本篇文章2811字,读完约7分钟
文本/雨凝
4月11日,一篇题为“网上诈骗记录,互联网是如何让我身无分文的?”文章的作者“开心火星”(以下简称受害者)说,他的支付宝、银行卡和百度钱包里的所有资金都因为一条短信被骗子洗劫一空。
一夜之间,破产了。
他是怎么被抢劫的?
受害者遭受了巨大的损失,不知道通信和网络技术,也不真正了解黑客/骗子是如何洗劫自己的。昨天,雷还采访了安全专家,详细分析了整个过程的技术细节,非常专业和全面。微博名人@奥卡姆剃刀也写了一篇分析文章,认为这起案件又是由伪基站引起的。但在我看来,这些分析仍然值得怀疑。
我从受害者的记录和商业逻辑上分析了这个“核弹”是如何被引爆的。
整个案件的关键在于,诈骗者获得了受害者附属卡的验证码,导致手机号码被盗,引发了连锁反应:用手机不断突破邮箱、支付宝,甚至各种银行和百度钱包。
对于这种欺诈行业的后半部分,雷锋的解读材料分析得很清楚,把欺诈者获得的“验证码”称为“核弹引信”是恰当的。但是说谎者是怎么得到受害者附属卡的验证码的呢?
在这方面,雷锋。com和奥卡姆剃刀认为10086发送的信息是由伪基站引起的。雷锋的文章还引用了“运营商自助换卡业务的欺诈过程”,并把其逻辑列为“骗子骗用户发短信指令,从香港开始,然后实现换卡。”然而,我的判断与他们的不同。虽然伪基站做了无止境的坏事,但这次骗子使用的手段可能不是真正的伪基站。
为了避免运营商和公安部门的联合攻击,许多伪基站都是移动犯罪,主要是向用户推送信息。尽管在技术上有可能实现伪基站和用户之间的连续交互通信,但类似的情况以前从未发生过。特别是受害者第一次收到信息时并不在地面上,而是在地铁上,然后几次变换位置,进一步降低了伪基站犯罪的可能性。
(雷锋的分析文章列举了[通过运营商的自助换卡业务进行欺诈的过程])
受害者与10658000的互动
受害人整个遭遇的起点是订购中国广电金融的手机报纸业务,这很奇怪。
根据受害人反映的情况,10086回复的短信内容显示,订阅关系在17:53开始生效,然后在17:54收到10658000发送的手机报样本。
首先,当用户订阅sp服务时,中国移动将向用户发送第二条确认消息,在用户回复确认消息之前,不会正式开通。根据受害者的描述,没有收到第二次确认信息。
其次,从那以后,诈骗者和受害者基本上是一对一的互动。从互动过程的角度来看,诈骗者应该对受害者刚刚订购的业务有很好的了解,然后利用之前的互动让受害者产生错觉,最终将usim卡更换的验证码误认为退订业务的验证码。
实施电信欺诈通常的方法是先“撒网”,然后选择特定的对象来实施下一个计划。因此,从大量发送到一对一通信,它经常被欺诈者控制甚至主动选择。雷锋列出的业务流程。网站要求用户手动发送一条短信,从hk开始换卡。然而,在本案中,诈骗者没有询问,受害者也没有发出类似的指令,所有收到伪基站信息的用户都不可能主动申请换卡。
因此,我怀疑该诈骗犯通过其他方式强行将“杨光金融”的业务定制给用户,如窃取受害者的姓名,通过wap或其他在线渠道订购业务。在这种情况下,相应的渠道在受害者不知情的情况下进行二次确认。
(昨天,北京移动发布消息,确认有人以受害者身份登录移动在线营业厅,在线订购“杨光金融”业务。由此,我怀疑骗子们在网站上一个接一个地尝试,尝试这个弱密码用户,窃取他们的身份并开始行动)
也就是说,受害者收到的以10658000和10086开头的短消息不是伪基站的消息。这是骗子冒充用户订购业务后系统的正常业务通知。
但此时,骗子的真正目的还没有暴露:此时,受害者只是被迫定制一个业务,如果他不回应骗子的后续行动,后续的欺诈过程将不会真正激活。
欺诈短信从何而来
骗局的关键在于“usim卡验证码”。骗子向运营商申请自助换卡,这项业务需要验证码才能完成。
这是什么样的自助换卡业务?
你可以去淘宝等电子商务平台看看。移动4g自助换卡业务必须通过带有特殊说明的原卡发送。也就是说,中国移动最广泛的“快速换卡”业务必须由原手机发起,这不符合本案例的应用场景。
会不会是营业厅的工作人员没有核实客户信息而直接操作的呢?
首先,时间不对。换卡时间是下午6点以后,这时营业厅已经下班了;
其次,去营业厅换卡的顾客应该有过这种经历。换卡的步骤是(1)操作员询问客户号码,(2)操作员通过系统将校验码发送给用户,(3)操作员将校验码输入系统,完成换卡。这也与受害者描述的过程不一致。
根据受害人描述的商业场景分析,该诈骗犯可能从事“网上短信”业务,这种业务在全国并不流行,但只在包括北京在内的部分地区试点,很少有人知道。骗子刚刚找到了这个生意,完成了这个骗局,这真的很小心!
那么,是谁发送了欺骗用户泄露校验码的短信呢?106581390xxxx是中国移动139邮箱发送短信的id,是另一个未知的功能。
用户登录139邮箱后,可以向他人发送短信,短信回复的内容将被发送到邮箱。
从受害者发布的信息可以看出,诈骗者确切知道受害者的手机号码,在139信箱编辑了一条“定制”的短信,并从受害者那里骗取了关键的“usim卡校验码”。
综上所述:诈骗者首先向受害者强行定制服务,然后用受害者的号码向运营商发起换卡申请,系统向用户发放usim卡的验证码。此时,用户被之前突如其来的定制弄糊涂了,于是与骗子互动,向对方发送usim卡更换验证码。
此时,受害者的入口打开了。
说谎者的后续操作
在获得usim卡校验码后,诈骗者可以激活新卡,同时,受害者手中的sim卡无效。这时,说谎者只得到了号码和手机,那么他是如何让受害者变穷的呢?
首先,骗子用手机作为账户,登录支付宝。
请注意:此时,骗子不知道用户的支付宝密码。下一步,骗子使用支付宝提供的密码检索功能,输入手机号码进行验证后,弹出的页面是“您正在重设账户xxxxxx的登录密码”。
不幸的是,受害者的账户名是网易的电子邮件地址。虽然您无法看到邮箱中的所有信息,但网易邮箱提供了这样一个功能:输入绑定的手机号码后,您可以发出验证码来重置登录密码。
因此,诈骗者手里拿着受害人的手机号码成功进入网易邮箱,然后登录支付宝进行后续转账支付。
故事结束后,雷锋的分析非常清楚和透彻,所以我在这里不再重复。
从法律角度来看,运营商、银行和支付宝的所有操作都是合规和自动化的流程,它们不知道这是骗子还是受害者发起的业务请求,因此应该免除它们的责任。
然而,对于运营商来说,这些古怪的业务带来的好处并不大,但他们像僵尸一样生活在系统中,实际的风险无人承担,这是最重要的事情要反思!
作者微信号:上儒客栈(雨凝)
*本文是作者的独立观点,并不代表老虎嗅探网络的立场
本文由中国移动雨凝授权的老虎嗅探网络发布,老虎嗅探网络编辑。转载这篇文章必须得到作者的批准,并请附上来源(老虎嗅探网络)和本页的链接。原链接户县/文章/145177/1
标题:还原最新通信网络诈骗案:骗子是如何让你倾家荡产的?
地址:http://www.3mta.com/xlxw/5901.html