在7月中旬的乌云大会上,一名白帽子(正面的黑客,技能是可以识别计算机或网络漏洞但不恶意利用反而尽快告知相关并修复)手持一枚Android Pad正呼叫他对面的一台手机,一两秒后手机上的呼入号码显示“18688888888”。事实上,只要经过半小时的设置、数以毛计的拨打成本,这台Pad可以“拨出”任何他想要的号码。
这样的任意主叫,如果配合网络上被泄露或者黑市购买的个人信息一起使用,它的中(诈)招(骗)效率会远远高于更常见的400中奖电话。乌云平台的白帽举了一个例子:女大学生失踪,骗子冒充她的手机给家人打电话,也许分分钟骗得数万的转账。
主叫号码的修改并无难度,整个过程骗子只需要一家VoIP的服务商,一个欺骗手机号码认证的工具(部分网络电话可能会通过读取本机号码来显号)以及有效的联系信息就可以了。这是互联网和运营商网络交叉时出现的识别盲区,网络运营商呼叫传统运营商的协议没有对主叫号码进行身份校验。
路人甲告诉我们,在传统电话网络中我们拨打电话时,主叫和被叫两端通过运营商接通,即
主叫=》运营商=》运营商=》被叫。
这个时候运营商通过手机硬件和SIM卡向被叫传送了一个唯一的识别ID,主叫的身份不能伪造(除非把运营商干掉)。
但网络电话兴起以后,它不再由运营商掌控整个链条,VoIP的运营商或者叫ISP参与进来。当网络电话的用户(比如一个Pad)呼叫时,它的链条是
Pad=》VoIP运营商=》运营商=》被叫。
在网络运营商呼叫传统运营商这个过程中,它使用的协议本身没有任何身份校验,运营商之间被认为是充分信任的。这样给Pad赋予一个虚拟的ID,它骗过网络电话运营商,就可以变成一个任意的主叫号码。
VoIP的服务满地都是,欺骗手机号码认证的工具也并不难获取,即使没有,从头开发一个也不需要太大功夫。
然而伪造号码仅仅是手机号套利的第一种方式。
钓鱼网站的流量变现简直是对互联网的一种“嘲讽”。
假定有3件事排在钓鱼网站的Priority List上,那这3件事分别会是流量、流量和流量。如果除此之外还有第4件事,那就是合理的技术迭代。
钓鱼网站的流量来源曾经多种多样(现在也是),包括了IM、搜索引擎、中小站点的广告、社交网络、弹窗以及一些高度近似的地址。但现在不少遭到安全软件的封堵,群发短信和垃圾邮件成为重要的流量源,前者就高度依赖了伪基站。
伪基站在百科上的释义是这样的:
一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短消息。
最初伪基站体型较大,只能作用于移动联通2G的GSM网络;而现在已经通过压制3G、4G信号升级换代,设备体型也更袖珍,大部分是车载的,甚至有置于背包内的版本。
但除却换代,伪基站的工作方式都是这样的:
截断范围内手机正常基站通讯=》接入伪基站=》发送短信=》释放接受成功的手机。
伪基站的开发难度不大,所以一旦有方案流出或者在市面出售,个人或者小作坊都可以生产。13年以前网络上有大量直接贩卖整机的网站,这些设备以前在淘宝叫做短信群发器,被封禁后改名为900设备和1800设备。
但雷锋网编辑随意在百度上变更了几个关键词,就找到了这样两家卖家。
第一家是销售整机,第二家是销售散件组装。
具备由伪基站等引来的的流量之后,钓鱼站的运作原则是愿者上钩,更准确地说是谁傻谁来。
乌云的路人甲告诉我们,国内的钓鱼站在去年下半年开始明显增多,在今年的5 - 6月份达到高峰;现在的钓鱼站制作越发细致,甚至有非常接近真实的交互逻辑。过去很多钓鱼网站只是简单填写一些银行卡信息,现在很多新站会在交互设计里让用户迅速完成转账。
国内钓鱼站有一些比较集中的开发上游,大部分站点用的是同一套后台系统,其中路人甲们经常碰到的一家叫尖刀科技工作室。虽然叫做工作室,但可能他们实体只是一个很小的开发团队甚至是一个人。
乌云的白帽甚至向我们展示了他们攻入的其中一家钓鱼站后台,可以看到站点上线不到20天内已经有360多条的银行卡信息,包括了姓名、卡号、密码、身份证、有效期甚至信用卡的CVV都已经十分完整,而这只是规模很小的“一个站点”。
成熟的钓鱼团队会购买多个域名指向同一个站点。由于后台系统被广泛使用,有时像尖刀工作室这样的团队甚至比钓鱼站运营还要挣钱。安全圈内还一直有个段子:白帽跟黑帽的差别就是一个月薪1万一个日薪1万。
据不完全统计,每天新增的钓鱼网站数量有50到150个,每天新增受害人数可能是千人,这些站点的存活周期不会太长,很多不超过3天,且很可能把服务器架到国外。钓鱼链条上,除了贩卖模板和源码,还有专门的团队负责分发(比如开车拉着伪基站到处跑)。从受害人的地域分布来看,不少伪基站经常一天更换一个城市。
无论伪基站还是钓鱼站,它们在线上线下的活动非常灵活,而且通常组织很小,多数是10人以下的紧密团队。
如果说伪造号码和钓鱼网站针对的都是傻而多金的个人,那薅羊毛针对的就是傻而多金的企业。理论上讲任何开放的奖励机制都是可以薅的,包括但不限于优惠券、抽奖、积分奖励。
今年4月6日,苏宁一次满100减50的活动,被爆使用门槛仅需要满0.1元即可。当晚有大量技术宅深夜刷单,据传有一人狂刷1.7万单。
苏宁一次的损失规模可能在5000万 - 7000万。
苏宁被刷后的部分晒单
而此前被揭露的包括Uber在内的专车被刷单事件:
业内黑话管无单的司机叫“病人”,而刷单人员称为“护士”。当司机发出刷单请求时,则是向刷单人员求“扎针”。
刷单人员随即用一个新用户账号选择司机附近的出发位置,司机“接单”(实际是空载)结束行程后获得Uber的车费+补贴,随即通过其他方式将车费转回给刷单人员,司机留下补贴,而刷单人员由于新用户30元的奖励盈利一次车费。
Uber的出发指针酷似“扎针”
以上的两个过程,我们需要一些自动化的工具,批量注册机以及大多数时候需要用不完的手机号以注册新用户,这便讲到了黑卡。
这些黑卡在线上以短信接受平台的形式出现,多数具有完整的多平台客户端(iOS、Android、Win等),更重要的是其中多数有提供自动化API。
自动化API才是亮点
小型猫池
路人甲告诉我们,国内大概有5-6家大型短信接收平台,每家将近20万的号码,也就是至少百万的黑卡。这些黑卡通过一种叫“猫池”的专用设备接收信息,当然这些黑卡如果在一个地域并发会造成局部区域的基站瘫痪,所以它们实际上是“分布式”散落在各地的——更准确地说是以每处几百张的数量分散在各个地点。根据乌云的追踪,这些黑卡的所在地多数集中在广州、深圳、东莞3个地方。
另一个值得研究的问题是,数以百万级能够正常收发短信,但是没有身份实名的黑卡到底是哪里来的?业内人士告知了我们其中两个来源:
一个是一些行业用的短信卡外流,它们原本只用来控制设备联网,所以通常只开通了流量和短信功能;
还有就是来自代理点,代理点冲业务可能会将号码贩售给这些平台,代理点本身掌握了大量实名身份证的信息,甚至可以给卡片们做实名认证。
于是有了这些黑卡,再来一些猫池(猫池的生产是有相关认证的,但由于大TB等交易市场的存在,它的购买和使用很难监督),于是有了无限量的短信平台,就等于有了无限的ID。
目前国内专业薅羊毛的群体数量相对固定,有明确的分工,比如有人员专门发现各个项目,开发人员跟进快速自动化,短信平台接收验证码,甚至有人专门做优惠券的回收和分销。当然,相比优惠券,这群人更喜欢现金和实物(比如iPhone抽奖,或者金融站点送体验金之类)。
业内人士告知我们,严格意义上黑卡和薅羊毛并非是违法行为,而是属于目前没有明确的灰色地带。事实上,这些具有API接口的短信接收平台,雷锋网编辑甚至没有想到它们有什么“正常的用途”。
总体来说,只要有VoIP的存在伪造号码很难阻断;钓鱼站们唯一可以追踪到的就是它们在线上的前台,这些前台还频繁更换,而追踪线下的伪基站需要相当密度和数量的人员投入,几乎不太可能;薅羊毛的根源在源源不断的黑卡,但如果没有运营商出手,也很少有人能触及这些无限ID的源头。