熟悉的验证码框——点击"我不是机器人",然后系统让你发条短信到某个号码"完成验证"。这条短信可能正在掏空你的话费。
网络安全公司Infoblox的最新报告揭露了一种从2020年6月就存在的诈骗手法。它不靠钓鱼链接,不靠恶意软件下载,而是利用一个你每天都在用的东西:手机短信。
四年未止的"验证"骗局
Infoblox研究人员David Brunsdon和Darby Wise追踪发现,这场针对验证码(CAPTCHA)的诈骗至少从2020年6月就开始活跃。他们锁定了17个国家的35个电话号码,全部用于接收受害者"自愿"发送的短信。
诈骗的精妙之处在于延迟伤害。国际短信费用不会即时提醒,受害者往往在几周后收到账单时才察觉异常。此时,那次"验证我是人类"的网页互动早已被遗忘,多数人只会归咎于运营商计费错误,而非追溯到一个早已关闭的钓鱼页面。
研究人员指出,这种低感知、低追溯的特性,正是该诈骗长期未被广泛报道的核心原因。
多步骤陷阱:一条变五十条
这不是简单的"发一条短信"骗局。Infoblox拆解了假验证码的完整流程:页面显示多步骤验证,每一步都预设了十几个国际号码。受害者以为自己在完成一次人机验证,实际上系统正在后台触发向50多个国际目的地的短信发送。
「假验证码有多个步骤,每条由网站生成的消息都预设了十几个电话号码,这意味着受害者不是被收取单条短信费用——而是被收取向50多个国际目的地发送短信的费用。」Brunsdon和Wise在报告中写道。
费用流向何处?攻击者通过与电信运营商的收入分成协议获利。你的每一条"验证短信",都在为诈骗者的账户充值。
流量劫持:如何被精准投放
诈骗页面的触达依赖恶意流量分发系统(TDS)。商业TDS服务原本用于合法的流量筛选和广告投放,却被攻击者 weaponized(武器化)——它们根据用户设备、地理位置、浏览器类型进行实时判断,只把"高价值目标"导向假验证码页面。
这意味着,如果你在某一刻看到了这个骗局,说明系统已经判定你值得被投放。TDS的筛选机制确保了诈骗资源的精准消耗,也解释了为什么同一链接在不同设备上可能呈现完全不同的内容。
防御的唯一法则
Infoblox在报告标题中直接给出结论:「Unfortunately, it needs to be said: Do not send a text to confirm you are human」(很遗憾,但必须明说:不要发短信来证明你是人类)。
真正的验证码从不要求用户主动发送短信。Google reCAPTCHA、Cloudflare Turnstile等主流方案均基于行为分析、图像识别或无声令牌验证,无需任何出站通信。任何要求你发送短信"完成验证"的页面,都是诈骗。
对于已经遭遇的用户, researchers 建议立即联系运营商核查国际短信费用,并向相关机构举报涉事号码。但最有效的止损,发生在点击"发送"之前。
为什么这件事值得警惕
这场骗局的危险性不在于技术复杂度,而在于它对用户心智的精准利用。"验证码=安全"的认知惯性被反向劫持——攻击者复制了熟悉的界面语言,却把验证动作替换为付费行为。
四年运营、35个号码、17个国家、50+短信目的地——这些数字勾勒出一个被低估的威胁模型:当基础设施(TDS、电信分成)成熟到可以流水线化运营时,最简单的交互设计也能成为高效的获利工具。
对科技从业者而言,这是产品安全设计的警示案例。验证码机制的信任基础正在被系统性消耗,而用户教育始终是最后一道、也是最脆弱的一道防线。
热门跟贴