还原最新通信网络诈骗案 骗子是如何让你倾家荡产的?

来源:未知 浏览 347次 时间 2021-05-06 15:52

4月11日一篇名为《实录亲历网络诈骗互联网是如何让我身无分文?》的文章作者“趣火星”(以下我称其为受害者)称FLASH网站优化方法互联网是如何让我身无分文?》的文章作者“趣火星”(以下我称其为受害者)称由于一条短信他支付宝、银行卡及百度钱包内的所以资金都被骗子彻底洗劫。

一夜之间倾家荡产。

他是怎样被洗劫的?

去火星.png   还原最新通信网络诈骗案:骗子是如何让你倾家荡产的? 业界新闻 第1张

这位蒙受巨大损失的受害者并不了解通信与网络技术直到最后也没有真正搞明白黑客/骗子是如何洗劫自己的。昨天雷锋网也有访谈安全专家详细解析了整个过程的技术细节非常专业全面。微博名人@奥卡姆剃刀 也就此写了分析文章认为此案是伪基站再次作祟。但这些分析在我看来仍存有疑问。

我从受害者的实录和业务逻辑技术分析一下这枚“核弹”是如何被引爆的。

整个案件的关键是骗子获取了受害者的补卡验证码导致手机号码被盗用并触发连锁反应:利用手机连续攻破邮箱、支付宝乃至各家银行以及百度钱包。

关于这个诈骗行业的后半部分雷锋网的解读材料分析得非常清楚将骗子获得的"验证码"称为"核弹引信"是恰如其分的。但骗子是如何获取到受害者的补卡验证码的呢?

对此雷锋网以及奥卡姆剃刀老师都认为10086发送的信息是伪基站作祟。雷锋网的文章中还引用了【通过运营商自助换卡业务进行诈骗的流程】列出的逻辑是“骗子诱骗用户发送HK开头的短信指令进而实现换卡”。但我的判断却与他们不同虽然伪基站作恶无穷但骗子这一次使用的手段可能还真的不是伪基站。

为了躲避运营商和公安部门的联合打击伪基站很多都是流动作案而且主要是向用户推送信息。虽然技术上可以做到伪基站与用户持续交互通信但以前并未见到类似情况发生。尤其受害者最早接收到信息时并不是在地面而是在地铁上之后又有多次位置变更所以进一步降低了伪基站作案的可能。

33.jpg   还原最新通信网络诈骗案:骗子是如何让你倾家荡产的? 业界新闻 第2张

(雷锋网分析文章列出的【通过运营商自助换卡业务进行诈骗的流程】)

受害者与10658000的交互

   还原最新通信网络诈骗案:骗子是如何让你倾家荡产的? 业界新闻 第3张

受害者整个遭遇的起点是订购了"中广财经"手机报业务这个订购过程非常蹊跷。

其二自此之后骗子与受害者基本就是一对一交互从交互过程看骗子应该对受害者刚刚订购这个业务非常了解进而利用前面的交互让受害者产生错觉最终将USIM换卡的验证码误以为了退订业务的验证码。

实施电信诈骗通常的方式是开始"大片撒网"再从中选择特定的对象实施下一步计划。因此从群发信息转到一对一沟通往往是骗子能够控制甚至主动选择的。雷锋网在文章中列出的业务流程需要用户手动发送HK开头的短信换卡指令但在本案中骗子并没有要求受害者也并没有发送类似指令也不可能为所有接收到伪基站消息的用户主动申请换卡。

所以我的是怀疑是骗子通过其他方式给用户强行定制了“央广财经”这个业务比如通过WAP或者别的在线渠道盗用受害者名义订购业务这种情况下是由对应的渠道进行二次确认而受害者并不知情。

(昨天北京移动发布信息证实有人以受害者身份登录移动的网上营业厅在网上订购了"央广财经"业务。由此我怀疑骗子在网站上逐个试验试到这个弱密码的用户盗用其身份后开始行动)

这也就是说受害者收到的10658000和10086开头的短信都不是伪基站的消息。而是骗子冒充用户订购业务之后系统正常的业务告知通知。

但此时骗子真正的目的还没有显露:这时受害者只是被强行定制了一个业务如果他不对骗子后续的行为形成响应后续的诈骗流程也不会被真正激活。

诈骗短信从何而来

骗局的关键在于"USIM卡验证码"骗子向运营商申请自助换卡而这个业务的完成需要一个验证码。

那这个自助换卡是个什么业务呢?

大家可以去淘宝等电商平台看看移动的4G自助换卡业务必须是由原卡发送一条专用指令也就是说中国移动推行最广的"快速换卡"业务必须由原手机发起操作并不符合这个案例的应用场景。

那会不会是营业厅人员没有验证客户信息就直接操作了呢?

首先时间不对。换卡时间是下午六点之后此时营业厅已经下班;

其次去营业厅换卡的客户应该体验过换卡的步骤是(1)操作人员询问客户号码(2)操作人员通过系统给该用户发送校验码(3)操作人员得到该校验码后输入系统完成补卡。这也和受害者描述的过程不符。

根据受害者描述的业务场景分析骗子办理的可能是"网选短写"业务这个业务并非全国通行只在包括北京在内的部分地区试点开通知之者甚少。而骗子恰恰找到了这个业务完成了这个骗局也真是花了心思!

那么那条骗用户泄露校验码的那条短信又是谁发的?106581390XXXX这是中国移动的139邮箱发送短信的IDqq群等级积分怎么刷新 QQ群刷积分技巧这是中国移动的139邮箱发送短信的ID这又是一项不为常人所知的功能。

22.jpg   还原最新通信网络诈骗案:骗子是如何让你倾家荡产的? 业界新闻 第4张

总结一下:骗子先给受害者强行定制业务然后以受害者的号码向运营商发起换卡申请系统向用户下发USIM卡的验证码。此时用户被此前突然被定制的情况迷惑与骗子形成了互动将USIM换卡的验证码发给对方。

至此受害者门户洞开。

骗子后续的操作

获得了USIM卡校验码骗子就可以激活新卡与此同时受害者手中的SIM卡作废。这时骗子只得到了号码和手机那他又是如何把受害者搞得一贫如洗呢?

首先骗子用手机为账号qq群等级积分怎么刷新 QQ群刷积分技巧骗子用手机为账号登录支付宝。

请注意:此时骗子并不知道用户的支付宝密码。接下来骗子使用支付宝提供的找回密码功能输入手机号进行验证之后弹出的页面是"你正在为账户XXXXXX重置登录密码"。

很不幸受害者的账户名是网易的一个邮箱地址。虽然看不到邮箱的全部信息但是网易邮箱提供了这样的功能:输入绑定的手机号之后可以下发验证码重置登录密码。

于是骗子就用手里受害者的手机号成功地进入了网易邮箱进而登录了支付宝实施后续的转账、支付等行为。

后面的故事雷锋网的分析说得很清晰透彻我就不再赘述了。

从法律角度来说运营商、银行以及支付宝等执行的所有操作都是合规的自动化流程完全不知道这是骗子还是受害者发起的业务请求应该可以免除责任。

但对于运营商来说那些偏门冷怪的业务带来的收益并不大但是如僵尸般存活在系统中实际带来的风险无人管这才是最应该反思的!

标签: 还原最新通信网络诈骗案 骗子是如何让你倾家荡产的?