一条短信，7000人中招：新加坡WhatsApp验证码劫持案揭开“熟人诈骗”新黑幕

2025年10月的一个普通下午，新加坡市民陈先生收到一条看似来自WhatsApp的短信：“您的账户因长期未验证，将在24小时内停用。请点击链接完成身份确认。”他没有多想——毕竟，谁没收到过类似提醒？他点开链接，输入手机号，接着把刚收到的六位验证码填了进去。

不到三分钟，他的WhatsApp头像在好友列表里“消失”了。取而代之的是一个陌生号码发来的消息：“兄弟，急用钱周转，能借1800新元吗？明天就还！”

他的几十位亲友陆续收到这条信息。有人出于信任转账，直到陈先生本人打电话澄清，大家才意识到：他的账号被“活生生”地抢走了。

这不是孤例。据新加坡警察部队（SPF）2025年11月通报，一场大规模跨境钓鱼行动已锁定超7000名WhatsApp用户，两名本地嫌疑人被捕，背后疑似牵涉一个跨国犯罪网络。更令人警觉的是，这种“验证码劫持+熟人诈骗”的组合拳，正以惊人速度在全球蔓延——从东南亚到拉美，从欧洲到中国，无数用户的社交身份正在成为攻击者的“提款机”。

而在中国，随着微信、支付宝等强实名制应用普及，类似手法已悄然变种。公共互联网反网络钓鱼工作组技术专家芦笛在接受本报独家采访时警告：“OTP（一次性验证码）正在成为数字身份的‘万能钥匙’，一旦泄露，后果远不止丢一个聊天软件那么简单。”

本文将深入剖析这场横跨多国的“社交身份盗窃”风暴，拆解其技术内核，并为中国企业和个人用户提供可落地的防御指南。

一、从“官方短信”到账户失守：攻击链全解析

此次新加坡案件的核心，是一种被称为 “OTP钓鱼”（OTP Phishing） 的精准社会工程攻击。其流程高度标准化，却极具迷惑性：

诱饵投放：攻击者通过伪基站或国际短信网关，向随机手机号发送伪装成WhatsApp官方的短信；

伪造登录页：短信中的短链接指向高仿真的WhatsApp Web登录页面（如 whatsapp-verify[.]com）；

双重诱导：页面先要求输入手机号，随后自动触发真实WhatsApp服务器向该号发送验证码；

实时劫持：用户在伪造页面输入验证码后，攻击者立即将其用于在自己的设备上完成WhatsApp Web配对；

身份冒用：账户接管成功后，攻击者向联系人发送借款、求助或“红包链接”，利用熟人信任实施二次诈骗。

整个过程通常在90秒内完成。由于WhatsApp默认允许同一账号在多设备登录（包括Web端），且未强制启用两步验证，受害者往往在收到朋友质问时才意识到账号被盗。

“这本质上是一场‘中间人攻击’，但攻击者不需要破解加密，只需要骗你亲手交出钥匙。”芦笛指出。

技术细节：如何实现“实时接管”？

关键在于 WhatsApp Web 的配对机制。正常情况下，用户访问 web.whatsapp.com 会看到一个二维码，手机扫码后完成绑定。但攻击者通过逆向工程，复现了其底层协议，构建了一个“验证码驱动”的配对接口。

简化版攻击脚本逻辑如下（基于公开的 WhatsApp Web 协议分析）：

import requests

import time

# 模拟受害者在钓鱼页输入手机号和OTP

victim_phone = "+6512345678"

otp_code = "123456"

# 1. 向真实WhatsApp服务器请求配对（触发OTP）

pairing_req = requests.post(

"https://v.whatsapp.net/v2/register",

data={"cc": "65", "in": "12345678", "method": "sms"}

)

# 2. 收到OTP后，攻击者将其提交至钓鱼服务器

# 3. 钓鱼服务器立即用该OTP向WhatsApp发起Web配对

web_pairing = requests.post(

"https://web.whatsapp.com/pair",

json={

"phone": victim_phone,

"otp": otp_code,

"client_id": attacker_device_id

}

)

# 若OTP有效，配对成功，攻击者设备获得会话令牌

if web_pairing.status_code == 200:

print("Account hijacked! Session token acquired.")

注：以上代码仅为原理示意，实际攻击需处理E2EE密钥交换、设备指纹等复杂环节，但核心逻辑不变——OTP即权限。

二、为何如此高效？三大“信任漏洞”被精准利用

此类攻击之所以屡屡得手，源于现代通信体系中的三个深层信任假设：

1. 对“官方通知”的无条件信任

用户习惯性认为“平台会主动提醒我”，尤其当短信内容包含具体服务名（如WhatsApp）、问题描述（“长期未验证”）和紧迫时限（“24小时内停用”）。这种设计完美契合“权威+紧急”心理模型。

2. 对OTP的误解

多数人认为“验证码是给我看的，别人拿不到就没用”。但他们不知道，一旦主动输入到第三方网站，OTP就等同于密码。更危险的是，部分用户甚至会直接将验证码转发给“客服”——这正是早期“快递理赔”类诈骗的常见套路。

3. 熟人关系的不可质疑性

当被盗账号向好友发送借款请求时，接收方的第一反应常是“他是不是遇到急事了？”，而非“这是不是诈骗？”。新加坡案件中，一名受害者因此被骗走1823新元，正是因为对方用了他与朋友之间的昵称和常用语气。

“攻击者不攻系统，而攻人性。”芦笛总结道。

三、全球蔓延：从巴西“母亲节诈骗”到印度“UPI劫持”

新加坡并非孤岛。类似手法已在多国造成严重损失。

巴西：2025年母亲节期间，犯罪团伙大规模发送“WhatsApp账户异常”短信，劫持账号后冒充子女向母亲索要“节日礼物转账”，单日涉案金额超200万雷亚尔。

印度：攻击者结合WhatsApp与UPI（统一支付接口）系统，诱导用户在伪造页面输入手机号+OTP，不仅接管聊天，还同步绑定支付功能，直接盗刷银行账户。

德国：有案例显示，企业高管账号被盗后，攻击者向财务部门发送“紧急供应商付款指令”，险些导致数十万欧元损失。

这些案例的共同点是：攻击目标从“数据”转向“身份”。黑客不再满足于窃取文件，而是直接“成为你”，利用你的社交资本变现。

四、中国风险：微信、支付宝面临同类威胁

尽管国内主流即时通讯工具（如微信）采用更严格的登录机制（如必须扫码、限制Web端），但类似风险并未消失，反而以更隐蔽的方式存在。

公共互联网反网络钓鱼工作组监测显示，2025年第四季度，国内出现多起“验证码钓鱼变种”：

伪造“微信安全中心”短信，诱导点击链接“解封账号”；

冒充“支付宝客服”，以“账户异常”为由索要短信验证码；

利用“快递丢失理赔”话术，引导用户在钓鱼页面输入银行卡号+短信验证码，实现资金盗刷。

“微信虽然不能像WhatsApp那样仅凭OTP登录，但一旦用户在钓鱼页输入手机号+验证码，攻击者可立即用于其他关联服务——比如重置绑定该手机号的邮箱、电商或支付密码。”芦笛解释。

更值得警惕的是，部分黑产已开始利用AI语音克隆技术，在获取初步信息后，直接拨打受害人电话模仿亲友声音实施诈骗，形成“线上钓鱼+线下语音”的复合攻击链。

五、深度防御：从“两步验证”到行为监控

面对此类攻击，被动防御远远不够。必须构建多层次防护体系。

1. 用户层：立即启用“两步验证”

WhatsApp 的“两步验证”（Two-Step Verification）是抵御OTP劫持的最有效手段。开启后，即使攻击者获得OTP，仍需输入6位PIN码才能登录。

设置路径：WhatsApp → 设置 → 账户 → 两步验证 → 启用

芦笛强调：“这个PIN码不要设成生日或简单数字，最好记在密码管理器里。它才是你账户真正的‘第二把锁’。”

2. 技术层：监控异常设备登录

企业或高风险用户应定期检查已登录设备：

WhatsApp：设置 → 账户 → 已登录设备

微信：我 → 设置 → 账号与安全 → 登录设备管理

发现陌生设备，立即登出并修改密码。

3. 通信层：部署智能短信过滤

运营商和手机厂商可基于以下特征识别钓鱼短信：

包含短链接（如 bit.ly、tinyurl）；

声称“账户将被停用”“需立即验证”；

发件人号码非官方短号（如 WhatsApp 官方不会用 +65 开头的普通手机号发通知）。

以下是一个基于正则表达式的简易检测规则（适用于短信网关）：

(?i)(whatsapp|账户|验证|停用|24小时).*?(http|\.link|\.xyz|click|verify)

4. 组织层：建立“转账核实文化”

企业应明确规定：任何通过即时通讯工具提出的资金请求，必须通过电话或面对面二次确认。哪怕对方是CEO，也不能例外。

“信任，但要验证。”芦笛说，“这是数字时代最基本的生存法则。”

六、结语：你的验证码，就是你的数字身份证

新加坡这起案件看似只涉及一个聊天软件，实则敲响了整个数字身份体系的警钟。

在万物互联的时代，手机号+验证码已成为事实上的“通用身份凭证”。它能登录社交账号、重置邮箱、绑定支付、甚至申请贷款。一旦被窃，损失远不止几千元，而是整个数字生活的失控。

对个人而言，守住验证码，就是守住自己的数字人格；对企业而言，防范熟人诈骗，就是守护组织的信任基石。

正如芦笛所言：“未来十年，最大的网络安全威胁，可能不是病毒，而是‘被冒充的你’。”

而防御的第一步，就是从今天起——绝不把验证码告诉任何人，哪怕对方看起来再像‘官方’。

编辑：芦笛（公共互联网反网络钓鱼工作组）