驗證碼也能騙錢？新型釣魚專坑手機話費

你以為在證明"我是人類"，實際上正在給騙子打工。這種新型詐騙不用裝軟件、不偷密碼，單靠一個假驗證碼頁面，就能讓你的手機賬單憑空多出幾十美元。

騙局拆解：驗證碼背后的國際短信陷阱

網絡安全公司Malwarebytes的研究員Pieter Arntz最近追蹤到一個長期運行的詐騙活動。它的核心設計極其簡潔——完全利用用戶對驗證碼的習慣性信任。

詐騙流程從惡意廣告或流量分發系統（Traffic Distribution System，一種自動化跳轉技術）開始。很多用戶是被"域名仿冒"（typosquatting）騙進來的——比如想訪問某電信運營商官網，卻點進了拼寫極其相似的假域名。

頁面看起來毫無異常：選紅綠燈、點斑馬線，或者做一道簡單選擇題。但當你按下"繼續"按鈕時，手機自帶的短信應用會自動彈出，收件人和內容都已經填好。

這才是真正的攻擊點。整個"驗證"流程包含多個步驟，每走一步，你的手機就會向十幾個國際號碼發送短信。這些號碼分布在17個國家，包括阿塞拜疆、緬甸、埃及等以高額短信終止費著稱的地區。

單次交互可能產生約30美元的國際短信費用。沒有惡意軟件，沒有設備入侵，賬單上的數字就是全部損失。

正方觀點：技術設計精妙，利用了系統級漏洞

這套騙局的高明之處在于"借力打力"。攻擊者沒有試圖突破手機的安全機制，而是直接調用系統原生功能。

預填充短信+預加載收件人列表，這是手機操作系統提供的標準接口。任何網頁都可以通過特定代碼觸發短信應用，就像分享功能一樣常見。詐騙者只是把這項"便利功能"變成了提款通道。

更隱蔽的是收益鏈條。國際短信存在"終止費"機制——當短信從A國運營商發送到B國運營商時，B方會收取一筆費用。某些地區的終止費被人為抬高，形成灰色利潤空間。攻擊者與當地運營商或中介簽訂收入分成協議，每發一條短信，就能從這筆費用中抽成。

這種模式下，詐騙者甚至不需要直接接觸受害者。他們搭建假頁面、購買流量、接入分成網絡，剩下的由電信計費系統自動完成。

頁面設計也充滿心理操控。后退按鈕劫持（back-button hijacking）用JavaScript篡改瀏覽器歷史記錄，讓用戶按返回時只是刷新騙局頁面，而非離開。這種"軟囚禁"延長了用戶停留時間，增加了完成全部步驟的概率。

從犯罪經濟學角度看，這是典型的規模化輕資產操作：單用戶收益不高（約30美元），但獲客成本極低（依賴自動化流量 redirect），且法律追溯困難（跨國電信計費鏈條）。

反方觀點：用戶警覺性不足才是主因

另一種解讀將責任指向用戶端。驗證碼確實無處不在，但"短信應用自動彈出"這一異常信號，理論上應該觸發警覺。

普通驗證碼從不要求用戶發送短信。點擊類驗證（選圖片、點按鈕）和通信類操作（發短信、打電話）屬于完全不同的權限層級。后者涉及運營商計費，前者只是網頁交互。

預填充收件人列表更是明顯異常。任何要求你向陌生號碼發送短信的"驗證"，本質上都是在索取財務授權。

后退按鈕失效也是可識別的技術異常。正常網頁不會劫持瀏覽器導航功能，這種體驗斷裂本身就是警示信號。

從這一視角看，詐騙的成功依賴于用戶對界面流程的"自動駕駛"狀態——習慣性點擊、不閱讀、不質疑。30美元的損失，買的是一次注意力管理的教訓。

防御層面，用戶完全有能力阻斷攻擊：關閉網頁短信自動填充權限、對異常跳轉保持警惕、定期檢查賬單明細。這些措施不需要技術背景，只需要改變"驗證碼=無害"的心理預設。

判斷：系統漏洞與用戶盲區共同構成攻擊面

兩種觀點都有事實支撐，但單獨成立都會失真。

技術視角準確指出了攻擊的結構性基礎。電信計費系統的收入分成機制、國際短信終止費的定價差異、網頁調用原生應用的權限設計——這些不是"漏洞"，而是被惡意利用的正常功能。攻擊者像會計師一樣研究全球電信資費表，找到成本與收益的最優解。

但用戶視角的批評也有盲點。要求普通網民識別"后退按鈕劫持"的技術實現，或理解"國際短信終止費"的商業模式，是不現實的。界面設計的核心原則之一就是降低認知負荷，而這套騙局恰恰利用了優秀設計的副產品——用戶的信任慣性。

更準確的框架是：攻擊面由系統特性與用戶行為共同構成，缺一不可。

沒有電信計費系統的分成機制，詐騙無法變現；沒有用戶對驗證碼的條件反射式信任，轉化率會大幅下降。Pieter Arntz追蹤的這個長期運行活動，正是在這兩個條件的交集處持續收割。

這揭示了一個更廣泛的威脅趨勢。傳統網絡犯罪依賴惡意軟件感染或憑證竊取，需要突破設備防御或欺騙用戶交出敏感信息。新型攻擊則轉向"功能濫用"——完全使用合法接口、正常權限、標準流程，只是組合方式服務于非法目的。

防御邏輯因此需要調整。技術層面，操作系統和瀏覽器可以考慮增加敏感操作的確認層（如短信發送前的二次授權）。用戶教育層面，重點不是記住具體詐騙手法，而是建立"異常即停"的反應模式——任何偏離預期流程的步驟，都值得暫停核實。

對企業安全團隊而言，這類攻擊也有啟示。員工培訓常聚焦釣魚郵件和惡意附件，但"功能濫用"型威脅需要不同的檢測思路：關注異常流量模式、監控非標準域名訪問、分析用戶行為序列中的斷裂點。

你的下一步

現在打開你的手機設置，檢查瀏覽器權限中是否有"自動發送短信"或類似選項。如果存在，考慮關閉它——這是你能在30秒內完成的有效防御。

下次遇到驗證碼頁面時，給自己設定一個3秒延遲：先確認這是當前網站應有的步驟，再點擊任何按鈕。如果短信應用意外彈出，立即鎖屏或強制關閉瀏覽器，不要完成發送。

月底查賬單時，多花一分鐘掃一眼短信費用明細。30美元的異常在當月發現，追回的可能性遠高于數月后的申訴。

這些動作不改變任何系統漏洞，但會把你移出攻擊者的目標集合。在功能濫用型威脅面前，"不值得攻擊"往往比"無法攻擊"更實際。