某天,你在一些资源站网站下载东西时,跳出一个验证下载页面,要求发送短信取得下载权
点击“继续”后,页面自动跳转到短信发送界面,收件人和短信内容已被自动填好
电话、短信、邮件填充演示
关于短信还有一点小知识,那就是短信里160个字符(仅英文、数字情况)算一条,超出另算,所以下面这个740字的短信要算5条短信费
也就是,我们按国际短信 1元/条算
你不小心点了发送,总共需要花费:100人 * 5条 * 1元 = 500元
看似发送一条短信,实则是500条短信
当然,这样发送大概率会触发运营商风控,导致部分失败。所以骗子会控制在一个合理的数量,来平衡收益
那骗子是如何从中获利的呢?
先说国内的情况。很早以前,三大运营商都接入了短信联盟,为各种第三方业务提供增值短信服务
例如,你可以发送短信到指定号码获取天气预报,一次收费2元。天气预报提供商和运营商会一起参与短信费的分成
后来由于乱扣费等问题被整顿,现在这种模式在国内基本已经消失了
再看国外。根据巨头爱立信2025年写的 AIT 白皮书(详见文末)的描述,这个问题长期存在,并且近年来被滥用的程度急剧上升
首先,骗子从号码运营商(或号码聚合运营商)那里租赁一批号码
骗子可能伪装成正规营销公司去申请号码
接着,签约短信费分成协议
然后,骗子在各种网站上投放广告,制造需要短信验证的场景
只要用户发送了短信,骗子就能拿到短信费的分成
这种手段简单且高效,每次涉及的金额不大,很多人选择认栽放弃追回
骗子对此进行的伪装
如果你在liteapks上面下载App,会看到一行小字提醒
虽然没明说,但已经在告诉你:
点击下载按钮后会出现一个弹窗广告,需要你关掉后再点一次下载
当你点击下载后,会跳出一个新网页,这是一个欺诈广告页
因为页面上写着需要发送短信才能下载应用,有些人就误以为是liteapks要求发送短信确认
无论你有没有发送短信,返回后都会刷新出一个新页面。此时点击上方的小下载按钮,是可以下载的
但是下载到的是virus scanner这个应用
点下面的立即下载则是继续发送短信
再次诱导
如此反复,直到受害者欠费停机
如何防范
1、如果你没有国际短信、电话需求,可以联系运营商客服关闭该功能
不用担心微软、谷歌等发来的验证短信,它们都会通过国内代理商发送给你
2、现在,短信相当于一个人的授权令牌。除了常用的微信、QQ、银行等要求发送短信验证的情况外,其他一律不要发。因为对方有可能用你的号码注册奇怪的应用、办理业务,或者像本文所提到的,纯粹为了骗取短信费
3、你的浏览器没有拦截?你应该考虑加个广告过滤插件,他可以主动拦截欺诈网站和不良广告
via拦截演示
参考资料
(whitepaper)AIT – The root cause, the Solution and the Implication on RCS and Network APIs
https://www.ericsson.com/en/reports-and-papers/white-papers/ait-the-root-cause-the-solution-and-the-implication-on-rcs-and-network-apis
What is SMS Pumping Fraud?
https://www.twilio.com/docs/glossary/what-is-sms-pumping-fraud
Fake CAPTCHA scam turns a quick click into a costly phone bill https://www.malwarebytes.com/blog/news/2026/04/fake-captcha-scam-turns-a-quick-click-into-a-costly-phone-bill
Fake CAPTCHA Scam Abuses Verification Clicks to Send Costly International Texts https://hackread.com/fake-captcha-pages-exploit-clicks-send-texts
工业和信息化部组织开展电信业务“明白办、放心用”行动
https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_7549175436294b3fb5945c2806e18a50.html