拆招“最强电信诈骗术”：营造钱被转走假象，其实还在账户里

最近有没有被一条号称“成功率99%！揭开史上最强电信骗术画皮”的消息刷屏？从这则消息可以看出，当事人具备相当高的风险防范意识，却因为在ATM机上查询发现真的自己的钱曾被划出，险些方寸大乱。

但这个“史上最强”电信诈骗术，绝非无懈可击，成功率99%也没有依据。记者日前找来业内人士，拆招这一“最强电信诈骗术”中存在的“槽点”，以及其背后潜在的风险因素。

骗术与银行操作“两步走”

步骤一：收到短信

在这一起案例中，当事人首先收到来自银行的两条转账信息，显示号码为“95533”，由于当事人并未消费，卡也未离身，他理解为伪基站发送的短信。

随即，他又受到两条170号码发来短信，称其在京东消费，金额正好与此前银行发送的短信转账金额相同。此时当事人更加确认这是伪基站发送的诈骗短信。

专业点评

这名当事人的防范意识非常强，伪基站可以短暂屏蔽真正的运营商信号，以自己的信号取而代之，这时伪基站能用任何一个号码给手机发送短信，因此即使看到银行官方客服号发送的短信，要求点击链接，都不要相信。

但是！这一个骗局中，其实99%的可能没有伪基站参与。当事人收到的银行短信的确是银行发送的，但并非什么京东购物消费，而是进入了自己网络银行的理财产品保证金管理账户。换言之，钱还在自己卡里，但是挪了个地方。骗子并没有那么容易直接把钱转走，因此还需要后续骗取移动支付验证码。

骗子在着手将银行卡内的金额“挪地方”的同时，也在做另一件完全不搭界的事：根据两次转账金额，设计出相应的“京东消费”的诈骗短信。事实上，从170这个号码就能看出端倪：一般来说电商不会用手机号发送消费短信，170/171又是电信诈骗高发号段。基本上看到170/171发来的消费短信、转账短信等与钱相关的短信，基本等同于电信诈骗，可以置之不理。

围观槽点：骗子为何能操作我们的网银？

真假信息交互的心理加压术

步骤二：骗子来电

发送短信的号码随即来电，说出了当事人的姓名，报出了当事人的银行卡号，并称对方购买了QQ点卡，因为异地消费所以要确认是否本人交易。并称“因为确实存在消费过程，我们必须扣款”。

专业点评

骗子果然套路深，一看就是专业人。首先，目前部分银行的确有异地大额消费电话确认的措施，银行有自己的风控提示系统，我自己就曾遇到过在境外时连续消费但结款币种不同，银行来电确认的经历。其次，确实有不少骗子在无法直接获取现金时，购买QQ点卡这类容易出手的商品的手法——对于具有一定防范常识的人，反而容易被这些细节骗到。

但这一过程其实还是暴露了骗子的真实面目：既然银行或电商会来电确认是否本人消费，如果当事人否认就应该会立即冻结账户，而不是强调“必须扣款”——不然直接扣款就行，何必多此一举？强调“必须扣款”的目的就是增强当事人的心理压力和紧张感。

在电信诈骗中，骗子往往会采取步步为营的“加压”方式，一些被害人会在这样的压力下丧失冷静的判断能力。

围观槽点：骗子为何知道我们如此详细的信息？

故意留下可供查证的“细节”

步骤三：ATM查账

这是整个骗局中“最最精华”的一部分：看当事人不信，骗子主动提出“先把300元拦截下来”。神奇的事情随后发生了：银行官方客服号真的发来300元回到账户内的消息。具有相当防范意识的当事人此时已经“有一点点相信”了，并用另外的电话拨打银行查询，结果更令人震惊：此前骗子所说的两次转账是真的，转回300元也是真的，卡内余额也跟骗子说的一样。

专业点评

跟前文一样，骗子在网银操作和骗取当事人上，一直是同时并行的。所有转账过程都是真实在网络银行上完成的，当事人收到的短信也确实是银行发送的——只不过不是银行卡的主人在操作。

这的确是整个骗局中最让人容易“中招”的部分：当事人自己查询银行信息，发现是真的。就算当事人不去查询，有些骗子也会主动“提醒”当事人去查询。一旦自己查询发现这些过程都是真实存在的。过去一些案件中，具有相当防范意识的当事人，往往容易在这样的环节中信心会遭遇骗子的心理“碾压”，接下来几乎是骗子说什么，他们就信什么。

随着人们防范意识越来越强，骗子在设计骗局时，会有意地留下这样可供查证的细节。比如利用改号软件诈骗，骗子将号码设定为某地公检法机关电话后，还会特意叮嘱当事人，如果不相信可以拨打当地114查询证实。一旦发现来电号码“真实”，很多人就会卸下心防。

围观槽点：原来真相也是可以被骗子用来骗人的。

“验证码”是关键词

步骤四：索取验证码

在当事人已经有些相信骗子的时候，对方表示拦截超过1000元的交易，需要验证码。此时还加入了背景音“我这个客户有点着急，他的钱可能被盗刷了，你帮我快点拦截。”随后，当事人收到了一条建设银行发来的动态验证码。短信中也强调“我行工作人员不会向您索取本条短信内容，切勿向任何人透露。”在听到“验证码”时，原本有些相信骗子的当事人再次警觉。

专业点评

又是一次真假信息交互的交锋过程。目前一些银行和第三方支付系统推出的便捷服务，的确要超过一定金额后才会要求输入密码，小额可以直接转账。

但中间其实也出现了逻辑漏洞：既然是“京东”来电，为何收到的短信“验证码”是建设银行发来的？

电话那头的背景音颇具有迷惑性。背景音也是电信诈骗常用的手段，一些假冒公检法诈骗的通话中，甚至会出现“110接警声”、“警车鸣号音”等，除了增强骗术的“可信度”，也是给当事人心理施压的一种方式。

当事人收到的验证码短信的确是由银行发出的，但这是申请移动支付的验证码。这项业务就是说有人想要转走你卡内的资金，但银行为了“验明正身”会向绑定手机发送一条短信，包含一个验证码，输入这个验证码才能将钱款转出，而不只是在卡内流动。

银行短信最后的提醒，其实意思就是有骗子会冒充银行工作人员索要验证码以实施移动支付转走卡内钱款，所以如果真正是银行工作人员，不会索要验证码。所以这名当事人的确是很关注电信诈骗防范宣传，我们在宣传时会强调，听到或看到“验证码”这个关键词，最好立即挂断电话不再理会，千万不要将验证码给别人。

事实上，这类骗局还不是最可怕的，最可怕的是部分电信诈骗中，骗子会想办法先让当事人的手机中木马病毒，此后手机收到的短信会直接转到骗子的手机上，也就是说他们不用骗你的验证码，自己可以直接看到。这样的骗局，防范的办法就是千万别点任何无法分辨真伪的链接。

围观槽点：银行的提示短信我都看不懂。

钱款其实在自己账户里“转”

步骤五：真相揭开

骗子发现当事人警觉后主动挂断电话。当事人随即拨打银行客服，客服人员证实这是骗局，而当事人的钱放进了“投资理财——理财产品——保证金管理”中。将自己的资金转入这一类目，是不需要验证码的。

专业点评

骗子首先获得了当事人相当丰富的个人信息，进入当事人的网银账户，将钱款转到当事人自己的投资账户。因为现金账户的钱的确是少了，因此银行发送了提示短信。骗子就是利用这一步营造出“钱被转走”的假象。一旦当事人发现骗子所描述的转账金额等许多细节与自己查询的情况相符，对方还真能帮助自己“挽回损失”，很容易盲目相信对方。这时骗子只要索取到发送到当事人手上的移动支付验证码，钱就会真的被转走。

围观槽点：我何时开了投资账户？开通网银时一大叠资料，看都没看就签名了。

槽点答疑

骗子为什么会知道我们如此彻底的信息？

一些银行的网银账户，除了可以用卡号和密码登录，也可以用注册的用户名和密码登录，很多人的电子邮箱、购物网站、社交软件等用户名密码习惯用相同的，这让骗子可以以此尝试。

目前，的确有不少企业、单位、机构信息保护意识匮乏，甚至有人被警方抓获才知道交易个人信息是违法犯罪的行为。这些看似破碎的信息，一个手机号，一个姓名，一个邮箱账户，一旦海量汇总，形成大数据库，就可能碰撞出完整的个人信息。之前上海公安破获的案例里，已经有骗子利用黑色大数据来寻找、组合有价值的信息，业内人士称搜集信息为“取料”，而深加工信息则是“洗料”。

要遏制电信诈骗，必须严厉打击泄露或非法获取公民个人信息犯罪活动，切断电信网络诈骗犯罪“黑色产业链””。

银行投资账户转账，为何没有通知我？

目前银行、电信运营商等服务部门推出的一些服务，会考虑操作的便捷性，例如网上购买理财产品，如果还要输入手机验证码，会相对繁琐。大多数用户在开通、使用这些功能是，也未必更深入地思考潜在的风险。但是骗子有他们的“专业”，他们会研究电信、网络、银行这些与他们相关的行业推出的新服务和政策，哪些是可以被他们所利用的。目前电信诈骗行业推陈出新很快，几乎到了有新政策发布，就有新的电信诈骗剧本的程度。

因此，电信、银行等相关行业，在推出新的服务时，应该将电信诈骗风险作为考虑的重要因素，严控风险。

如何才能不被骗子骗？

从个人的角度来说，可以学习这一案例中的当事人那样，多听多看公安部门和权威媒体防范电信诈骗宣传。

“简单粗暴”的方法，则是牢记那些在陌生人的电话、短信里会出现“关键词”——“验证码”不能给外人；到“ATM机”上操作，无论中英文界面，只能转出钱，不可能让别人转钱进来；如果你真的“涉案”，该配合调查警察会上门找你，不会远程调查你的资金，不会让你避开家人到“安全屋”；此外，没有“公检法微信”会加你。

（原标题：拆招“史上最强电信诈骗术”：便民服务须考虑风险因素）