这是出现在新疆某高校大学生马英杰微信朋友圈的一段文字,当天晚上,这段内容在校园中广泛传播。
陌生同学发语音借钱
11月25日下午,在新疆上大学的马英杰突然收到了同学刘新(化名)发来的微信语音:“你现在方便借我3000块钱吗?我买点东西有急用,完后晚点还给你。”
这让马英杰感到莫名其妙。“我跟他不是一个班的,只因一次社团活动添加了对方的微信,但平时极少通过微信交流。”马英杰说道。
虽然对方发来的微信语音与刘新本人的声音几乎一样,但马英杰还是很疑惑,“依我对他的了解,他不会说出这种借钱的话。”
果然,8分钟后,马英杰收到了刘新发来的文字信息:“我的账号刚刚被盗,不要相信任何信息,千万不要扫码转账。骗子现在技术很强,可以模仿我的声音,大家引以为戒。”刘新说道。
当天,马英杰与其他同学聊天得知,几乎在同一时间,刘新的微信好友都收到了这条借钱语音信息。“骗子给同学们发的信息几乎一样,大家都知道他的微信号被盗了。”马英杰说。
刘新告诉《IT时报》记者,自己此前找考研资料时用手机微信扫过一个二维码,扫码之后手机里自动下载了一个软件,但自己并未注意。“应该就是那时被骗子盯上的。”刘新说。
清粉工具成泄漏微信隐私元凶
实际上,通过微信语音诈骗的案例并不稀奇。有媒体报道,今年10月南京的陈先生收到好友王某发来的一条微信语音,让他转钱到某个收款码上买个东西,陈先生因此被骗走了5000元。
刘新的微信账号是如何被盗的?《IT时报》记者向微信方面进行了求证。
“用户11月25日发现微信账号被盗,后台显示用户11月24日是通过微信密码登陆,并通过短信二次验证。”微信方面相关人士表示,鉴于极少可能出现突破账号密码以及短信验证双重保障的盗号情况,推测用户可能遭遇了欺诈,向冒充身份的诈骗嫌疑人透露了个人密码和验证码,造成微信号被盗。
微信方面人士表示,常见的微信号被盗的情况有几种,例如,微信密码设置过于简单、手机安装木马、非法客户端导致隐私泄露、转发登陆短信可能导致微信账号被坏人登陆以及设置了与其他产品一致的密码,当其他地方泄密,微信可能连带被盗。
在国内民间非企运营互联网安全组织网络尖刀安全团队创始人曲子龙看来,微信清粉、下载第三方插件等操作是微信账号密码被盗用的元凶。
不少人会经常收到这样一条清粉信息:“清粉进行中,勿回消息,免费清理:http://info…”。
“一旦有用户因为好奇点开了类似的链接,在清粉过程中,不法分子会利用爬虫悄无声息地偷走用户的微信账号密码、聊天记录中的语音、常联系好友的信息,甚至更多的隐私内容,”曲子龙表示,目前大部分的清粉工具都存在安全隐患。
微信方面也表示,批量清理僵尸粉工具,本质上就是一个外挂。利用微信PC或网页端登录授权功能,将用户的微信授权给外挂软件进行操作。这个过程相当于用户把微信的控制权授权拱手让人。
“另外,用户在使用微信时打开了钓鱼网页,需要用户使用微信账号授权给第三方,或是输入自己的微信账号和密码才能正常使用的应用,也可能导致自己的微信账号密码等隐私信息泄漏。”曲子龙补充道。
特制变声器伪造上千种语音
不法分子获取了用户的微信账号、密码之后,便能通过物理手段登陆用户的微信。
曲子龙表示,所谓物理手段就是,用户使用某个终端授信登录过一次微信,此时微信会主动将这一终端视为允许登录微信的白名单,当这一终端下次登陆用户微信时,只要用户在自己的手机上点击了同意登陆,不出3秒便能登陆成功。
针对用户案例中提到的“怀疑扫了来历不明的二维码而造成盗号”,微信方面表示,“我们对这种情况有安全提醒及系统异常拦截,用户通过微信扫描二维码访问网页时,微信将判断该网站是否属于数据库白名单,如果网址在白名单上,用户可直接访问;如不是,则会被判断为非安全网址,用户需通过复制操作才能继续访问。”
需要注意的是,如果不法分子拿到了这些终端,他们极有可能使用这些终端重复登陆用户微信,甚至将用户本人从微信的另一端挤下来进行诈骗。
令马英杰疑惑的是,不法分子是如何模仿出与刘新声音相似度极高的语音的?
“通过清理僵尸粉、安装第三方抢红包插件等操作,不法分子便能够从中获取用户本人的声音。随后,他们会借助特制的变声器对相近声音的音色、音调进行调整使之变无限与受害者的声音相近,通过特制的变声器,一个人的声音可以伪造出几百甚至上千种不同的声音频率。”曲子龙说道。
实际上,在用户眼中与自己声音相似度很高的中性语音,不法分子眼中相似度不到20%。
曲子龙表示,中性声音有很多方式,比如女生在睡不醒、生病状态时的声音就基本都是一个音,很难分辨。即便对方产生了怀疑,不法分子在诈骗的过程中也可以以一句生病、感冒、嗓子不舒服等原因蒙混过关,轻易骗过对方的信任。
被盗号了怎么办?
如何保护自己的微信隐私?
微信官方建议,在使用微信的过程中,如用户发现任何违法乱纪的行为,应当第一时间向公安机关报案,并通过微信客户端的投诉功能向微信举报,我们将积极配合公安机构进行处理。
另外,鉴于微信账号已经成为用户个人重要标识,账号安全是微信安全的根基,我们建立了微信“帐号保护”机制、紧急冻结功能,以及防诈骗提醒机制等。
所谓帐号保护机制,即用户开启“帐号保护机制”后,更换设备登录需要提供短信验证码,即使密码被盗,由于骗子无法接收到短信验证码,也是无法在其他手机上登录自己的微信帐号的,从而大幅度提高微信安全系数。
防诈骗提醒机制则是,微信从最初的产品设计就针对诈骗等有害信息设置有效的应对措施。 曾有诈骗记录的帐号在添加好友的时候,系统会根据安全策略向被添加用户发送防诈骗提醒。
需要注意的是,除了不要乱用第三方的“清粉”、不要随意下载第三方插件如“抢红包”“微商辅助”等,还能如何保护自己的微信安全?
曲子龙表示,通过微信自身的安全机制就能很容易排查出非安全授信设备,具体排查可以在微信【我-设置-账号与安全-登陆设备管理】中查看,将不是自己的设备及时删除。
另外,在一些公共场所使用WiFi上网时也要特别注意,恶意软件会通过某种特殊的方式,在微信软件上“套”一层壳,来获取用户的隐私内容,尤其是从事微商或代购的人员在电商平台上购买的第三方微信辅助,同样存在很高的泄漏隐私的风险。
另外,微信方面也为避免用户号码被盗提出了建议:
微信密码不要设置过于简单,不要设置成与其他产品相同的密码;手机上不要安装非官方微信客户端,或非法插件;不要随意点开广告链接以避免手机被植入木马;微信绑定的邮箱或其他绑定关系一旦出现泄密,请尽快修改绑定关系的密码;无论他人以任何理由索要你的微信账号、密码、短信验证码等个人信息,坚决不要提供。
扫一扫
在手机上阅读