还原最新通信网络诈骗案：骗子是如何让你倾家荡产的？

本篇文章2811字，读完约7分钟

文本/雨凝

4月11日，一篇题为“网上诈骗记录，互联网是如何让我身无分文的？”文章的作者“开心火星”(以下简称受害者)说，他的支付宝、银行卡和百度钱包里的所有资金都因为一条短信被骗子洗劫一空。

一夜之间，破产了。

他是怎么被抢劫的？

受害者遭受了巨大的损失，不知道通信和网络技术，也不真正了解黑客/骗子是如何洗劫自己的。昨天，雷还采访了安全专家，详细分析了整个过程的技术细节，非常专业和全面。微博名人@奥卡姆剃刀也写了一篇分析文章，认为这起案件又是由伪基站引起的。但在我看来，这些分析仍然值得怀疑。

我从受害者的记录和商业逻辑上分析了这个“核弹”是如何被引爆的。

整个案件的关键在于，诈骗者获得了受害者附属卡的验证码，导致手机号码被盗，引发了连锁反应:用手机不断突破邮箱、支付宝，甚至各种银行和百度钱包。

对于这种欺诈行业的后半部分，雷锋的解读材料分析得很清楚，把欺诈者获得的“验证码”称为“核弹引信”是恰当的。但是说谎者是怎么得到受害者附属卡的验证码的呢？

在这方面，雷锋。com和奥卡姆剃刀认为10086发送的信息是由伪基站引起的。雷锋的文章还引用了“运营商自助换卡业务的欺诈过程”，并把其逻辑列为“骗子骗用户发短信指令，从香港开始，然后实现换卡。”然而，我的判断与他们的不同。虽然伪基站做了无止境的坏事，但这次骗子使用的手段可能不是真正的伪基站。

为了避免运营商和公安部门的联合攻击，许多伪基站都是移动犯罪，主要是向用户推送信息。尽管在技术上有可能实现伪基站和用户之间的连续交互通信，但类似的情况以前从未发生过。特别是受害者第一次收到信息时并不在地面上，而是在地铁上，然后几次变换位置，进一步降低了伪基站犯罪的可能性。

(雷锋的分析文章列举了[通过运营商的自助换卡业务进行欺诈的过程])

受害者与10658000的互动

受害人整个遭遇的起点是订购中国广电金融的手机报纸业务，这很奇怪。

根据受害人反映的情况，10086回复的短信内容显示，订阅关系在17:53开始生效，然后在17:54收到10658000发送的手机报样本。

首先，当用户订阅sp服务时，中国移动将向用户发送第二条确认消息，在用户回复确认消息之前，不会正式开通。根据受害者的描述，没有收到第二次确认信息。

其次，从那以后，诈骗者和受害者基本上是一对一的互动。从互动过程的角度来看，诈骗者应该对受害者刚刚订购的业务有很好的了解，然后利用之前的互动让受害者产生错觉，最终将usim卡更换的验证码误认为退订业务的验证码。

实施电信欺诈通常的方法是先“撒网”，然后选择特定的对象来实施下一个计划。因此，从大量发送到一对一通信，它经常被欺诈者控制甚至主动选择。雷锋列出的业务流程。网站要求用户手动发送一条短信，从hk开始换卡。然而，在本案中，诈骗者没有询问，受害者也没有发出类似的指令，所有收到伪基站信息的用户都不可能主动申请换卡。

因此，我怀疑该诈骗犯通过其他方式强行将“杨光金融”的业务定制给用户，如窃取受害者的姓名，通过wap或其他在线渠道订购业务。在这种情况下，相应的渠道在受害者不知情的情况下进行二次确认。

(昨天，北京移动发布消息，确认有人以受害者身份登录移动在线营业厅，在线订购“杨光金融”业务。由此，我怀疑骗子们在网站上一个接一个地尝试，尝试这个弱密码用户，窃取他们的身份并开始行动)

也就是说，受害者收到的以10658000和10086开头的短消息不是伪基站的消息。这是骗子冒充用户订购业务后系统的正常业务通知。

但此时，骗子的真正目的还没有暴露:此时，受害者只是被迫定制一个业务，如果他不回应骗子的后续行动，后续的欺诈过程将不会真正激活。

欺诈短信从何而来

骗局的关键在于“usim卡验证码”。骗子向运营商申请自助换卡，这项业务需要验证码才能完成。

这是什么样的自助换卡业务？

你可以去淘宝等电子商务平台看看。移动4g自助换卡业务必须通过带有特殊说明的原卡发送。也就是说，中国移动最广泛的“快速换卡”业务必须由原手机发起，这不符合本案例的应用场景。

会不会是营业厅的工作人员没有核实客户信息而直接操作的呢？

首先，时间不对。换卡时间是下午6点以后，这时营业厅已经下班了；

其次，去营业厅换卡的顾客应该有过这种经历。换卡的步骤是(1)操作员询问客户号码，(2)操作员通过系统将校验码发送给用户，(3)操作员将校验码输入系统，完成换卡。这也与受害者描述的过程不一致。

根据受害人描述的商业场景分析，该诈骗犯可能从事“网上短信”业务，这种业务在全国并不流行，但只在包括北京在内的部分地区试点，很少有人知道。骗子刚刚找到了这个生意，完成了这个骗局，这真的很小心！

那么，是谁发送了欺骗用户泄露校验码的短信呢？106581390xxxx是中国移动139邮箱发送短信的id，是另一个未知的功能。

用户登录139邮箱后，可以向他人发送短信，短信回复的内容将被发送到邮箱。

从受害者发布的信息可以看出，诈骗者确切知道受害者的手机号码，在139信箱编辑了一条“定制”的短信，并从受害者那里骗取了关键的“usim卡校验码”。

综上所述:诈骗者首先向受害者强行定制服务，然后用受害者的号码向运营商发起换卡申请，系统向用户发放usim卡的验证码。此时，用户被之前突如其来的定制弄糊涂了，于是与骗子互动，向对方发送usim卡更换验证码。

此时，受害者的入口打开了。

说谎者的后续操作

在获得usim卡校验码后，诈骗者可以激活新卡，同时，受害者手中的sim卡无效。这时，说谎者只得到了号码和手机，那么他是如何让受害者变穷的呢？

首先，骗子用手机作为账户，登录支付宝。

请注意:此时，骗子不知道用户的支付宝密码。下一步，骗子使用支付宝提供的密码检索功能，输入手机号码进行验证后，弹出的页面是“您正在重设账户xxxxxx的登录密码”。

不幸的是，受害者的账户名是网易的电子邮件地址。虽然您无法看到邮箱中的所有信息，但网易邮箱提供了这样一个功能:输入绑定的手机号码后，您可以发出验证码来重置登录密码。

因此，诈骗者手里拿着受害人的手机号码成功进入网易邮箱，然后登录支付宝进行后续转账支付。

故事结束后，雷锋的分析非常清楚和透彻，所以我在这里不再重复。

从法律角度来看，运营商、银行和支付宝的所有操作都是合规和自动化的流程，它们不知道这是骗子还是受害者发起的业务请求，因此应该免除它们的责任。

然而，对于运营商来说，这些古怪的业务带来的好处并不大，但他们像僵尸一样生活在系统中，实际的风险无人承担，这是最重要的事情要反思！

作者微信号:上儒客栈(雨凝)

*本文是作者的独立观点，并不代表老虎嗅探网络的立场

本文由中国移动雨凝授权的老虎嗅探网络发布，老虎嗅探网络编辑。转载这篇文章必须得到作者的批准，并请附上来源(老虎嗅探网络)和本页的链接。原链接户县/文章/145177/1