还原最新通信网络诈骗案：骗子是如何让你倾家荡产的？

2016-04-14 09:49

文 / 宁宇
4月11日，一篇名为《实录亲历网络诈骗，互联网是如何让我身无分文？》的文章作者“趣火星”（以下我称其为受害者）称，由于一条短信，他支付宝、银行卡及百度钱包内的所以资金，都被骗子彻底洗劫。
一夜之间，倾家荡产。
他是怎样被洗劫的？

去火星.png

这位蒙受巨大损失的受害者，并不了解通信与网络技术，直到最后也没有真正搞明白，黑客/骗子是如何洗劫自己的。昨天，雷锋网也有访谈安全专家，详细解析了整个过程的技术细节，非常专业全面。微博名人@奥卡姆剃刀也就此写了分析文章，认为此案是伪基站再次作祟。但这些分析，在我看来仍存有疑问。
我从受害者的实录和业务逻辑，技术分析一下这枚“核弹”是如何被引爆的。
整个案件的关键，是骗子获取了受害者的补卡验证码，导致手机号码被盗用，并触发连锁反应：利用手机连续攻破邮箱、支付宝，乃至各家银行以及百度钱包。
关于这个诈骗行业的后半部分，雷锋网的解读材料分析得非常清楚，将骗子获得的"验证码"称为"核弹引信"是恰如其分的。但骗子是如何获取到受害者的补卡验证码的呢？
对此，雷锋网以及奥卡姆剃刀老师都认为，10086发送的信息是伪基站作祟。雷锋网的文章中还引用了【通过运营商自助换卡业务进行诈骗的流程】，列出的逻辑是“骗子诱骗用户发送HK开头的短信指令，进而实现换卡”。但我的判断却与他们不同，虽然伪基站作恶无穷，但骗子这一次使用的手段，可能还真的不是伪基站。
为了躲避运营商和公安部门的联合打击，伪基站很多都是流动作案，而且主要是向用户推送信息。虽然技术上可以做到伪基站与用户持续交互通信，但以前并未见到类似情况发生。尤其受害者最早接收到信息时并不是在地面，而是在地铁上，之后又有多次位置变更，所以进一步降低了伪基站作案的可能。

（雷锋网分析文章列出的【通过运营商自助换卡业务进行诈骗的流程】）
受害者与10658000的交互

受害者整个遭遇的起点，是订购了"中广财经"手机报业务，这个订购过程非常蹊跷。
从受害者反映的情况看，10086回复的短信内容显示，订购关系是17:53生效的，之后就是17:54分收到了10658000发送的手机报样刊。
其一，用户订购SP业务，中国移动会向用户发送二次确认信息，待用户回复确认信息之后，才会正式开通。而从受害者的描述来看，并没有收到二次确认信息。
其二，自此之后骗子与受害者基本就是一对一交互，从交互过程看，骗子应该对受害者刚刚订购这个业务非常了解，进而利用前面的交互，让受害者产生错觉，最终将USIM换卡的验证码误以为了退订业务的验证码。
实施电信诈骗通常的方式是开始"大片撒网"，再从中选择特定的对象实施下一步计划。因此从群发信息转到一对一沟通，往往是骗子能够控制甚至主动选择的。雷锋网在文章中列出的业务流程，需要用户手动发送HK开头的短信换卡指令，但在本案中，骗子并没有要求，受害者也并没有发送类似指令，也不可能为所有接收到伪基站消息的用户主动申请换卡。
所以，我的是怀疑是，骗子通过其他方式给用户强行定制了“央广财经”这个业务，比如通过WAP或者别的在线渠道盗用受害者名义订购业务，这种情况下是由对应的渠道进行二次确认，而受害者并不知情。
（昨天北京移动发布信息，证实有人以受害者身份登录移动的网上营业厅，在网上订购了"央广财经"业务。由此我怀疑，骗子在网站上逐个试验，试到这个弱密码的用户，盗用其身份后开始行动）
这也就是说，受害者收到的10658000和10086开头的短信，都不是伪基站的消息。而是骗子冒充用户订购业务之后，系统正常的业务告知通知。
但此时骗子真正的目的还没有显露：这时受害者只是被强行定制了一个业务，如果他不对骗子后续的行为形成响应，后续的诈骗流程也不会被真正激活。
诈骗短信从何而来
骗局的关键在于"USIM卡验证码"，骗子向运营商申请自助换卡，而这个业务的完成需要一个验证码。
那这个自助换卡是个什么业务呢？
大家可以去淘宝等电商平台看看，移动的4G自助换卡业务，必须是由原卡发送一条专用指令，也就是说，中国移动推行最广的"快速换卡"业务，必须由原手机发起操作，并不符合这个案例的应用场景。
那会不会是营业厅人员没有验证客户信息，就直接操作了呢？
首先，时间不对。换卡时间是下午六点之后，此时营业厅已经下班；
其次，去营业厅换卡的客户应该体验过，换卡的步骤是（1）操作人员询问客户号码，（2）操作人员通过系统给该用户发送校验码，（3）操作人员得到该校验码后输入系统，完成补卡。这也和受害者描述的过程不符。
根据受害者描述的业务场景分析，骗子办理的可能是"网选短写"业务，这个业务并非全国通行，只在包括北京在内的部分地区试点开通，知之者甚少。而骗子恰恰找到了这个业务，完成了这个骗局，也真是花了心思！
那么，那条骗用户泄露校验码的那条短信又是谁发的？106581390XXXX，这是中国移动的139邮箱发送短信的ID，这又是一项不为常人所知的功能。

用户登录139邮箱后，可以给其他人发短信，而短信回复的内容就会送达邮箱。
从受害者贴出来的信息可以看出：骗子是在确切知道受害者手机号码，在139邮箱里编辑了一条"定制"短信，从受害者那里骗到了关键的"USIM卡校验码"。
总结一下：骗子先给受害者强行定制业务，然后以受害者的号码向运营商发起换卡申请，系统向用户下发USIM卡的验证码。此时，用户被此前突然被定制的情况迷惑，与骗子形成了互动，将USIM换卡的验证码发给对方。
至此，受害者门户洞开。
骗子后续的操作
获得了USIM卡校验码，骗子就可以激活新卡，与此同时受害者手中的SIM卡作废。这时骗子只得到了号码和手机，那他又是如何把受害者搞得一贫如洗呢？
首先，骗子用手机为账号，登录支付宝。
请注意：此时骗子并不知道用户的支付宝密码。接下来骗子使用支付宝提供的找回密码功能，输入手机号进行验证之后，弹出的页面是"你正在为账户XXXXXX重置登录密码"。
很不幸，受害者的账户名是网易的一个邮箱地址。虽然看不到邮箱的全部信息，但是网易邮箱提供了这样的功能：输入绑定的手机号之后，可以下发验证码重置登录密码。
于是，骗子就用手里受害者的手机号，成功地进入了网易邮箱，进而登录了支付宝，实施后续的转账、支付等行为。
后面的故事，雷锋网的分析说得很清晰透彻，我就不再赘述了。
从法律角度来说，运营商、银行以及支付宝等，执行的所有操作都是合规的自动化流程，完全不知道这是骗子还是受害者发起的业务请求，应该可以免除责任。
但对于运营商来说，那些偏门冷怪的业务带来的收益并不大，但是如僵尸般存活在系统中，实际带来的风险无人管，这才是最应该反思的！
作者微信号：尚儒客栈（CMCC-ningyu）

共有评论0条