抽絲剝繭，揭開《親曆網路詐騙，互連網是如何讓我生無分文？ 》一文背後的秘密

標籤：

轉載請註明來源：http://www.cnblogs.com/phoenix--/p/5381482.html

 

昨天網上出現一篇文章《實錄 | 親曆網路詐騙，互連網是如何讓我生無分文？》：http://mp.weixin.qq.com/s?__biz=MzA5MTMyMjE4Mw==&mid=2652308001&idx=1&sn=811491a6372577b33fad477f7dbe39d0&scene=23&srcid=0411COxY4VbtRjg0ZHkt5F5P#rd

其實再去年2015年也有類似案例：http://bbs.tianya.cn/post-no110-15223504-1.shtml

 

文章比較長，提取重點並分析，重點（騙子的突破點）在於：

1、作者被惡意訂閱“手機報”，進而被引入騙局。

2、利用搜尋引擎搜尋到了北京移動的“中廣財經半年包”套餐：http://service.bj.10086.cn/poffice/package/showpackagesjyd.action?from=bj&PACKAGECODE=TZLC&isCheck=1。可以看到，訂閱在正常流程中是需要使用者登入（使用服務密碼或隨機密碼）登入。同時結合上下文，可以看到作者後來收到了真正有效USIM卡6位驗證碼，這樣可以推斷訂閱手機報的動作是真實發生的。而作者自己肯定沒有操作，首先排除了偽基站（偽基站會持續幹擾正常訊號，會導致後面的簡訊驗證碼無法接收，影響詐騙），同時說明存在以下可能：

1）作者的手機服務密碼泄露，導致騙子在網廳以偽造身份訂閱了套餐。（無北京移動號，無法確認後續操作是否還需要簡訊驗證碼）

2）作者的手機感染了木馬，訂閱需要的簡訊驗證碼被攔截

3）北京移動的網廳存在安全性漏洞，導致繞過驗證訂閱或越權訂閱

（騙子為什麼要選擇“中廣財經半年包”呢？我猜測那是因為在手機報的幾個類別中，這個費用是最高的，其他都在10元以下，過低費用不能觸發停機操作）

3、訂閱操作完成後。騙子又進行另一處敏感操作（也是導致手機卡許可權丟失的關鍵操作，具體功能未知），觸發了一條驗證簡訊，被作者收到。

4、這個時候，騙子迅速發送一條允許回複（上行）的簡訊通知，欺騙作者回複“校正碼”（其實騙子想要的就是作者在第3步收到的簡訊驗證碼） 

註：據說（未驗證）106581390後面跟手機號的簡訊是移動139郵箱發出來的簡訊，其實一般都是連絡人之間的簡訊。

參考1：http://www.miui.com/thread-2264118-1-1.html

參考2：https://bbs.taobao.com/catalog/thread/154504-262473760.htm

5、此時作者不察，落入騙子拳套：真的將簡訊驗證碼發送過去了。至此，騙子成功獲利用3步中的敏感操作中擷取了作者的手機卡的所有權。

6、隔了半個小時（這時候騙子正在偷偷補辦手機卡中！），騙子補卡成功，樓主的悲劇就開始了。

 

複盤第2步、第5步，可以發現騙子是需要受害者提供簡訊驗證碼的，可以排除第2步中假設受害者手機中木馬的可能（如果中了，就沒有必要費盡心思讓受害者發送了），只剩2種可能：

1）騙子已經擁有受害者的手機卡服務密碼，但是第3步的關鍵操作需要還需要額外簡訊驗證碼；

2）騙子沒有受害者的手機卡服務密碼，是通過網廳的安全性漏洞越權訂閱了手機報套餐，第3步關鍵操作需要提供簡訊驗證碼。

 

現在重點在於索取簡訊驗證碼的第3步操作到底什麼：

 

先瞭解下補辦手機卡需要哪些材料。根據北京移動官網介紹（http://www.bj.10086.cn/support/brand/easyown/profile/rmjbk/）：可憑客戶有效證件及客服密碼（如變更過密碼需憑改後密碼）到北京移動各營業廳辦理補卡業務。

 1）身份證。通過假身份證製作，需要資訊：姓名、社會安全號碼。對於騙子來說，購買姓名+社會安全號碼不是問題，製作也不存在技術障礙。

相關資訊及案例：

http://news.sina.com.cn/o/2016-03-17/doc-ifxqnnkr9347165.shtml （關鍵內容：嫌疑人在QQ群花1500元購買了唐女士的姓名、社會安全號碼、手機號、銀行卡號、網銀登入帳號、密碼及網銀支付密碼的一整套資訊。）

https://www.google.com/#q=%E5%8A%9E%E5%81%87%E7%9A%84%E5%B8%A6%E7%A3%81%E7%9A%84%E8%BA%AB%E4%BB%BD%E8%AF%81

http://finance.caijing.com.cn/20150820/3951274.shtml

http://bjcb.morningpost.com.cn/html/2014-09/04/content_308240.htm

http://gd.qq.com/a/20131114/005323.htm

2）客服密碼（服務密碼） 

如果騙子已經有了客服密碼，就沒有必要索取第3步中簡訊驗證碼了。

 

但是上述操作還是需要去營業廳，容易暴露。

 

而參考：http://mt.sohu.com/20160104/n433432997.shtml 可以看到北京移動提供自動換卡服務，需要二次確認，很可能就是第3步中的簡訊驗證碼。騙子自然可以通過其他渠道擷取空白sim卡。

 

參見最開始提到的第二個案例：http://bbs.tianya.cn/post-no110-15223504-1.shtml，參考北京移動的簡訊保管箱功能變更：

 

 

對比兩個2個案例可以看到，由於騙子已經無法通過擷取簡訊保管箱擷取服務類簡訊驗證碼，因此需要受害者提交簡訊驗證碼，騙子正是用退訂垃圾業務為誘餌，誘導使用者提交。

 

至此，推斷騙子很可能是使用空白sim卡複製受害者手機卡，從而擷取手機卡控制權。

而目前很多線上業務，絕大多數都是將手機作為信任裝置，支援通過手機找回密碼和控制權。因此，騙子再擷取手機卡控制權之後，即可逐步控制各類重點網站賬戶：支付類、虛擬財產類。

 

如何防範和處理：

1、騙子原先是利用姓名、社會安全號碼可以偽造身份證，甚至都敢去銀行卡補辦銀行卡。此類案例網上很多。但是這麼操作風險較高，容易暴露。因此才改為通過補辦手機卡、複製手機卡等方式作案，因此首要的是避免泄露社會安全號碼碼、手機號碼，尤其是同時泄露。不要因為各類小禮物、小優惠就雙手奉送。個人資訊的價值遠比你想象的金貴！

2、保管好自己的手機服務密碼。對於各類賬戶的通知簡訊驗證碼，務必小心保管。不要通過簡訊發送給任何人，同時儘快確認驗證碼觸發來源，及時發現異常。

3、一旦出現異常，比如手機長時間無服務、資金出現異常，馬上通過其他渠道聯絡對應電訊廠商、銀行、網站，凍結銀行卡或帳號。如果出現大額資金異常，也可以直接聯絡警方。務必避免慌亂中在自己的各個帳號、銀行卡之間進行轉賬。

抽絲剝繭，揭開《親曆網路詐騙，互連網是如何讓我生無分文？ 》一文背後的秘密