文 / 宁宇
4月11日,一篇名为《实录亲历网络诈骗,互联网是如何让我身无分文?》的文章作者“趣火星”(以下我称其为受害者)称,由于一条短信,他支付宝、银行卡及百度钱包内的所以资金,都被骗子彻底洗劫。
一夜之间,倾家荡产。
他是怎样被洗劫的?
这位蒙受巨大损失的受害者,并不了解通信与网络技术,直到最后也没有真正搞明白,黑客/骗子是如何洗劫自己的。昨天,雷锋网也有访谈安全专家,详细解析了整个过程的技术细节,非常专业全面。微博名人@奥卡姆剃刀 也就此写了分析文章,认为此案是伪基站再次作祟。但这些分析,在我看来仍存有疑问。
我从受害者的实录和业务逻辑,技术分析一下这枚“核弹”是如何被引爆的。
整个案件的关键,是骗子获取了受害者的补卡验证码,导致手机号码被盗用,并触发连锁反应:利用手机连续攻破邮箱、支付宝,乃至各家银行以及百度钱包。
关于这个诈骗行业的后半部分,雷锋网的解读材料分析得非常清楚,将骗子获得的"验证码"称为"核弹引信"是恰如其分的。但骗子是如何获取到受害者的补卡验证码的呢?
对此,雷锋网以及奥卡姆剃刀老师都认为,10086发送的信息是伪基站作祟。雷锋网的文章中还引用了【通过运营商自助换卡业务进行诈骗的流程】,列出的逻辑是“骗子诱骗用户发送HK开头的短信指令,进而实现换卡”。但我的判断却与他们不同,虽然伪基站作恶无穷,但骗子这一次使用的手段,可能还真的不是伪基站。
为了躲避运营商和公安部门的联合打击,伪基站很多都是流动作案,而且主要是向用户推送信息。虽然技术上可以做到伪基站与用户持续交互通信,但以前并未见到类似情况发生。尤其受害者最早接收到信息时并不是在地面,而是在地铁上,之后又有多次位置变更,所以进一步降低了伪基站作案的可能。
(雷锋网分析文章列出的【通过运营商自助换卡业务进行诈骗的流程】)
受害者与10658000的交互
受害者整个遭遇的起点,是订购了"中广财经"手机报业务,这个订购过程非常蹊跷。
从受害者反映的情况看,10086回复的短信内容显示,订购关系是17:53生效的,之后就是17:54分收到了10658000发送的手机报样刊。
其一,用户订购SP业务,中国移动会向用户发送二次确认信息,待用户回复确认信息之后,才会正式开通。而从受害者的描述来看,并没有收到二次确认信息。
其二,自此之后骗子与受害者基本就是一对一交互,从交互过程看,骗子应该对受害者刚刚订购这个业务非常了解,进而利用前面的交互,让受害者产生错觉,最终将USIM换卡的验证码误以为了退订业务的验证码。
实施电信诈骗通常的方式是开始"大片撒网",再从中选择特定的对象实施下一步计划。因此从群发信息转到一对一沟通,往往是骗子能够控制甚至主动选择的。雷锋网在文章中列出的业务流程,需要用户手动发送HK开头的短信换卡指令,但在本案中,骗子并没有要求,受害者也并没有发送类似指令,也不可能为所有接收到伪基站消息的用户主动申请换卡。
所以,我的是怀疑是,骗子通过其他方式给用户强行定制了“央广财经”这个业务,比如通过WAP或者别的在线渠道盗用受害者名义订购业务,这种情况下是由对应的渠道进行二次确认,而受害者并不知情。
(昨天北京移动发布信息,证实有人以受害者身份登录移动的网上营业厅,在网上订购了"央广财经"业务。由此我怀疑,骗子在网站上逐个试验,试到这个弱密码的用户,盗用其身份后开始行动)
这也就是说,受害者收到的10658000和10086开头的短信,都不是伪基站的消息。而是骗子冒充用户订购业务之后,系统正常的业务告知通知。
但此时骗子真正的目的还没有显露:这时受害者只是被强行定制了一个业务,如果他不对骗子后续的行为形成响应,后续的诈骗流程也不会被真正激活。
诈骗短信从何而来
骗局的关键在于"USIM卡验证码",骗子向运营商申请自助换卡,而这个业务的完成需要一个验证码。
那这个自助换卡是个什么业务呢?
大家可以去淘宝等电商平台看看,移动的4G自助换卡业务,必须是由原卡发送一条专用指令,也就是说,中国移动推行最广的"快速换卡"业务,必须由原手机发起操作,并不符合这个案例的应用场景。
那会不会是营业厅人员没有验证客户信息,就直接操作了呢?
首先,时间不对。换卡时间是下午六点之后,此时营业厅已经下班;
其次,去营业厅换卡的客户应该体验过,换卡的步骤是(1)操作人员询问客户号码,(2)操作人员通过系统给该用户发送校验码,(3)操作人员得到该校验码后输入系统,完成补卡。这也和受害者描述的过程不符。
根据受害者描述的业务场景分析,骗子办理的可能是"网选短写"业务,这个业务并非全国通行,只在包括北京在内的部分地区试点开通,知之者甚少。而骗子恰恰找到了这个业务,完成了这个骗局,也真是花了心思!
那么,那条骗用户泄露校验码的那条短信又是谁发的?106581390XXXX,这是中国移动的139邮箱发送短信的ID,这又是一项不为常人所知的功能。
用户登录139邮箱后,可以给其他人发短信,而短信回复的内容就会送达邮箱。
从受害者贴出来的信息可以看出:骗子是在确切知道受害者手机号码,在139邮箱里编辑了一条"定制"短信,从受害者那里骗到了关键的"USIM卡校验码"。
总结一下:骗子先给受害者强行定制业务,然后以受害者的号码向运营商发起换卡申请,系统向用户下发USIM卡的验证码。此时,用户被此前突然被定制的情况迷惑,与骗子形成了互动,将USIM换卡的验证码发给对方。
至此,受害者门户洞开。
骗子后续的操作
获得了USIM卡校验码,骗子就可以激活新卡,与此同时受害者手中的SIM卡作废。这时骗子只得到了号码和手机,那他又是如何把受害者搞得一贫如洗呢?
首先,骗子用手机为账号,登录支付宝。
请注意:此时骗子并不知道用户的支付宝密码。接下来骗子使用支付宝提供的找回密码功能,输入手机号进行验证之后,弹出的页面是"你正在为账户XXXXXX重置登录密码"。
很不幸,受害者的账户名是网易的一个邮箱地址。虽然看不到邮箱的全部信息,但是网易邮箱提供了这样的功能:输入绑定的手机号之后,可以下发验证码重置登录密码。
于是,骗子就用手里受害者的手机号,成功地进入了网易邮箱,进而登录了支付宝,实施后续的转账、支付等行为。
后面的故事,雷锋网的分析说得很清晰透彻,我就不再赘述了。
从法律角度来说,运营商、银行以及支付宝等,执行的所有操作都是合规的自动化流程,完全不知道这是骗子还是受害者发起的业务请求,应该可以免除责任。
但对于运营商来说,那些偏门冷怪的业务带来的收益并不大,但是如僵尸般存活在系统中,实际带来的风险无人管,这才是最应该反思的!
作者微信号:尚儒客栈(CMCC-ningyu)