文章目录
题目
Preventing SIM Box Fraud Using Device Model Fingerprinting
使用设备型号指纹识别防止SIM盒欺诈
需求
利用设备型号指纹识别防范SIM盒子诈骗
SIM盒子在国际规模诈骗的地下生态系统中起着至关重要的作用,这些诈骗从全球的个人受害者和移动网络运营商(MNOs)中窃取了数十亿美元。
👽针对这些欺诈行为,人们提出了许多缓解方案,主要目的是检测欺诈呼叫会话;
现有的工作建议仅在默认选项下手机不同设备模型的控制平面特征,但是实验表明,属于同一设备模型的特征向量可能因其选项而不同。换句话说,一旦终端用户定制不同设置的移动设备,同一模型的特征向量可能会发生变化。在实际应用中,人们可以通过配置设备来使用特定的无线电频段或首选网络。
想法
然而,解决这一问题的一种直接方法- -防止SIM盒子设备的蜂窝网络使用- -尽管其具有很高的预期效益,但并没有引起太多的关注。这正是本文所要实现的目标。
方案提出
提出了一种简单的访问控制逻辑,用于检测未经授权的SIM盒使用蜂窝网络进行通信的情况。
我们的防御建议的核心是设备型号和设备类型的精确指纹,而不依赖于国际移动设备身份(可以很容易地伪造)
-
威胁模型
考虑SIM卡盒欺诈,既包括互连旁路欺诈,也包括语音诈骗欺诈。
这些SIM卡欺诈的主要目的是通过操作本地MNO的SIM卡来成功地进行语音通话。
假设敌手拥有合法的手段通过合法发布的本地SIM访问商业MNO的网络。
不考虑直接或间接影响设备制造商或基带供应商的供应链攻击者。
因此,敌手不能对设备和基带实现或由这些系统产生的消息进行任意更改。
-
防御目标
方案目标是防止未经授权的SIM盒在蜂窝网络上进行呼叫。
为了强有力地防止这种未经授权的呼叫访问,提出了一种MNOs的访问控制策略,以便为其上的任何设备部署和执行。
方案目的是为未授权的SIM卡提供一个精确而微妙的访问控制逻辑,以便MNOs阻止非法使用SIM卡通话的情况,而不是合法的情况;例如电话营销。
根据访问策略,合法应用的SIM卡应该在每个MNO预注册(例如,自我注册),以便允许他们进行语音呼叫访问。
收集两个控制平面消息→转换为键值列表→收集特征向量→改变设备配置→手动规格分析→自动模型内分析(剪枝处理)→自动细化特征向量→将特征向量定义为指纹
构建设备模型指纹
从控制平面消息中构建反映设备模型之间差异的指纹。当设备模型具有唯一指纹时,可以使用这些指纹来识别设备模型,而不是IMEI
更具体地说,目标是通过使用指纹来识别一个设备模型,例如Galaxy S4或iPhone 13。
改变设备配置
对每个设备进行特征向量转换,同时改变其配置。
终端用户通过两种方式定制设备配置:设置选项卡和工程模式。
选择与网络相关的配置,因为关注的是包含网络能力的控制面板消息。下图覆盖了大部分可以使用设置选项卡或工程模式进行修改的配置。
特征的系统性剪枝
从所有测试设备收集的具有可用选项的消息转换为特征向量后,对这些特征进行了系统的剪枝。
原因:
- 大特征空间中并非所有可用的特征都是设备模型特有的。
- 设备模型(因此,对指纹识别是有用的)特有的特征随着时间的变化而变化,为了适应这种变化,剪枝需要频繁地进行。
剪枝:
-
构建一个过滤器,一个非设备模型和配置特定的特征列表;
手动检查规格说明;
自动对比分析之前步骤中收集的特征向量
-
通过移除过滤器中列出的特征,构建一个精化的特征向量。
详细:
①规范分析
(规范体量巨大,对这一人工分析阶段进行了规则设定)
首先,主要关注构成目标消息(即ATTACH Request和UECapabilityInformation)的IE和字段
其次,只选择满足以下三个性质之一的特征:
(1)个人用户特有的(例如, IMSI或TMSI等标识符)
(2)会话特有的(例如MAC、序列号等)
(3)与先前连接相关的(例如,安全上下文的类型)
过滤器具有31个特征,包括22个IE和9个字段。
②模型内分析
(找出具有相同配置的设备模型中值不一致的特征)
对具有相同配置的同一器件模型进行多次转换:
- 使用不同频段的设备
- 使用不同的SIM卡( (但拥有相同的公共陆地移动网络( PLMN ))
结论:
即使在来自同一设备的消息中,一些嵌套的特征也是有序混合的,从而产生了不同的特征向量。(具体来说,嵌套特征的值本身是相同的,但它们以不同的顺序列出,从而产生不同的特征向量)为了考虑这个问题,排除那些嵌套的特征。
有助于揭示在第一阶段不应该用于指纹的遗漏特征。
③特征向量精化
(使用所有特征的并集来细化特征向量)
指纹:来自一个具有多种配置选项的设备的多个细化特征向量的集合
评估构建的指纹:
[ Q1 ]智能手机是否具有独特的指纹?
[ O1 ]智能手机实际上具有独特的指纹;因此,它们的指纹可以实际用于表示器件模型。
[ Q2 ]什么使得智能手机可以指纹化?
[ O2 ]智能手机通过其指纹与其他设备类型毫不含糊地分离。
[ Q3 ]SIM 卡是否可指纹化?
[ O3 ]智能手机以外的设备模型也具有高度可区分的控制平面特征,但它们可能并不唯一。
SIM Box 欺诈防御系统
该系统是第一个在蜂窝网络中防止(也就是说,在欺诈开始后不被发现)未经授权的SIM - Box语音通话的系统。该系统采用访问控制列表( access control list,ACL )和严格的物联网运营策略。
ACL用于语音通话
从连接到网络的设备获得的三个正交字段:
( i )设备报告的IMEI,
( ii )报告的指纹(或控制平面特征)
( iii )订阅计划(或者简单的一个计划)
分两个阶段对其进行解释:
阶段1:使用指纹和报告的IMEI来验证IMEI值是伪造的。
阶段2:当系统在第1阶段无法判断IMEI的有效性时,设备被发送到第2阶段使用订阅计划进行进一步决策。
阶段1:使用指纹:
(1)F1:报告的 IMEI 中TAC值对应的模型的指纹(从系统的指纹数据库中获得的,如果数据库没有覆盖已报道的IMEI对应的模型,可能不会被发现)
(2)F2:报告的指纹
决策:
-
如果 F1和F2匹配,我们认为它是非欺诈的(例1和例6)
-
如果 F1在数据库中被发现但与F2不匹配,则认为是欺诈案件(例2 ~ 5和7)。
-
如果 F2 与数据库中的智能手机指纹匹配,但其IMEI报告不匹配,我们将其视为欺诈案件( Case 8 )。
阶段2:使用订阅计划:
第二阶段处理第一阶段无法具体验证IMEI的设备。
由于[ O3 ]的存在,物联网设备的型号无法通过指纹严格确定。也就是说,在这些情况下并不能完全排除 SIM 盒子使用的可能性。
操作策略通过检查订阅计划以及IMEI和控制平面特性(例9 - 12)来确认对系统的非授权访问。
"不允许对非注册的物联网设备进行电话计划”
-
如果识别出的设备被认为是物联网设备,并且订阅了物联网计划,则接受设备(例10 , 12)
-
如果被识别的设备被认为是物联网设备并订阅了电话计划,则拒绝其接入
实验
实验表明,由网络层辅助信息构建的指纹,具有超过31K的特征,在85部智能手机中大部分是不同的,因此可以用来防止绝大多数非法SIM卡进行未经授权的语音通话。
(实行)在运营网络中的部署
分析各阶段开销:
引导→规格更新→新设备和固件版本的发布→部署系统所需的操作网络变化
构建指纹库开销
( S1 )特征向量采集与转换,( S2 )规范分析,( S3 )模型内分析,( S4 )特征向量精化
只有S1和S2需要人工手动完成,而S3和S4是自动完成的过程
主要考虑来自S1和S2的系统开销:
(S1)特征向量的采集与转换
配置修改,不到20分钟。使用修改后的srsLTE实现,并手动更改智能手机配置。
使用手机镜像和自动化工具,如scrcpy,实现基于计算机的手机控制,从而自动化收集过程。
(S2)规范分析
检查每个特征的作用,并确定是否适合构建指纹,人工检查3GPP规范是不可避免的。
借助规范结构:
(1)特征定义的表结构(2)嵌套结构
在5h内完成这一分析,只在引导阶段进行一次
规范更新中的开销
由于用于剪枝特征的滤波器是基于规格说明建立的,每当规格说明更新时都需要对其进行更新,这可能需要巨大的维护成本。
然后可部署,原因如下:
(1)规范不是从零开始编写的,这意味着分析添加的特征所需的努力在之后并不需要相当大的人工努力。
平均每个版本新引入21个IE和73.3个字段。例如,随着新的无线电技术( 5G )的引入,15版本中包含了大量的新特性。
(2)规范更新需要几个月的时间,因此只需要每隔几个月进行一次调查
(3)规格总是出现在相应的器件之前,使得提前生成滤波器成为可能
处理新设备/固件时的开销
考虑到每年引入许多新设备的运营网络,系统需要进行构建指纹和更新现有指纹的过程。
两个潜在问题:
(1)指纹构建的开销;
处理新设备和固件所需的步骤并不一定需要人工参与。除对规范进行人工分析外。
MNOs可以收集新的指纹,并将其添加到数据库中,甚至在新产品发布之前,借助制造商之间的关系。
(2)跟踪所有新设备和固件的困难.
MNOs可以从测试中收集新设备和具有新固件的设备的控制平面消息
运营网络的必要变化
使用了两个不同的控制平面协议(即NAS和RRC)中的控制平面消息,每个协议分别由不同的实体(即MME和eNB)管理。
每个具有不同角色的实体对控制面板消息上的不同信息集的访问是有限的;例如,eNBs无法监视NAS消息,MMEs无法看到RRC消息。
幸运的是,eNBs和MMEs之间已经存在信道,更重要的是,它们被用来交换我们使用的控制平面消息。
每当eNB收到1 )设备的UECapabilityInformation或2 ) MME的请求时,eNB将设备能力交付给MME。
因此,检测系统不需要为操作网络增加额外的通道,也不需要为新标准提供新的报文格式。只有通过与MMEs通信,核心网才能收集用于生成指纹的控制平面消息。因此,核心网只需对MME进行增量更改就可以接收到两个消息。
诈骗分子—绕过预防体系
高级诈骗分子希望在系统部署后能够规避SIM盒子防诈骗系统。他们将试图操纵控制面消息和IMEI到SIM盒子模拟的模型。
(不考虑供应链攻击者,欺诈者无法操纵基带芯片组本身。)
三种攻击:
1 )改变SIM盒配置,
2 )用MitM设备修改控制平面消息,
3 )实现完全可控的软件SIM盒。
更改SIM盒子的配置
考察欺诈者是否可以使用自己的SIM卡生成与智能手机相同的指纹.
在开发板中嵌入了市场上SIM盒广泛使用的两个版本的芯片组EC25 - E
影响控制平面消息的操作有两种方式:
( 1 )发送AT命令;
( 2 )修改芯片组(称为调制解调器配置二进制, MBN)固件中的配置文件。
利用Mitm设备进行Control - Plane消息操作
软件SIM盒的实现
结论
作为第一个实用、可靠的非授权蜂窝设备模型检测方案,大大简化了对SIM盒子欺诈的缓解。
关于互联旁路欺诈
https://www.mobileum.com/products/risk-management/fraud-management/bypass-fraud/