揭秘偽基站詐騙:讓手機自動轉(zhuǎn)賬 2G網(wǎng)絡(luò)更容易被入侵

2019-01-03 微信公眾號【瞭望智庫】點擊：次

　　一夜之間收到上百條短信，賬戶空了...東南亞有一千多座偽基站，專騙中國人!公安部門為啥不抓光這些騙子?

　　本文來自微信公眾號【瞭望智庫】

　　在剛剛過去的2018年底，233名冒充公檢法機關(guān)工作人員實施電信網(wǎng)絡(luò)詐騙的犯罪嫌疑人被我公安機關(guān)押解回廣州。這次集中打擊行動，破獲了2000多起跨國跨境的電信網(wǎng)絡(luò)詐騙案件，是近年來經(jīng)公安部組織協(xié)調(diào)，從東南亞國家抓捕電信詐騙犯罪嫌疑人最多的一次。

　　近幾年，很多電信詐騙者遠(yuǎn)涉海外作案，其中，東南亞地區(qū)是電信詐騙的重災(zāi)區(qū)。庫叔一位研究通信技術(shù)的朋友說，東南亞地區(qū)有一千多座用于電信詐騙的偽基站，專門騙中國人的錢，而且境外報案更難以追回。近幾年，我國公安機關(guān)也與多國警方合作，在泰國、柬埔寨、老撾等國家抓獲大量電信詐騙犯罪嫌疑人，掃蕩了東南亞多處電信詐騙窩點。

　　新的一年，公安部也將組織全國公安機關(guān)繼續(xù)保持高壓嚴(yán)打態(tài)勢，加強國際執(zhí)法合作，創(chuàng)新打法、戰(zhàn)法，堅決搗毀境內(nèi)外詐騙窩點，切實維護人民群眾財產(chǎn)安全和合法權(quán)益。

　　除了跨國作案，電信詐騙者的技術(shù)也在不斷升級，有時真讓我們猝不及防。前段時間有一個帖子火了，帖主“小珠桃子”稱，一覺醒來發(fā)現(xiàn)收到上百條短信，被各種網(wǎng)站劃走上萬塊錢，

　　不只這位受害人，一覺醒來銀行卡被盜刷還背上巨額貸款的人屢見不鮮。

　　跟以往短信詐騙不同的是，這些受害人只是接到了很多短信驗證碼，但并沒有進行任何錯誤操作，賬戶里的錢就被騙子憑空劃走了。

　　前些年經(jīng)過安全專家的反復(fù)提醒，我們早已對短信詐騙有了警覺，知道只要不主動轉(zhuǎn)賬就是安全的。但短信詐騙的技術(shù)升級了，它并不需要用戶的任何操作，也許在睡夢中就把你的錢偷走了，即使警惕性再高也無濟于事，我們每個人都處于危險之中。

　　這種新型短信詐騙出現(xiàn)后，庫叔與辦案民警、網(wǎng)絡(luò)警察、通信工程師、手機芯片專家組成了偽基站防御探討群，對這種新型詐騙方式的技術(shù)原理進行了探討，最近又走訪了一線的辦案和技術(shù)人員，終于摸清了這種新型詐騙方式的機理，在此給大家提供一個較為全面的技術(shù)分析和防范建議。

　　文 | 張弛通信博士，科普作者，網(wǎng)名“奧卡姆剃刀”

　　編輯 | 李浩然瞭望智庫

　　本文為瞭望智庫原創(chuàng)文章，如需轉(zhuǎn)載請在文前注明來源瞭望智庫(zhczyj)及作者信息，否則將嚴(yán)格追究法律責(zé)任。

　　電信詐騙實施的關(guān)鍵——偽基站

　　我們的移動通信都是通過基站來實現(xiàn)，而建立一個偽基站也是電信詐騙能實施的關(guān)鍵。

　　詐騙人員設(shè)置假基站后能非法使用運營商的頻率，設(shè)置與運營商網(wǎng)絡(luò)相同的網(wǎng)絡(luò)識別碼，冒充真基站欺騙手機跟它通信，使用戶手機被強制駐留到該設(shè)備上，并導(dǎo)致手機無法正常使用運營商提供的服務(wù)。

　　手機為什么會聽從偽基站的調(diào)遣呢?

　　這源于基站的越區(qū)切換體制。比如，一般來說，用戶的手機從A點向B點行進，A基站的信號越來越弱，B基站的信號越來越強，當(dāng)B基站的信號強過A基站時，手機就與A基站斷開并注冊到B基站，然后由B基站繼續(xù)提供服務(wù)。

　　這本來是保證手機在運動中可連續(xù)通話的正常技術(shù)協(xié)議，但卻被詐騙分子利用了——他們把偽基站的信號搞得很強，令手機誤以為已經(jīng)遠(yuǎn)離了原基站，進入到新基站的覆蓋范圍，就跟原來的真基站斷開了連接，并與這個偽基站進行了連接。

　　偽基站跟手機連接之后，就可以模仿任意號碼發(fā)送任意詐騙短信，發(fā)送完后就釋放，手機再次注冊到真基站，全過程也就幾秒鐘，用戶完全沒有感覺，因為偽基站發(fā)送的來電號碼就是真的，憑經(jīng)驗是根本無法鑒別的。

　　為什么會出現(xiàn)這樣的技術(shù)漏洞呢?

　　這源于2G時代的GSM(全球移動通信系統(tǒng))，這是上世紀(jì)八十年代建立、九十年代商用的通信技術(shù)體制。

　　GSM體制的基站給手機提供服務(wù)之前會進行鑒權(quán)，查看手機身份是否真實，但是反過來手機卻不會去驗證基站的真?zhèn)危@種單向鑒權(quán)體制給偽基站提供了技術(shù)體制層面的漏洞，這就是偽基站猖獗的根源。

　　為什么當(dāng)初不搞成雙向鑒權(quán)呢?

　　因為上世紀(jì)八十年代的基站是高度復(fù)雜且非常昂貴的“黑科技”，科技人員考慮到了手機可能被假冒，可根本沒想到基站也會被假冒。

　　三十多年過去了，通信技術(shù)飛速發(fā)展，電子設(shè)備越來越小型化、集成化、智能化，偽基站也由車載式進化成背包式，當(dāng)時的科技人員不可能預(yù)見到今天的場景。

　　不能跨越時空去指責(zé)科技前輩缺乏預(yù)見性，也不能讓運營商背鍋，因為他們沒有修改協(xié)議的權(quán)利，只有嚴(yán)格遵守的義務(wù)。

　　那現(xiàn)在能不能打個雙向鑒權(quán)的補丁呢?

　　很明顯，并不能。這可不是重寫個軟件程序的事，基站硬件、底層協(xié)議、芯片電路等全都要改，而且有些GSM設(shè)備可能是二十年前建設(shè)的，運營商付出的全網(wǎng)升級的代價會極大，根本不可能實現(xiàn)。

　　那能不能加速推進單向鑒權(quán)的GSM體制退市呢?

　　這倒是能從根源上解決，可現(xiàn)狀是，GSM退市遙遙無期，根據(jù)國際知名電信產(chǎn)業(yè)市場調(diào)研公司TeleGeography的調(diào)研，目前全球2G用戶的規(guī)模仍占據(jù)一半以上，且2018年后的用戶數(shù)量比重仍將高達42%。

　　詐騙者能輕易登錄你的賬號

　　前些年偽基站短信詐騙很猖獗，后來就有所緩解了，這其實源于兩方面的原因。

　　一是為避免用戶誤解，政府機關(guān)、公安部門和運營商普遍不再通過短信發(fā)網(wǎng)絡(luò)鏈接了，最多就是發(fā)個不需要反饋的告知，例如通知你本月的話費是多少，并不需要用戶主動操作。

　　二是這兩年4G基站越來越多，手機更多時候駐留在4G網(wǎng)絡(luò)上，而4G網(wǎng)絡(luò)具有雙向鑒權(quán)機制，詐騙分子無法利用。

　　與此同時，手機短信也漸漸有了一個新用途，那就是網(wǎng)站登陸和小額資金流動的驗證手段。操作銀行卡客戶端、支付寶、微信等，這些網(wǎng)站如何確定操作者就是你本人呢?除了輸入密碼外，最常見的方法就是短信驗證，給你發(fā)一個六位的驗證數(shù)碼，你將該數(shù)碼正確回傳給網(wǎng)站，這就通過了驗證。

　　驗證邏輯是這樣的：你的手機是實名注冊的，只有你本人才能看到短信驗證碼，所以說能正確回傳驗證碼的就一定是你本人，這就形成了一條完整的驗證鏈。

　　而這個驗證邏輯，又被詐騙分子盯上了，他們升級了偽基站，開發(fā)出了不需要你主動操作就能偷錢的新型詐騙手段。

　　首先，詐騙者需要獲取用戶手機號碼。

　　夜深人靜時，詐騙分子在居民區(qū)附近偷偷設(shè)立7個頻點的接收機，用來監(jiān)聽GSM信道的短信。

　　他們選擇7個頻點也是源于基站的蜂窩結(jié)構(gòu)，為了避免同頻干擾和頻率的有效重復(fù)使用，每個頻率周圍有6個其它頻率，詐騙分子同時采集這7個頻率的短信，就可以將這片居民的手機一網(wǎng)打盡。

　　詐騙分子對用戶短信的內(nèi)容不感興趣，他們關(guān)心的是短信中出現(xiàn)的電話號碼。例如有一條短信是“用戶您好，您號碼為13912345678的手機本月話費是**元，余額**元”，詐騙分子就知道在這個小區(qū)里，有一個用戶的電話號碼是13912345678。

　　接下來，詐騙者會利用獲取的手機號碼登錄網(wǎng)站。

　　他們會在半夜用自己的詐騙手機登錄13912345678的淘寶賬號，但他不知道登錄密碼，于是選擇短信驗證，接下來淘寶就給13912345678這個號碼發(fā)了驗證碼，真正機主的手機收到了這條短信，但他正在睡覺沒有察覺。

　　與此同時，詐騙分子的7個頻點接收機也收到這個驗證碼，他在詐騙手機上輸入了這個數(shù)碼后就登錄成功了。淘寶賬號只是舉例，登錄其它網(wǎng)站也是這種思路。

　　趁你熟睡，詐騙悄悄展開了

　　之前通過前兩步，犯罪分子就能得手了，然而現(xiàn)在運營商已經(jīng)察覺到了短信中有手機號碼的風(fēng)險，于是使用了星號隱藏，例如139****5678。

　　這讓詐騙分子通過監(jiān)聽短信內(nèi)容獲取電話號碼變得困難重重，但道高一尺，魔高一丈，他們又發(fā)明了主動捕獲用戶電話號碼的新手段。

　　手機SIM中有個識別碼叫IMSI碼(國際移動用戶識別碼)，它能對移動手機用戶進行區(qū)分，IMSI碼長達十多位，為了講述方便，我們假設(shè)有張SIM卡的IMSI是3721。

　　基站給用戶發(fā)短信時，并不知道發(fā)出短信的那部手機電話號碼是什么，只知道其IMSI碼是3721，在更上一層的核心網(wǎng)中，才知道與IMSI碼綁定的手機號碼是什么。

　　你的手機本來注冊在真2G基站上，詐騙分子用偽基站把你的手機吸引過來，你的手機就按照注冊基站的標(biāo)準(zhǔn)規(guī)范把本機的IMSI碼上報給偽基站”，于是你手機的IMSI就被詐騙分子拿到了。

　　可他們真正需要的是電話號碼，這該怎么辦呢?

　　于是，騙子把“詐騙A”手機SIM卡的IMSI碼偽造成3721，然后給“詐騙B”手機撥了個電話，1秒鐘后掛斷。

　　基站只認(rèn)IMSI碼，于是將3721這個IMSI碼上報給核心網(wǎng)，核心網(wǎng)一調(diào)數(shù)據(jù)庫，發(fā)現(xiàn)IMSI為3721的手機號碼是13912345678，于是就把這個手機號碼發(fā)送給詐騙B手機，詐騙B手機上就會顯示有1條未接來電，號碼是13912345678。

　　這樣，雖然手機號碼變成了星號，詐騙者還是拿到了完整的手機號，你的手機從2G真基站被吸引到偽基站并泄露IMSI碼也就那么幾秒鐘，沒有任何提示，一系列詐騙活動正圍繞你的手機展開，你卻一無所知。

　　接下來又是通過前述方式獲取驗證碼，有了驗證碼，網(wǎng)站已經(jīng)認(rèn)定詐騙分子就是機主本人，自然會支持他的操作。

　　我們有很多在線支付方式依賴于驗證碼，甚至郵箱、社交軟件、手機APP等的登錄和密碼修改也跟驗證碼牢牢綁在一起，詐騙分子只要能收到你手機的短信驗證碼，輕則盜走個人信息，重則轉(zhuǎn)走錢款，給我們造成損失。

　　以前報道短信詐騙時，經(jīng)常會有“收到了短信后啥都沒干，錢就被偷走了”這樣的說法，其實明眼人都知道這并不屬實，受害人肯定隱瞞了他主動泄露密碼甚至轉(zhuǎn)賬的環(huán)節(jié)。

　　而新型短信詐騙不依靠用戶的錯誤操作就能實現(xiàn)，這就可怕了!

　　更重要的是，傳統(tǒng)短信詐騙雖然覆蓋面廣，但屬于大海撈針，成功率較低。而新型短信詐騙堪比掃蕩，危害更為嚴(yán)重。

　　“隱形人”不好抓，做好防范很重要

　　新型短信詐騙危害這么大，公安部門為什么不嚴(yán)厲打擊呢?

　　其實公安部門早就開始打擊了，也抓了不少騙子，但令人遺憾的是，抓到的都是一些較為低端騙子。

　　短信詐騙早已經(jīng)成為了黑色產(chǎn)業(yè)，網(wǎng)上有些不為我們所知的詐騙交流群，一幫致力于詐騙的人在此活動。這些群里往往都有個“隱形人”在群里拋出制造接收機和偽基站的教程，詳盡完備到普通人都能組裝成功，但最關(guān)鍵的技術(shù)訣竅卻不輕易公開。

　　比如，如何將前述的“詐騙A”手機的IMSI碼修改成目標(biāo)手機IMSI碼就是個技術(shù)訣竅，因為不能冒充目標(biāo)手機的IMSI碼發(fā)短信，就無法經(jīng)由核心網(wǎng)得知目標(biāo)手機的電話號碼。

　　看國外的黑幫影片都知道，警察在掃毒行動中抓得最多的是在街頭販賣小包裝毒品的販子，而源頭的毒梟很難抓到，毒品泛濫無法從源頭上遏制，短信詐騙也是同理。

　　“隱形人”是誰?可能是正在大學(xué)教書的教授，也可能是互聯(lián)網(wǎng)公司的安全專家，也可能是我們身邊某個不起眼的人……他躲在暗處操縱著這個黑色產(chǎn)業(yè)，非常善于隱匿自己，發(fā)個帖子會在全球各地跳轉(zhuǎn)很多代理服務(wù)器，像美劇《絕命毒師》里的老白那樣難以追蹤。

　　“隱形人”目前還難以抓獲，短信詐騙依然猖獗，我們應(yīng)該去了解真相，并根據(jù)自己的現(xiàn)實情況采取有效防范措施，筆者總結(jié)了一下，大致有以下幾條。

　　首先需要說明的是，對于電信用戶來說，相對風(fēng)險較小。

　　新型短信詐騙的核心是2G的GSM體制，電信沒有采用GSM體制，使用GSM體制的是移動和聯(lián)通。

　　相對來說，移動用戶對GSM的依賴比聯(lián)通更大些，因為聯(lián)通用戶在4G基站信號弱時，往往會退回到3G的WCDMA，而不是2G的GSM。

　　但這也不能一概而論，某些省份的情況正好相反，總之移動和聯(lián)通用戶都有風(fēng)險，不能存在僥幸心理。

　　其次，晚上盡量保持手機關(guān)機狀態(tài)。

　　白天接到一連串來自不同網(wǎng)站的短信驗證碼后，都會引起我們的警覺，詐騙分子通常都會選擇深夜作案，所以說最有效的防范措施其實就是睡覺時關(guān)機。

　　關(guān)機后，即便詐騙分子能獲取你的手機號碼，并用短信驗證碼方式嘗試登錄網(wǎng)站，但基站在發(fā)短信前會檢查你手機的狀態(tài)，發(fā)現(xiàn)手機關(guān)機了，那條短信就不發(fā)了，等監(jiān)測到手機開機后再發(fā)。第二天等我們開機收到短信，詐騙分子一般也就收工了。

　　萬一碰到個白天也干活的詐騙分子呢?

　　應(yīng)對措施就是，收到奇怪的短信驗證碼后馬上關(guān)機十分鐘。詐騙分子是批量操作的，在你這里受阻后就會轉(zhuǎn)向下一個，不會只跟一部手機死磕。

　　如果擔(dān)心無法跟家人取得聯(lián)系而不想關(guān)機也沒問題，可以把手機調(diào)到飛行模式并打開Wi-Fi開關(guān)，通過Wi-Fi登錄社交軟件，讓你的家人依然能連聯(lián)系上你。

　　再次，盡量不使用危險的雙卡搭配。

　　防范這類短信詐騙的核心思路就讓手機盡量處于4G網(wǎng)絡(luò)中，輕易不要退回到2G的GSM。但現(xiàn)在很多人使用了廉價的高速上網(wǎng)SIM卡并將之放在了主卡槽，用它的流量上網(wǎng)，把打電話發(fā)短信常用的SIM卡放入了副卡槽。

　　由于多數(shù)手機并不支持雙4G，那張綁定了銀行卡、支付寶和微信的常用SIM卡就可能會長期處于2G狀態(tài)，這種配搭非常普遍，同時也非常危險。

　　所以，如果使用雙卡手機，也盡量不要把與銀行卡、支付寶、微信等綁定的SIM卡放在不具備4G功能的第二卡槽。

　　最后，可以使用搭載具備安全功能芯片的手機。

　　有些國產(chǎn)手機所搭載的芯片已具備了防偽基站的功能。這種芯片能通過智能識別網(wǎng)絡(luò)環(huán)境，在保證用戶通信功能的情況下，盡可能使用戶手機駐留在3G或4G網(wǎng)絡(luò)，減少在高風(fēng)險2G網(wǎng)絡(luò)下駐留的情況，從而保障用戶安全。

　　即便手機需要駐留在高風(fēng)險的2G網(wǎng)絡(luò)，這種芯片也能通過相關(guān)技術(shù)識別2G偽基站，屏蔽非正常基站的連接，依然能有效規(guī)避短信詐騙的風(fēng)險。