银行卡和手机都在他本人手中。小张赶紧联系了银行冻结了账户，银行客服也按要求查询出了这些交易的渠道：共有十多笔交易是以网易宝快捷支付的方式支出，还有一笔交易是以中国移动的移动快捷支付的形式支出，总额大概接近2000块钱。

　　小张立刻向中国移动提出遭遇盗刷，移动客服按其要求关闭了其手机号码对应快捷支付功能，并向网易宝支付网站提起了遭遇盗刷的投诉。

　　但让小张感到蹊跷的是，他并没有开通过网易宝和中国移动的快捷支付功能，并且这些交易的数额都是99.9元。此前他曾经设置过免密码快捷支付的限额，这个额度刚好是100元。

　　被“伪装”的10086

　　在确认近期没有发生银行卡和本人手机离身被盗取个人信息的可能后，10086的客服提醒小张回忆，是否近期有收到过不明来历的钓鱼短信。小张想起来，就在收到微信官方提醒那天下午，他曾经进行过一次中国移动的积分兑换话费的操作。

　　他翻开手机查看，发现确实收到过一条10086发来的短信——“您的积分已经达到兑换258.55元话费礼包的条件，请登录wap.gf.10086.net根据提示操作【中国移动】”。就在此前一周多的时间，小张也曾进行过10086的积分兑换话费的操作，因此并未细看，便点进了短信给出的链接，进入了一个中国移动的wap网页界面。

　　10086官方发来的短信、网址和网页界面似乎都和以往一样、可兑换金额甚至精确到了小数点后两位数……这些都让小张放下戒备，按照网页的提示输入了手机号码和身份证信息登录网站，并完成了积分兑换话费的操作。

　　但盗刷之后小张向10086客服核实才发现：短信给出的网站域名不符，中国移动的积分网站应该是10086.cn，而非net域名结尾。并且移动的积分兑换网站登录时需要的是手机验证码，而不是身份证。

　　但可以确定的是，短信来源显示的确是10086。但10086的客服却向小张表示，如今电信诈骗已经可以使用伪基站伪装成移动官方的10086号码发送信息。小张很快上网查询也发现，全国各地都存在这一类利用伪基站向周边一定范围(通常为1公里)强行发送信息的诈骗手段。“只需要一台无线电收发电台与专业的电脑连接，伪基站既能伪装成手机运营商的号码，也能伪装成各大银行的官方号码。”

　　在了解伪基站可以伪装10086官方号码后，小张还发现了一个问题：他的手机最近两天能够发出短信，却不能正常地接收短信。但银行的客服向小张确认，如果之前绑定了手机，那用户银行卡在发生交易后手机都会收到短信提示。

　　于是小张意识到，他的手机可能在更早的时候就已经以通过某种方式被拦截了短信，因此对方才能够连续盗刷其银行卡却不会被及时发现。小张将安卓的手机带往正规的维修点，在进行一番检测后，维修人员告诉小张，监测提示出他的手机近期下载了钓鱼软件，已经有泄露信息的风险，需要进行重置。

　　电信诈骗X.0

　　尽管此后小张也一直跟进网易宝的处理进展并向居住地派出所报警，但此后小张却没有收到进一步的答复，最后就不了了之。

　　21世纪经济报道结合小张的案例、各地警方通报和媒体报道的情况将此类诈骗进行了综合梳理：传递诈骗信息的载体如今已经出现了电话、短信、APP下载和微信等好多种方式，往往伪装成中奖、积分兑换、系统升级、APP更新的通知，但其最终都是需要受害者在放松警惕的情况下提供个人信息，包括手机号码、身份证信息、银行卡卡号和密码等，然后再依靠掌握的个人信息来看能够采取哪种盗刷方式。

　　在小张的案例中，他泄露的是手机号和身份证号，而验证码等则是因被拦截而被动泄露。但另外有类似诈骗模式则还会进一步伪装，诱导用户输入银行卡号和密码。实际上，如今有了手机、身份证号和动态的手机验证码，诈骗者就已经可以在支付网站以他人的名义进行注册，要是再继续获得了银行卡密码，其盗刷的成功几率就更大了。

　　而由于用户对诈骗信息的防备逐渐提高，这类诈骗的迷惑性越来越强，且用户的被动受骗倾向越来越大——如果说以往的中奖短信还利用了普通人的贪念的话，现在的诈骗手段已经能做到让手机用户被动地参与到信息泄露之中。

　　小张另外发现的一个案例中，受害者尽管点开了诈骗信息中的网址，但并未输入任何个人信息，此后却仍然发生银行卡被盗刷。后来受害者才意识到，他最初点击的实际上是一个盗取信息APP的下载链接，只是伪装成了一个网址。

　　和这些依靠人的疏忽骗取信任不同，还有一些诈骗环节的技术本身都已经相当成熟，比如小张遇到的伪基站冒充官方短信号码这个环节。21世纪经济报道查询相关报道就发现，伪基站冒充官方短信号码的案例在全国各地层出不穷，已经是一个很普遍的诈骗手段。全国有多个省市的警方也都曾向公众发出过有伪基站冒充官方发送诈骗信息的提醒。

　　央视《经济半小时》栏目今年9月末的一个报道就用多个品牌的手机做了测试，发现其选择的所有品牌的手机都接收到了伪基站发送的短信，显示的也是运营商官方的短信号码，并且这类基站只需要一定的物理覆盖距离，不需要手机号码也能向这一范围内的手机用户发送信息，“覆盖范围内至少50%会收到伪基站的短信”。

　　这个环节的迷惑性在于，一旦确认信息发送来源是熟悉商家的号码之后，用户对信息的信任度会明显提高，正被其他事情占据时间和精力的用户尤其如此。央视的报道中，多个案例的当事人都是在忙于思考其他事情时收到官方号码“发来”的短信，因此并未仔细辨别短信给出的网址和内容。

　　小张也回忆他当时收到短信时，刚好手机话费有欠费，因此基于保证通信，便也放松了警惕，“仔细想起来那条信息给出的wap网站和以前官网操作过的界面还是有区别，但需要仔细鉴别”。

　　更重要的是，诈骗短信的内容也在不断“推陈出新”：此前媒体的报道中伪基站模仿10086发出诈骗短信时用的还是“积分兑换xx元现金”的引诱性话语，而到小张已经优化成了“积分直接兑换xx元话费”，更接近于商家实际的积分兑换模式。

　　另外有遭遇伪基站假冒银行发送短信的案例中，诈骗短信内容已经变成了“邀请参加做任务换取积分的活动”。而记者查询不同银行的官网发现，这类积分活动在国内信用卡商户中的确也很普遍。

　　一、恶意APP如何吸血？

　　作为集通讯、支付、社交多功能于一体的新型信息交互工具，一个移动智能终端(手机及平板电脑等)往往能装载一个现代人大部分的隐私与账户信息。也正因此，许多不法分子会以APP(应用程序)为掩护、“黑”进一部手机从而获取隐私信息与金钱财产。

　　中国移动官方新公布的警惕名单中，“s.spread.backup.a(僵尸相册)、s.system.ChaosEngine.a(混沌机器)、s.payment.pluginserver.a(伪诺基亚扣费补丁)”等恶意手机软件都榜上有名。

　　以“僵尸相册”为例，这类软件会通过短信链接进行传播，向用户发送短信“你有一条未读彩信相片，请免费下载安装彩信相册查看”，诱骗用户下载安装；安装后恶意软件隔一段时间就与后台联网并自动向某批号码发送短信。

　　这类软件安装后会自动运行，并在开机后自启。它们隐瞒用户发送短信，在不知不觉中消耗手机资费，最终影响手机的正常使用。

　　其中，水货品牌与中小杂牌是恶意APP的重灾区。“现阶段我国存在众多小品牌手机甚至山寨手机，这些终端出厂时安装的软件很难保证。即便是一些大牌的手机商有时也防不胜防，部分员工会通过隐蔽手段把一些恶意APP装上去。”手机中国联盟秘书长王艳辉告诉21世纪经济报道记者。

　　恶意扣费何时休

　　作为监管部门授予的国内首批应用自律白名单企业，中国移动总结列举了多个“吸血”APP的运行特点。

　　为操作系统为Symbian 6.0第三版、第五版的手机终端用户“量身订作”的“吸血”APP，便是通过网络下载进行传播。恶意软件伪装成功能软件诱骗用户下载，用户下载安装后不显示图标，安装完成后在后台联网。一旦使用了这一APP，智能手机将会自动屏蔽10086短信，用户手机无法正常看到收到的10086短信。同时，这类软件会在消费者毫不知情的情况下通过手机后台自动联网，从而消耗客户网络漫游的资费。

　　此外，一些恶意广告APP会保持手机处理器后台长时间唤醒，用于上传和下载广告数据。这也造成有些用户手机的电量即便在待机状态也迅速消耗。有统计数据显示：每款恶意广告应用平均每天要消耗电量630 mAh，相当于普通手机电池总容量的35%。

　　更有甚者，一些“恶意扣费”软件会自动拨打一些固定号码，并自动连接部分链接，从而在用户浑然不知时就产生一大笔费用。

这些APP之所以如此神通广大，是因为其在手机内置了一些SP收费(移动信息费，多为增值服务收费)代码，这些代码