7
| 本文作者: 吳德新 | 2015-07-24 10:13 |
在7月中旬的烏云大會上,一名白帽子(正面的黑客,技能是可以識別計算機或網絡漏洞但不惡意利用反而盡快告知相關并修復)手持一枚Android Pad正呼叫他對面的一臺手機,一兩秒后手機上的呼入號碼顯示“18688888888”。事實上,只要經過半小時的設置、數以毛計的撥打成本,這臺Pad可以“撥出”任何他想要的號碼。
這樣的任意主叫,如果配合網絡上被泄露或者黑市購買的個人信息一起使用,它的中(詐)招(騙)效率會遠遠高于更常見的400中獎電話。烏云平臺的白帽舉了一個例子:女大學生失蹤,騙子冒充她的手機給家人打電話,也許分分鐘騙得數萬的轉賬。
主叫號碼的修改并無難度,整個過程騙子只需要一家VoIP的服務商,一個欺騙手機號碼認證的工具(部分網絡電話可能會通過讀取本機號碼來顯號)以及有效的聯系信息就可以了。這是互聯網和運營商網絡交叉時出現的識別盲區,網絡運營商呼叫傳統運營商的協議沒有對主叫號碼進行身份校驗。
路人甲告訴我們,在傳統電話網絡中我們撥打電話時,主叫和被叫兩端通過運營商接通,即
主叫=》運營商=》運營商=》被叫。
這個時候運營商通過手機硬件和SIM卡向被叫傳送了一個唯一的識別ID,主叫的身份不能偽造(除非把運營商干掉)。
但網絡電話興起以后,它不再由運營商掌控整個鏈條,VoIP的運營商或者叫ISP參與進來。當網絡電話的用戶(比如一個Pad)呼叫時,它的鏈條是
Pad=》VoIP運營商=》運營商=》被叫。
在網絡運營商呼叫傳統運營商這個過程中,它使用的協議本身沒有任何身份校驗,運營商之間被認為是充分信任的。這樣給Pad賦予一個虛擬的ID,它騙過網絡電話運營商,就可以變成一個任意的主叫號碼。
VoIP的服務滿地都是,欺騙手機號碼認證的工具也并不難獲取,即使沒有,從頭開發一個也不需要太大功夫。
然而偽造號碼僅僅是手機號套利的第一種方式。
釣魚網站的流量變現簡直是對互聯網的一種“嘲諷”。
假定有3件事排在釣魚網站的Priority List上,那這3件事分別會是流量、流量和流量。如果除此之外還有第4件事,那就是合理的技術迭代。
釣魚網站的流量來源曾經多種多樣(現在也是),包括了IM、搜索引擎、中小站點的廣告、社交網絡、彈窗以及一些高度近似的地址。但現在不少遭到安全軟件的封堵,群發短信和垃圾郵件成為重要的流量源,前者就高度依賴了偽基站。
偽基站在百科上的釋義是這樣的:
一般由主機和筆記本電腦組成,通過短信群發器、短信發信機等設備能夠搜取以其為中心、一定半徑范圍內的手機卡信息,通過偽裝成運營商的基站,冒用他人手機號碼強行向用戶手機發送詐騙、廣告推銷等短消息。
最初偽基站體型較大,只能作用于移動聯通2G的GSM網絡;而現在已經通過壓制3G、4G信號升級換代,設備體型也更袖珍,大部分是車載的,甚至有置于背包內的版本。
但除卻換代,偽基站的工作方式都是這樣的:
截斷范圍內手機正常基站通訊=》接入偽基站=》發送短信=》釋放接受成功的手機。
偽基站的開發難度不大,所以一旦有方案流出或者在市面出售,個人或者小作坊都可以生產。13年以前網絡上有大量直接販賣整機的網站,這些設備以前在淘寶叫做短信群發器,被封禁后改名為900設備和1800設備。
但雷鋒網編輯隨意在百度上變更了幾個關鍵詞,就找到了這樣兩家賣家。
第一家是銷售整機,第二家是銷售散件組裝。
具備由偽基站等引來的的流量之后,釣魚站的運作原則是愿者上鉤,更準確地說是誰傻誰來。
烏云的路人甲告訴我們,國內的釣魚站在去年下半年開始明顯增多,在今年的5 - 6月份達到高峰;現在的釣魚站制作越發細致,甚至有非常接近真實的交互邏輯。過去很多釣魚網站只是簡單填寫一些銀行卡信息,現在很多新站會在交互設計里讓用戶迅速完成轉賬。
國內釣魚站有一些比較集中的開發上游,大部分站點用的是同一套后臺系統,其中路人甲們經常碰到的一家叫尖刀科技工作室。雖然叫做工作室,但可能他們實體只是一個很小的開發團隊甚至是一個人。
烏云的白帽甚至向我們展示了他們攻入的其中一家釣魚站后臺,可以看到站點上線不到20天內已經有360多條的銀行卡信息,包括了姓名、卡號、密碼、身份證、有效期甚至信用卡的CVV都已經十分完整,而這只是規模很小的“一個站點”。
成熟的釣魚團隊會購買多個域名指向同一個站點。由于后臺系統被廣泛使用,有時像尖刀工作室這樣的團隊甚至比釣魚站運營還要掙錢。安全圈內還一直有個段子:白帽跟黑帽的差別就是一個月薪1萬一個日薪1萬。
據不完全統計,每天新增的釣魚網站數量有50到150個,每天新增受害人數可能是千人,這些站點的存活周期不會太長,很多不超過3天,且很可能把服務器架到國外。釣魚鏈條上,除了販賣模板和源碼,還有專門的團隊負責分發(比如開車拉著偽基站到處跑)。從受害人的地域分布來看,不少偽基站經常一天更換一個城市。
無論偽基站還是釣魚站,它們在線上線下的活動非常靈活,而且通常組織很小,多數是10人以下的緊密團隊。
如果說偽造號碼和釣魚網站針對的都是傻而多金的個人,那薅羊毛針對的就是傻而多金的企業。理論上講任何開放的獎勵機制都是可以薅的,包括但不限于優惠券、抽獎、積分獎勵。
今年4月6日,蘇寧一次滿100減50的活動,被爆使用門檻僅需要滿0.1元即可。當晚有大量技術宅深夜刷單,據傳有一人狂刷1.7萬單。
蘇寧一次的損失規模可能在5000萬 - 7000萬。
蘇寧被刷后的部分曬單
而此前被揭露的包括Uber在內的專車被刷單事件:
業內黑話管無單的司機叫“病人”,而刷單人員稱為“護士”。當司機發出刷單請求時,則是向刷單人員求“扎針”。
刷單人員隨即用一個新用戶賬號選擇司機附近的出發位置,司機“接單”(實際是空載)結束行程后獲得Uber的車費+補貼,隨即通過其他方式將車費轉回給刷單人員,司機留下補貼,而刷單人員由于新用戶30元的獎勵盈利一次車費。
Uber的出發指針酷似“扎針”
以上的兩個過程,我們需要一些自動化的工具,批量注冊機以及大多數時候需要用不完的手機號以注冊新用戶,這便講到了黑卡。
這些黑卡在線上以短信接受平臺的形式出現,多數具有完整的多平臺客戶端(iOS、Android、Win等),更重要的是其中多數有提供自動化API。
自動化API才是亮點
小型貓池
路人甲告訴我們,國內大概有5-6家大型短信接收平臺,每家將近20萬的號碼,也就是至少百萬的黑卡。這些黑卡通過一種叫“貓池”的專用設備接收信息,當然這些黑卡如果在一個地域并發會造成局部區域的基站癱瘓,所以它們實際上是“分布式”散落在各地的——更準確地說是以每處幾百張的數量分散在各個地點。根據烏云的追蹤,這些黑卡的所在地多數集中在廣州、深圳、東莞3個地方。
另一個值得研究的問題是,數以百萬級能夠正常收發短信,但是沒有身份實名的黑卡到底是哪里來的?業內人士告知了我們其中兩個來源:
一個是一些行業用的短信卡外流,它們原本只用來控制設備聯網,所以通常只開通了流量和短信功能;
還有就是來自代理點,代理點沖業務可能會將號碼販售給這些平臺,代理點本身掌握了大量實名身份證的信息,甚至可以給卡片們做實名認證。
于是有了這些黑卡,再來一些貓池(貓池的生產是有相關認證的,但由于大TB等交易市場的存在,它的購買和使用很難監督),于是有了無限量的短信平臺,就等于有了無限的ID。
目前國內專業薅羊毛的群體數量相對固定,有明確的分工,比如有人員專門發現各個項目,開發人員跟進快速自動化,短信平臺接收驗證碼,甚至有人專門做優惠券的回收和分銷。當然,相比優惠券,這群人更喜歡現金和實物(比如iPhone抽獎,或者金融站點送體驗金之類)。
業內人士告知我們,嚴格意義上黑卡和薅羊毛并非是違法行為,而是屬于目前沒有明確的灰色地帶。事實上,這些具有API接口的短信接收平臺,雷鋒網編輯甚至沒有想到它們有什么“正常的用途”。
總體來說,只要有VoIP的存在偽造號碼很難阻斷;釣魚站們唯一可以追蹤到的就是它們在線上的前臺,這些前臺還頻繁更換,而追蹤線下的偽基站需要相當密度和數量的人員投入,幾乎不太可能;薅羊毛的根源在源源不斷的黑卡,但如果沒有運營商出手,也很少有人能觸及這些無限ID的源頭。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
