骗子怎样拿到了你的USIM卡?技术还原最新通信网络诈骗案


技术还原最新通信网络诈骗案 文 | 宁宇


  从4月11日开始,一篇名为《实录亲历网络诈骗,互联网是如何让我身无分文?》的文章刷爆了网络。


  作者"趣火星"(以下我称其为受害者)称,由于一条短信,他支付宝、银行卡及百度钱包内的所以资金,都被骗子彻底洗劫。


  一夜之间,倾家荡产。


  他是怎样被洗劫的?


0?wx_fmt=png


  这位蒙受巨大损失的受害者,并不了解通信与网络技术,直到最后也没有真正搞明白,黑客/骗子是如何洗劫自己的。


  昨天,雷锋网也有访谈安全专家,详细解析了整个过程的技术细节,非常专业全面。微博名人@奥卡姆剃刀也就此写了分析文章,认为此案是伪基站再次作祟。(两篇分析文章详见今日尚儒客栈转载)


  但以上的分析,在我看来仍存有疑问。


  这次,我并没有联络北京移动,也未拿到客户的信息和数据,仅从受害者的实录和业务逻辑,技术分析一下这枚核弹是如何被引爆的。


  整个案件的关键,是骗子获取了受害者的补卡验证码,导致手机号码被盗用,并触发连锁反应:利用手机连续攻破邮箱、支付宝,乃至各家银行以及百度钱包。


  关于这个诈骗行业的后半部分,雷锋网的解读材料分析得非常清楚,将骗子获得的"验证码"称为"核弹引信"是恰如其分的。


  但骗子是如何获取到受害者的补卡验证码的呢?


  对此,雷锋网以及奥卡姆剃刀老师都认为,10086发送的信息是伪基站作祟。


  雷锋网的文章中还引用了【通过运营商自助换卡业务进行诈骗的流程】,列出的逻辑是"骗子诱骗用户发送HK开头的短信指令,进而实现换卡"。


  但我的判断却与他们不同。虽然伪基站作恶无穷,但骗子这一次使用的手段,可能还真的不是伪基站。


  为了躲避运营商和公安部门的联合打击,伪基站很多都是流动作案,而且主要是向用户推送信息。虽然技术上可以做到伪基站与用户持续交互通信,但以前并未见到类似情况发生。尤其受害者最早接收到信息时并不是在地面,而是在地铁上,之后又有多次位置变更,所以进一步降低了伪基站作案的可能。


0?wx_fmt=jpeg
(雷锋网分析文章列出的【通过运营商自助换卡业务进行诈骗的流程】)


  【受害者与10658000的交互】


0?wx_fmt=jpeg


  受害者整个遭遇的起点,是订购了"中广财经"手机报业务。这个订购过程非常蹊跷。


  从受害者反映的情况看,10086回复的短信内容显示,订购关系是17:53生效的,之后就是17:54分收到了10658000发送的手机报样刊。


  其一,用户订购SP业务,中国移动会向用户发送二次确认信息,待用户回复确认信息之后,才会正式开通。而从受害者的描述来看,并没有收到二次确认信息。


  其二,自此之后骗子与受害者基本就是一对一交互,从交互过程看,骗子应该对受害者刚刚订购这个业务非常了解,进而利用前面的交互,让受害者产生错觉,最终将USIM换卡的验证码误以为了退订业务的验证码。


  实施电信诈骗通常的方式是开始"大片撒网",再从中选择特定的对象实施下一步计划。因此从群发信息转到一对一沟通,往往是骗子能够控制甚至主动选择的。雷锋网在文章中列出的业务流程,需要用户手动发送HK开头的短信换卡指令,但在本案中,骗子并没有要求,受害者也并没有发送类似指令,也不可能为所有接收到伪基站消息的用户主动申请换卡。


  所以,我的怀疑是骗子通过其他方式给用户强行定制了"央广财经"这个业务,比如通过某个环节向受害者的手机植入了木马,假冒受害者身份进行业务订购,并在受害者不知情的情况下,对运营商的二次确认进行了拦截和确认;再比如通过WAP或者别的在线渠道盗用受害者名义订购业务,这种情况下是由对应的渠道进行二次确认,而受害者并不知情。


  这也就是说,受害者收到的10658000和10086开头的短信,都不是伪基站的消息。而是骗子冒充用户订购业务之后,系统正常的业务告知通知。


  以上,可能是木马早已设定好的自动操作,也可能骗子在远程操作。但此时骗子真正的目的还没有显露。这时受害者只是被强行定制了一个业务,如果他不对骗子后续的行为形成响应,后续的诈骗流程也不会被真正激活。


  【诈骗短信从何而来】


  骗局的关键在于"USIM卡验证码",骗子向运营商申请自助换卡,而这个业务的完成需要一个验证码。


  那这个自助换卡是个什么业务呢?


  大家可以去淘宝等电商平台看看,移动的4G自助换卡业务,必须是由原卡发送一条专用指令,也就是说,中国移动推行最广的"快速换卡"业务,必须由原手机发起操作,并不符合这个案例的应用场景。


  那会不会是营业厅人员没有验证客户信息,就直接操作了呢?


  首先,时间不对。换卡时间是下午六点之后,此时营业厅已经下班;


  其次,去营业厅换卡的客户应该体验过,换卡的步骤是(1)操作人员询问客户号码(2)操作人员通过系统给该用户发送校验码(3)操作人员得到该校验码后输入系统,完成补卡。这也和受害者描述的过程不符。


  根据受害者描述的业务场景分析,骗子办理的可能是"网选短写"业务,这个业务并非全国通行,只在包括北京在内的部分地区试点开通,知之者甚少。而骗子恰恰找到了这个业务,完成了这个骗局,也真是花了心思!


  那么,那条骗用户泄露校验码的那条短信又是谁发的?106581390XXXX,这是中国移动的139邮箱发送短信的ID,这又是一项不为常人所知的功能。


640?wx_fmt=jpeg


  用户登录139邮箱后,可以给其他人发短信,而短信回复的内容就会送达邮箱。


  从受害者贴出来的信息可以看出:骗子是在确切知道受害者手机号码,在139邮箱里编辑了一条"定制"短信,从受害者那里骗到了关键的"USIM卡校验码"。


  总结一下:骗子先给受害者强行定制业务,然后以受害者的号码向运营商发起换卡申请,系统向用户下发USIM卡的验证码。此时,用户被此前突然被定制的情况迷惑,与骗子形成了互动,将USIM换卡的验证码发给对方。


  至此,受害者门户洞开。


  【骗子后续的操作】


  获得了USIM卡校验码,骗子就可以激活新卡,与此同时受害者手中的SIM卡作废。这时骗子只得到了号码和手机,那他又是如何把受害者搞得一贫如洗呢?


  首先,骗子用手机为账号,登录支付宝。


  请注意:此时骗子并不知道用户的支付宝密码。接下来骗子使用支付宝提供的找回密码功能,输入手机号进行验证之后,弹出的页面是"你正在为账户XXXXXX重置登录密码"。


  很不幸,受害者的账户名是网易的一个邮箱地址。虽然看不到邮箱的全部信息,但是网易邮箱提供了这样的功能:输入绑定的手机号之后,可以下发验证码重置登录密码。


  于是,骗子就用手里受害者的手机号,成功地进入了网易邮箱,进而登录了支付宝,实施后续的转账、支付等行为。


  后面的故事,雷锋网的分析说得很清晰透彻,我就不再赘述了。


  从法律角度来说,运营商、银行以及支付宝等,执行的所有操作都是合规的自动化流程,完全不知道这是骗子还是受害者发起的业务请求,应该可以免除责任。


  但对于运营商来说,那些偏门冷怪的业务带来的收益并不大,但是如僵尸般存活在系统中,实际带来的风险无人管,这才是最应该反思的!


0


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值