一條短信驗證"我是人類"？全球詐騙已騙四年

你剛點開一個鏈接，頁面跳出熟悉的驗證碼框——點擊"我不是機器人"，然后系統讓你發條短信到某個號碼"完成驗證"。這條短信可能正在掏空你的話費。

網絡安全公司Infoblox的最新報告揭露了一種從2020年6月就存在的詐騙手法。它不靠釣魚鏈接，不靠惡意軟件下載，而是利用一個你每天都在用的東西：手機短信。

四年未止的"驗證"騙局

Infoblox研究人員David Brunsdon和Darby Wise追蹤發現，這場針對驗證碼（CAPTCHA）的詐騙至少從2020年6月就開始活躍。他們鎖定了17個國家的35個電話號碼，全部用于接收受害者"自愿"發送的短信。

詐騙的精妙之處在于延遲傷害。國際短信費用不會即時提醒，受害者往往在幾周后收到賬單時才察覺異常。此時，那次"驗證我是人類"的網頁互動早已被遺忘，多數人只會歸咎于運營商計費錯誤，而非追溯到一個早已關閉的釣魚頁面。

研究人員指出，這種低感知、低追溯的特性，正是該詐騙長期未被廣泛報道的核心原因。

多步驟陷阱：一條變五十條

這不是簡單的"發一條短信"騙局。Infoblox拆解了假驗證碼的完整流程：頁面顯示多步驟驗證，每一步都預設了十幾個國際號碼。受害者以為自己在完成一次人機驗證，實際上系統正在后臺觸發向50多個國際目的地的短信發送。

「假驗證碼有多個步驟，每條由網站生成的消息都預設了十幾個電話號碼，這意味著受害者不是被收取單條短信費用——而是被收取向50多個國際目的地發送短信的費用。」Brunsdon和Wise在報告中寫道。

費用流向何處？攻擊者通過與電信運營商的收入分成協議獲利。你的每一條"驗證短信"，都在為詐騙者的賬戶充值。

流量劫持：如何被精準投放

詐騙頁面的觸達依賴惡意流量分發系統（TDS）。商業TDS服務原本用于合法的流量篩選和廣告投放，卻被攻擊者 weaponized（武器化）——它們根據用戶設備、地理位置、瀏覽器類型進行實時判斷，只把"高價值目標"導向假驗證碼頁面。

這意味著，如果你在某一刻看到了這個騙局，說明系統已經判定你值得被投放。TDS的篩選機制確保了詐騙資源的精準消耗，也解釋了為什么同一鏈接在不同設備上可能呈現完全不同的內容。

防御的唯一法則

Infoblox在報告標題中直接給出結論：「Unfortunately, it needs to be said: Do not send a text to confirm you are human」（很遺憾，但必須明說：不要發短信來證明你是人類）。

真正的驗證碼從不要求用戶主動發送短信。Google reCAPTCHA、Cloudflare Turnstile等主流方案均基于行為分析、圖像識別或無聲令牌驗證，無需任何出站通信。任何要求你發送短信"完成驗證"的頁面，都是詐騙。

對于已經遭遇的用戶， researchers 建議立即聯系運營商核查國際短信費用，并向相關機構舉報涉事號碼。但最有效的止損，發生在點擊"發送"之前。

為什么這件事值得警惕

這場騙局的危險性不在于技術復雜度，而在于它對用戶心智的精準利用。"驗證碼=安全"的認知慣性被反向劫持——攻擊者復制了熟悉的界面語言，卻把驗證動作替換為付費行為。

四年運營、35個號碼、17個國家、50+短信目的地——這些數字勾勒出一個被低估的威脅模型：當基礎設施（TDS、電信分成）成熟到可以流水線化運營時，最簡單的交互設計也能成為高效的獲利工具。

對科技從業者而言，這是產品安全設計的警示案例。驗證碼機制的信任基礎正在被系統性消耗，而用戶教育始終是最后一道、也是最脆弱的一道防線。