查看原文
其他

【宁宇】骗子是怎样如何让你倾家荡产的?技术还原最新通信网络诈骗案

2016-04-13 宁宇 科技杂谈

【摘要】由于一条短信,他支付宝、银行卡及百度钱包内的所以资金,都被骗子彻底洗劫。一夜之间,倾家荡产。他是怎样被洗劫的?




| 科 | 技 | 杂 | 谈 |

中国通信行业第一自媒体



4月11日开始,一篇名为《实录亲历网络诈骗,互联网是如何让我身无分文?》的文章刷爆了网络。


对此,雷锋网和两位业界知名专家(宁宇、奥卡姆剃刀)都给出了各自的分析。其中,雷锋网与奥卡姆剃刀认为此案源发伪基站,宁宇则判断不是伪基站,而是黑客行为。


就此,科技杂谈今天汇总了他们的观点,供大家观阅与讨论。


本文作者:宁宇

杂谈投稿邮箱:631255063@qq.com


从4月11日开始,一篇名为《实录亲历网络诈骗,互联网是如何让我身无分文?》的文章刷爆了网络。


作者"趣火星"(以下我称其为受害者)称,由于一条短信,他支付宝、银行卡及百度钱包内的所以资金,都被骗子彻底洗劫。


一夜之间,倾家荡产。


他是怎样被洗劫的?



这位蒙受巨大损失的受害者,并不了解通信与网络技术,直到最后也没有真正搞明白,黑客/骗子是如何洗劫自己的。


昨天,雷锋网也有访谈安全专家,详细解析了整个过程的技术细节,非常专业全面。微博名人@奥卡姆剃刀也就此写了分析文章,认为此案是伪基站再次作祟。(两篇分析文章详见今日尚儒客栈转载)


但以上的分析,在我看来仍存有疑问。


这次,我并没有联络北京移动,也未拿到客户的信息和数据,仅从受害者的实录和业务逻辑,技术分析一下这枚核弹是如何被引爆的。


整个案件的关键,是骗子获取了受害者的补卡验证码,导致手机号码被盗用,并触发连锁反应:利用手机连续攻破邮箱、支付宝,乃至各家银行以及百度钱包。


关于这个诈骗行业的后半部分,雷锋网的解读材料分析得非常清楚,将骗子获得的"验证码"称为"核弹引信"是恰如其分的。


但骗子是如何获取到受害者的补卡验证码的呢?


对此,雷锋网以及奥卡姆剃刀老师都认为,10086发送的信息是伪基站作祟。


雷锋网的文章中还引用了【通过运营商自助换卡业务进行诈骗的流程】,列出的逻辑是"骗子诱骗用户发送HK开头的短信指令,进而实现换卡"。


但我的判断却与他们不同。虽然伪基站作恶无穷,但骗子这一次使用的手段,可能还真的不是伪基站。


为了躲避运营商和公安部门的联合打击,伪基站很多都是流动作案,而且主要是向用户推送信息。虽然技术上可以做到伪基站与用户持续交互通信,但以前并未见到类似情况发生。尤其受害者最早接收到信息时并不是在地面,而是在地铁上,之后又有多次位置变更,所以进一步降低了伪基站作案的可能。


(雷锋网分析文章列出的【通过运营商自助换卡业务进行诈骗的流程】)


受害者与10658000的交互



受害者整个遭遇的起点,是订购了"中广财经"手机报业务。这个订购过程非常蹊跷。


从受害者反映的情况看,10086回复的短信内容显示,订购关系是17:53生效的,之后就是17:54分收到了10658000发送的手机报样刊。


其一,用户订购SP业务,中国移动会向用户发送二次确认信息,待用户回复确认信息之后,才会正式开通。而从受害者的描述来看,并没有收到二次确认信息。


其二,自此之后骗子与受害者基本就是一对一交互,从交互过程看,骗子应该对受害者刚刚订购这个业务非常了解,进而利用前面的交互,让受害者产生错觉,最终将USIM换卡的验证码误以为了退订业务的验证码。


实施电信诈骗通常的方式是开始"大片撒网",再从中选择特定的对象实施下一步计划。因此从群发信息转到一对一沟通,往往是骗子能够控制甚至主动选择的。雷锋网在文章中列出的业务流程,需要用户手动发送HK开头的短信换卡指令,但在本案中,骗子并没有要求,受害者也并没有发送类似指令,也不可能为所有接收到伪基站消息的用户主动申请换卡。


所以,我的怀疑是,骗子通过其他方式给用户强行定制了"央广财经"这个业务,比如通过某个环节向受害者的手机植入了木马,假冒受害者身份进行业务订购,并在受害者不知情的情况下,对运营商的二次确认进行了拦截和确认;再比如通过WAP或者别的在线渠道盗用受害者名义订购业务,这种情况下是由对应的渠道进行二次确认,而受害者并不知情。


这也就是说,受害者收到的10658000和10086开头的短信,都不是伪基站的消息。而是骗子冒充用户订购业务之后,系统正常的业务告知通知。


以上,可能是木马早已设定好的自动操作,也可能骗子在远程操作。但此时骗子真正的目的还没有显露。这时受害者只是被强行定制了一个业务,如果他不对骗子后续的行为形成响应,后续的诈骗流程也不会被真正激活。


诈骗短信从何而来


骗局的关键在于"USIM卡验证码",骗子向运营商申请自助换卡,而这个业务的完成需要一个验证码。


那这个自助换卡是个什么业务呢?


大家可以去淘宝等电商平台看看,移动的4G自助换卡业务,必须是由原卡发送一条专用指令,也就是说,中国移动推行最广的"快速换卡"业务,必须由原手机发起操作,并不符合这个案例的应用场景。


那会不会是营业厅人员没有验证客户信息,就直接操作了呢?


首先,时间不对。换卡时间是下午六点之后,此时营业厅已经下班;


其次,去营业厅换卡的客户应该体验过,换卡的步骤是(1)操作人员询问客户号码(2)操作人员通过系统给该用户发送校验码(3)操作人员得到该校验码后输入系统,完成补卡。这也和受害者描述的过程不符。


根据受害者描述的业务场景分析,骗子办理的可能是"网选短写"业务,这个业务并非全国通行,只在包括北京在内的部分地区试点开通,知之者甚少。而骗子恰恰找到了这个业务,完成了这个骗局,也真是花了心思!


那么,那条骗用户泄露校验码的那条短信又是谁发的?106581390XXXX,这是中国移动的139邮箱发送短信的ID,这又是一项不为常人所知的功能。



用户登录139邮箱后,可以给其他人发短信,而短信回复的内容就会送达邮箱。


从受害者贴出来的信息可以看出:骗子是在确切知道受害者手机号码,在139邮箱里编辑了一条"定制"短信,从受害者那里骗到了关键的"USIM卡校验码"。


总结一下:骗子先给受害者强行定制业务,然后以受害者的号码向运营商发起换卡申请,系统向用户下发USIM卡的验证码。此时,用户被此前突然被定制的情况迷惑,与骗子形成了互动,将USIM换卡的验证码发给对方。


至此,受害者门户洞开。


骗子后续的操作


获得了USIM卡校验码,骗子就可以激活新卡,与此同时受害者手中的SIM卡作废。这时骗子只得到了号码和手机,那他又是如何把受害者搞得一贫如洗呢?


首先,骗子用手机为账号,登录支付宝。


请注意:此时骗子并不知道用户的支付宝密码。接下来骗子使用支付宝提供的找回密码功能,输入手机号进行验证之后,弹出的页面是"你正在为账户XXXXXX重置登录密码"。


很不幸,受害者的账户名是网易的一个邮箱地址。虽然看不到邮箱的全部信息,但是网易邮箱提供了这样的功能:输入绑定的手机号之后,可以下发验证码重置登录密码。


于是,骗子就用手里受害者的手机号,成功地进入了网易邮箱,进而登录了支付宝,实施后续的转账、支付等行为。


后面的故事,雷锋网的分析说得很清晰透彻,我就不再赘述了。


从法律角度来说,运营商、银行以及支付宝等,执行的所有操作都是合规的自动化流程,完全不知道这是骗子还是受害者发起的业务请求,应该可以免除责任。


但对于运营商来说,那些偏门冷怪的业务带来的收益并不大,但是如僵尸般存活在系统中,实际带来的风险无人管,这才是最应该反思的!


科技杂谈已经开通文章评论

点击下方“评论”表达我的态度


【昨日文章索引】


点击下方 【阅读原文】加入 “科技杂谈菁英会”。



2013年度最佳IT原创自媒体

2014年度最佳新媒体人

2014年度最受企业关注自媒体

国资委微公益行动联合发起人


| 新科技 | 睿思想 |

已入驻百度百家、腾讯新闻、搜狐新闻、今日头条、网易阅读

一点资讯、互联网实验室

犀牛财经自媒体联盟(xinews)成员


转载授权、商务合作,联系微信号:sophie0306



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存