查看原文
其他

回个短信,钱全没了!央视曝光的“伪基站”短信忽悠诈骗,你必须会防!

2016-04-28 蛋蛋 创业邦杂志


身上背个伪基站,诈骗短信一路散

月入轻松到1万,请勿尝试模仿!



昨日,央视新闻报道,根据电信诈骗犯罪嫌疑人供述,骗子群发带病毒链接的短信后,受害人一旦点击链接下载内容,骗子就能控制手机,提出钱只需要银行卡号、预留手机号以及身份证号这三个。


(视频16分钟,请在WiFi环境下观看;土豪请随意)

https://v.qq.com/txp/iframe/player.html?vid=c00208oomxk&width=500&height=375&auto=0



而就在央视曝光前2天,小米董事长兼CEO雷军发了一条相当接地气的微博,说他苦于伪基站诈骗很久了:




伪基站?!! 什么鬼?!!

 

看到雷布斯的图片你是不是恍然大悟,原来这种极为常见的短信诈骗叫——伪基站!

(“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。)

 

知(cou)识(bu)渊(yao)博(lian)的邦哥带你们彻底了解下这个不分男女老少,不在乎安卓苹果,360度无死角覆盖的伪基站到底是个啥?究竟有多可怕?

 

回想下,你是不是也收到过类似这样的信息:

 


还有这样的信息:

 


没错!这些都是伪基站向你发来的“问候”。

 

当你心惊胆战哆哆嗦嗦的打开链接,想要知道自己干得那点小坏事儿是不是被别人知道了,匆匆忙忙按照引导安装了软件之后,却最终发现并没有什么鸟事发生。你顿时长吁一口气,庆幸自己的“丑事”并没有被暴露!

 

。。。。殊不知,你的短信拦截木马安装完毕!

 

从此以后,你银行卡的短信验证码,再也不是你的短信验证码了。银行设的那层手机验证码的保险,攻破。

 

恩!上面的小故事只是发生在你手机端的,也只是整个伪基站诈骗操作链的一小步。



伪基站 + 钓鱼 = 完美黑产

 


该产业链分工明细,主要分为这几个角色:伪基站设备销售、信使、鱼站程序包、洗钱师、消费老板、黑吃黑等,他们之间的收益都是相互独立的。


▼  

 给我一台伪基站设备,我可以秒坑10万人


如果想要给你发短信,并且还能随时以10086,95588这样的官方号码,给你发短信。


必须需要一样神器---伪基站。


(这台是老款)


✓  伪基站可以这么理解:它会截断手机正常的信号,然后让手机接入这个伪基站的信号,然后给你发送信息,你收到后呢,又会再次释放这台手机到正常的通讯基站上去。


✓  制作的门槛很低,伪基站的制造商也很注重用户体验,考虑到从业人员的安全,最新款的伪基站可以放入双肩包。可以手机操作。



(最新款伪基站)


✓  硬件除外,还需要专门发短信的软件:一般售价 500 ~ 700 不等,所以乱七八糟加一块,可以上路真正发信的装备得一万块左右。

(最近有个新闻,说的是法院对一家 SSRP 设备的经销商进行宣判男子违法销售“伪基站”狂赚三千万获刑十年半 ,按照设备均价,光这一家应该就卖出了 3000 台左右的设备,可想而知这个市场是有多火热。)


(软件操作界面)


▼  

到群众中去,坑群众的钱


装备就要一万块左右,好贵有木有!


不要着急,到人民群众中去,坑人民群众的钱,一天就回本。


✓  操作模式:背上背包,踏上单车,哪里热闹,去哪转悠。


哦,忘了说了,垃圾短信发送者在业界被称为“信使”!


下面就是某骗子给信使发的当日“工资”。因为最近行情不是很好,一!天!才!能!赚!9500!可想而知在鼎盛时期日进万金绝不是梦!



这些信使一般活跃在人口密集的二三线城市。(所以邦哥在这里提醒你,在逛街游玩的同时,一定要提高警惕啊!)


一切准备就绪,信使一转悠,周围的人,就陆续收到“10086”的短信了。


↓↓↓↓↓↓↓




没错,你肯定又是“忘记”领取移动的积分礼包了!!!


我们点开来看看。。。。。




我擦。388.88元软妹币,果断去兑换啊!!


点击“现在就去兑换”。。




于是,在你提交确认后


装短信验证码拦截的木马程序的光辉时刻终于到了


你轻点安装,背后的钓鱼团队,终于放下了悬着的一颗心。



(伪基站作案原理)



来来来,邦哥再带你们看看眼,看一个钓鱼软件的数据后台



所以说,行情好的时候,每天上千人发来自己的银行卡和密码,月收入过万 so easy!


是的,就是这么看似低级的诈骗方式,可还是有很多人被骗!为什么呢?因为他们还没有了解这个诈骗的全部过程!而已经看了邦哥微信你有义务去告诉那些被被骗的小白。


▼  

洗呀洗呀洗出钱


拿到了数据,怎么才能变现?


直接卖给收数据的





或者卖给终端用户“洗钱师”


what is 洗钱师(就是最终把你银行卡等账户里面钱洗走的人了,他们大多分散在全国各地区的村子里…据说一旦定位了某个村子)


洗钱师标配一款神器——用来方便快捷的进入各种洗钱渠道(殊不知这个软件里面有个隐蔽的后门程序,啧啧这个先不提,因为邦哥也还不知,只想说行业太恐怖了)如图:



软件细节



从图中可以看出洗钱师都利用什么渠道变现:


  • 银行:进行最直接的转账、网购操作,配合钓鱼网站里的手机拦截马

  • 第三方支付:直接转账或购买商品

  • 电商购物卡:直接买东西、点卷洗卡,与冲话费套现

  • 卡密:在京东或各种点卡站购买游戏充值点卡卖给老板


洗钱师用骗来的银行卡在京东购买游戏卡



再把这些卡,卖给收卡的黄牛们(这些黄牛只需在各种论坛、QQ群发布一些售卖广告,或者维护一些回头客即可,只管收钱,找洗钱师要货,给客户出货)


OK,毛爷爷终于到手了!可也真累啊!


▼  

人外有人,黑外有黑,一层更比一层黑


当你以为整个“生态链”到洗出钱就结束时,那你就


太!单!纯!了!


在链条的最深处还有这么一个团队,他们纯属坐收渔翁之利,做到真正零成本盈利!


这个黑中之黑的高级黑团队,他们无需购买设备、无需雇佣信使、无需购买服务器和代码,只需要通过技术手段获取到钓鱼网站的源代码,进行二次修改,加入自己的后门再次放入市场流通,滚雪球一样二次践踏这个利益链。


所以就出现了很多“骗子”被“骗子”骗的事件!(这不是绕口令)


  

如何降低这种“低级诈骗”的成功率?


从技术上来说,预防伪基站诈骗几乎不存在难度。


  • 将伪基站诈骗的重点——电信运营商及银行的5位信息号码和关键词做识别匹配,发现网址可疑与官网不同即可判定为钓鱼网站,并将其屏蔽,某种程度上说与自动抓取验证码没有区别。(但听说目前这种功能可能也有点风险,或许这也是迟迟未实施的原因。)


  • 除此之外,中国移动也在致力于网络监控定位伪基站位置,并也已投入公安使用。


  • 剩下的事情就是警察叔叔的任务了,伪基站定位配合街头监控,直接在街上找背着伪基站四处游荡的不法分子就好。

 

而想要不被骗,最根本的还是要自身提高警惕,不轻易点链接。


如果发现手机突然断网后,又瞬间收到短信,很可能就是伪基站发送的短信。




收到类似积分兑换现金、中奖、转账、汇款等欺诈信息,对涉及转账的欺诈信息应予以核实,绝不能通过欺诈短信所提供的号码、网址进行联系,避免上当受骗。




关于伪基站这个话题,仍有很多需要我们共同去分析的,而这篇文章,邦哥也希望能够帮助那些做实事的机构与用户共同对抗诈骗产业减少经济损失。


最最最后,再次提醒大家:


大额度款项一定不能放在可以随便转账的卡里边,一些定期卡甚至连网银都不必开,就用传统的方式去存,然后去做个短信提醒,并且定期查看。否则,越来越方便的互联网同样会带来很多安全隐患,这个一定要周知!周知!周知!


打击伪基站,邦哥会与大家并肩作战!!!



文章内容参考:@乌云-漏洞报告平台 ;差评(ID:chaping321);如有疑问,请联系邦哥。


邦哥每日都有免费福利送上,福利这么领↓↓↓   

今天的福利能让你与顶级VC见面哦!







您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存