Google Voice 验证码骗局——运作方式及如何保护自己
可用语言
你正在 Facebook Marketplace 或 Craigslist 上卖东西。一个买家给你发消息,看起来很感兴趣,然后请求你帮一个小忙:"我只需要确认你是真人——你能把我发到你手机上的验证码读给我听吗?"
听起来无害。但实际上并非如此。这就是 Google Voice 验证码骗局,它是针对普通人最有效的社会工程攻击之一。以下将详细介绍它的运作方式、为什么它很危险,以及如果你已经上当该怎么办。
Google Voice 骗局的运作方式
这种骗局遵循一个可预测的模式,但它被设计成在当下让人感觉自然合理。
第 1 步:布局
骗子通过在线交易平台、分类广告或论坛找到你——你在这些地方发布了自己的电话号码。他们就你的商品联系你,表现出兴趣以建立信任。
第 2 步:"验证"请求
经过简短的交流后,骗子告诉你他们想确保你"不是机器人"或"不是骗子"——鉴于接下来要发生的事情,这非常讽刺。他们说会发送一个验证码到你的手机号码,并要求你把验证码读给他们听。
第 3 步:验证码到达
你收到一条来自 Google 的短信,包含一个 6 位数验证码。短信本身就警告你不要分享它:
"G-XXXXXX 是你的 Google Voice 验证码。请不要与任何人分享。"
第 4 步:你分享了验证码
在"验证你的身份"的幌子下,骗子要求你大声读出验证码或将其输入到消息中。你这样做的那一刻,他们就将验证码输入到 Google Voice 中——并将你的手机号码关联到他们的 Google Voice 账户。
第 5 步:你的号码被劫持
骗子现在拥有一个与你真实手机号码绑定的 Google Voice 号码。他们可以用它来:
- 拨打和接听看起来来自你号码的电话
- 发送追溯到你的短信
- 利用你的号码作为信任信号进行额外的诈骗
- 拦截发送到你号码的验证码
为什么这种骗局如此危险
Google Voice 骗局不会直接偷你的钱。它的危害更加隐蔽:
你的号码变成诈骗工具
骗子利用你的号码欺诈他人。当那些骗局的受害者举报该号码时,被标记的是你的号码——而不是犯罪者的。
身份验证滥用
许多在线服务使用电话号码进行身份验证。通过控制与你关联的 Google Voice 号码,攻击者可能会拦截其他账户的基于短信的双因素认证验证码。
连锁式账户沦陷
如果攻击者获取了验证码的访问权限,他们可以尝试重置你的电子邮件、银行或社交媒体账户的密码——特别是如果这些账户使用基于短信的双因素认证。
需要警惕的危险信号
学会在为时已晚之前识别这些警告信号:
| 危险信号 | 实际含义 |
|---|---|
| "把我发给你的验证码读给我" | 他们正在用你的号码完成 Google Voice 的设置 |
| 强调验证码即将过期的紧迫感 | 施压让你在来不及深思之前就行动 |
| 将对话从平台转移出去 | 让平台更难检测和干预 |
| 拒绝电话通话 | 他们不想让你听到他们的声音或验证他们的身份 |
| 过于详细的背景故事 | 建立虚假信任以降低你的警惕 |
| 过早索要你的电话号码 | 他们需要你的号码来发起验证 |
黄金法则: 没有任何合法的买家、卖家或服务会要求你分享验证码。这些验证码是为你的账户准备的,不是为他们准备的。
如果你已经被骗了该怎么办
如果你已经分享了 Google Voice 验证码,请迅速采取行动:
1. 找回你的 Google Voice 号码
访问 voice.google.com 并使用你的 Google 账户登录。如果骗子关联了你的号码,Google 提供了找回的流程:
- 进入 设置 > 账户 > 关联号码
- 按照提示验证所有权并取消骗子的访问
2. 更改你的 Google 账户密码
立即将你的 Google 密码更新为一个强壮且唯一的密码。如果你在其他地方也使用了这个密码(你不应该这样做),也一并更改。
3. 启用双因素认证
使用身份验证器应用(Google Authenticator、Authy 或类似应用)而非短信验证来设置 Google 账户的双因素认证。基于应用的双因素认证明显比短信验证更难被攻击者拦截。
4. 检查你的账户活动
在 myaccount.google.com/security 查看你的 Google 账户的最近安全事件。注意查看:
- 无法识别的登录
- 你没有添加的新设备
- 你没有做过的备用邮箱或手机更改
5. 举报骗子
在你被联系的平台上举报骗子(Facebook Marketplace、Craigslist 等)。你也可以向以下机构提交报告:
- FTC:reportfraud.ftc.gov
- FBI 的 IC3:ic3.gov
今后如何保护自己
永远不要分享验证码
这一点值得反复强调:没有任何合法人士会要求你提供验证码。无论是买家、卖家、技术支持还是银行,都不会。如果有人要求,那就是骗局。每次都是。
使用单独的号码用于在线商品发布
如果你经常在网上出售物品,考虑使用一个你自己控制的 Google Voice 号码作为对外公开的号码。将你的真实号码保持私密。
对"验证"请求保持怀疑
任何主动通过验证码、链接或第三方服务"验证"你身份的请求,都应该默认视为可疑。
在公共网络上使用 VPN
虽然 VPN 无法阻止别人通过社会工程从你那里骗取验证码,但它确实保护了你更广泛的数字足迹。具有 AES-256 加密的 VPN 可以保护你的流量免受网络级窃听,并隐藏你的 IP 地址——进而隐藏你的大致位置——使潜在的跟踪者和骗子无法获取这些信息。
定期监控你的账户
在所有重要账户上设置登录通知。如果有人试图使用你的电话号码重置密码或验证账户,你会立即知道。
更大的视角
Google Voice 验证码骗局是社会工程的典型案例——利用人类心理而非技术漏洞的攻击。验证码本身是合法的。流程是合法的。唯一不合法的是那个要求你提供验证码的人。
这就是为什么网络安全不仅仅关乎软件和加密。它关乎意识。世界上最好的防火墙也无法帮助你,如果你心甘情愿地交出了钥匙。
保持怀疑。永远不要分享验证码。如果感觉不对劲,相信你的直觉——它们通常是对的。
文章标签