安省居民一夜被清空银行账户，损失$5.5万！官方紧急警告

根据加拿大反欺诈中心 (CAFC) 最新发布的警告，随手把一个短信验证码交出去，可能让你损失数万元甚至更多。

在安省，“验证码劫持（passcode hijacking）”已经导致受害者多个账户被完全控制，有人损失高达 5.5 万加元。

以下是这种骗局的运作方式以及识别它的几个危险信号。

骗局是怎么发生的？

CAFC 在本周二（4 月 22 日）发布的通告中指出，诈骗分子通常已经掌握你的手机号码或电子邮箱地址，他们会尝试登录帐户，从而触发系统向你发送一次性验证码（OTP）。

“随后，犯罪分子会冒充银行、电信公司、客服人员，甚至是你的熟人联系你，并要求你分享这组验证码。”CAFC 解释道。

一旦你把验证码交出去，对方就会立即接管你的账户，将你踢出账号，并继续诈骗你的其他联系人。

安省居民一夜损失5.5万

在安省过去的案例中，这类攻击往往会导致受害者被彻底锁定在包括邮箱、银行 app 在内的多个数字账户之外。

今年 2 月，彼得伯勒（Peterborough）警方曾发出警告，一位 Trent Lakes 居民报案称，其账户被黑客盗走数万加元。受害者被假冒手机服务商的骗子诱导，主动把验证码交了出去。

不久后，这位居民的电子邮箱和手机都被黑，设备失效。之后银行账户被非法访问，账户里约 5.5 万加元被盗走。

专家解读：这其实是“SIM卡劫持”

加拿大网络安全专家 Ali Dehghantanha 表示，根据受害者向警方描述的经过，这类骗局很可能属于 SIM 卡调换诈骗（SIM-swap fraud）。

“在这类骗局中，骗子并不是直接黑进你的手机，而是夺走你的手机号控制权，用来拦截验证码，重设电子邮箱和银行账户密码。”Dehghantanha 解释道。

流程大致如下：

• 黑客提前掌握你的个人信息（可能来自数据泄露）
• 冒充你联系运营商
• 谎称“手机丢了”，要求更换SIM卡
• 系统发送验证码验证身份
• 骗子诱导你提供验证码
• 你的手机号被转移到他们的SIM卡上

结果：

• 你的SIM卡失效
• 骗子接收所有验证码
• 所有账户被重置密码

专家强调，在这种情况下，多重身份验证（MFA）本身没有被破解，而是人被“骗”了。

“最薄弱的环节，永远是人。”

如何判断你可能已经被攻击？

出现以下情况要高度警惕：

• 手机突然无信号
• 无法登录账户
• 出现异常登录记录
• 收到运营商异常通知

一旦发生，立刻联系手机运营商和银行。

如何保护自己？

专家建议：

• 接到银行/运营商电话或短信时保持警惕
• 不要直接提供验证码（这是底线）
• 挂断后，通过官网电话自行核实
• 尽量使用 App 验证（如Authenticator）或硬件安全密钥
• 优先保护邮箱账户=所有账户的“总钥匙”