深度揭秘:伪基站短信诈骗产业传奇始末!


0x00 前言


近些年因伪基站短信诈骗的崛起对用户造成了惨痛的经济损失,如今相关部门严打伪基站短信诈骗行业已取得初步成效,但仍有黑产团伙铤而走险继续作案,导致盗刷事件还是不断涌现。乌云君和行业都曾报道过一些伪基站诈骗手段与影响伪基站 + 钓鱼 = 完美黑产,但还是难以深入背后的产业运作。

在乌云君经过一段时间的调查后,大致摸清了这个行业的详细分工与具体工作形式,今天给大家深度揭秘这个神秘的“伪基站诈骗产业链”是如何运作与分工,他们的目前的状况如何,又是怎样将你的钱洗走变现的。

该产业链分工明细,主要分为这几个角色:伪基站设备销售、信使、鱼站程序包、洗钱师、消费老板、黑吃黑等,他们之间的收益都是相互独立的。

0x01 伪基站设备销售


伪基站(也叫 SSRP )设备这两年媒体报的很多,样子就像上图那样,由 SSRP 主板、功率放大器、机箱、控制设备组成。这是老款设备,它的控制需要配一台笔记本电脑,非常笨重容易被发现。去年开始升级为“背包机”,设备小了许多隐蔽性大大增强,而且用手机就能进行控制,如下图

光有硬件还不行,还的有专门发短信的软件,这个一般售价 500 ~ 700 不等,所以乱七八糟加一块,可以上路真正发信的装备得一万块左右。

另外最近有个新闻,说的是法院对一家 SSRP 设备的经销商进行宣判男子违法销售“伪基站”狂赚三千万 获刑十年半,按照设备均价,光这一家应该就卖出了 3000 台左右的设备,可想而知这个市场是有多火热。

0x02 信使


一套设备价格在 1 万块左右,你说好贵!?要知道这个钱信使一天就能给赚回来,下面就是某骗子给信使发的当日“工资”。因为最近行情不是很好,所以一!天!才!能!赚!9500!可想而知在鼎盛时期日进万金绝不是梦!

这么高的收入就是信使团队创造的(想象下下游又会收入多少…),他们会购买伪基站设备,开车去人口密集而且管理松懈的二三线城市扫街,通过伪基站下发骗子定制好的短信内容,就是以前咱们经常收到的诈骗短信。

地区的选择也挺多说法,比如天津因当地伪基站发信收入少,信使都不愿意去…

番外篇:

通过实际的调查,除了伪基站配套的发信软件,乌云君发现信使们更愿意用这款软件(利用除伪基站外的短信猫发信)来发送定向的诈骗短信

图中这个骗子正准备发 “xxx,家长您好,这是本学期的教育…” 内容,所以不一定非得是 10086 或银行积分才是诈骗短信。比如这个给你安装短信拦截木马,导出你的通讯录,用名字构造短信进行批量诈骗,他的“剧本”就是这样。

都说到剧本了,顺便在提一下电信诈骗吧,也是有套路的,比如这场戏是机票改签诈骗的(骗子管这个叫“话水”)

这个是借钱的剧本——忽悠如戏,全靠演技。

套路很像是吧,其实说到底从头到尾就是那么几波人。

0x03 鱼站程序包


钓鱼网站程序其实都很简单,重点是在界面的装修上,比如做成银行或运营商的样子。乌云君见到用的最多的钓鱼程序是用一款ASP网络留言板改造的。这个链条中有专门的售卖团队,一套程序价格是几百块左右。提供程序的技术团队会给洗钱师保证一系列的技术服务,包括VPS服务器设置,网站建设甚至简单的系统安全防护…

洗钱师利用技术人员给的说明文档部署、配置钓鱼网站和短信拦截木马。值得注意的是,这些钓鱼网站程序几乎全部存在“后门”,也就是说第一波信使撒网钓的鱼,可以被其他人悄悄取走。用户一旦上钩受骗,那就真不知道被哪波人给钱洗走了。

所以很多洗钱师给信使发一万左右的工资,但取回来的鱼被提前洗了,导致收益入不敷出,所以现在洗钱师们也在努力学习 ASP 程序的“后门”清理技术…

钓鱼站配套的“短信拦截马”也是他们提供的,这东西对某个受害者进行的全程短信监控记录,用这个来拦截并查看用户银行卡转账的短信验证码,所以你在被骗的时候一点感觉都木有…

用户总感觉自己没中招,只是你不知道而已。

0x04 洗钱师


这个就是最终把你银行卡等账户里面钱洗走的人了,他们大多分散在全国各地区的村子里…据说一旦定位了某个村子,你会发现随便进一家都是干这个的!然后全村都是干这个的!!最后发现连隔壁村也是干这个的!!!

那是因为伪基站诈骗给他们带来的收入是我们很多人都望尘莫及的,比如一个月换陆虎…

洗钱师们都会标配一款神器,用来方便快捷的进入各种洗钱渠道(殊不知这个软件里面有个隐蔽的后门程序,啧啧这个先不提,行业太恐怖了),如图

软件细节

从图中可以看出洗钱师都利用什么渠道变现:

  • 银行:进行最直接的转账、网购操作,配合钓鱼网站里的手机拦截马

  • 第三方支付:直接转账或购买商品

  • 电商购物卡:直接买东西、点卷洗卡,与冲话费套现

  • 卡密:在京东或各种点卡站购买游戏充值点卡卖给老板

比如洗钱师用骗来的银行卡在京东购买游戏卡

他的京东账号

仅仅几分钟,就可能 1000 多块钱入账。

0x05 消费老板


这个是最简单的一个链条环节了,他们只需在各种论坛、QQ群发布一些售卖广告,或者维护一些回头客即可,只管收钱,找洗钱师要货,给客户出货。

0x06 黑吃黑


这种团队就纯属坐收渔利的,真正的零成本盈利,也是这个链条中最顶端最会玩也是最赚的一波人。他们无需购买设备、无需雇佣信使、无需购买服务器和代码,只需通过后门提取到真正骗子获取的数据尽快完成洗钱或数据二次销售即可。

他们也会通过技术手段获取到钓鱼网站的源代码,进行二次修改,加入自己的后门再次放入市场流通,滚雪球一样二次践踏这个利益链。其中也发现了多起“骗子”被“骗”的事件,令人哭笑不得。但不管怎样,用户就是这些人眼中的肉,也许哪一天伪基站真的会退出时代,但这些人仍然会用更先进的技术,更娴熟的诈骗手段来牟利。作为连“第一关”都没过的用户,怎么经受接下来的挑战?怎么保护自己和家人的信息与财产安全?

0x07 还未完结的结语


调查过程中很多信息乌云君仍在整理与消化,一旦有了新的成果我会继续更新这个话题。乌云君从调查过程中的情况来分析,因公安等部门的联合严打,这个产业链确实在慢慢缩水,对于用户来说这是个好消息。

其中的关键线索已经提交相关机构进行处理,希望能够帮助那些做实事的机构与用户共同对抗诈骗产业减少经济损失,乌云君会与大家并肩作战!

乌云参考资料:

评论

路人甲 2016-04-07 18:28:23

第一次碰到的时候真的相信了 仿冒银行的短信

戴帽子 2016-04-07 19:02:12

我只想说,谢谢乌云,谢谢白帽子。

瘦蛟舞 2016-04-07 19:18:15

黑产实录~B 桑是大黑阔~

路人甲 2016-04-07 19:37:20

不是说4G电话卡已经能分辨真基站和伪基站了吗,难道说技术又进步了?

苦咖啡 2016-04-07 19:56:18

叼的起飞

2016-04-07 21:45:42

懵逼

小手冰凉 2016-04-08 05:03:25

这才叫干货!!!

A

azuer 2016-04-08 09:44:56

公安部13年底打击了一批,那会闹的比较厉害,如果觉得伪基站比较恶心,可以直接换个电信或者联通的看,一劳永逸。
伪基站99%的只发送移动2G的手机卡,13年底14年初还没有4G,开始研发新技术,说3G版,其实是加了一个3G信号干扰器,手机只能跑2G网络,所以又能使用了。
伪基站不叫什么ssrp,伪基站一直没有正规的名字,最开始是使用的URRP1加一块GSM900的单板+10W功放构成的硬件,
后来有个北京的孙xx(通州某小区某门牌号面谈过)自己改的SSRP,简易版的usrp1,是把usrp1的主板和GSM900单板画一张图上了,伪基站的出现让这个板子成为了明星,然后圈子里就火了。
13年5月前后,由于制作伪基站的商贩暴增,导致国内某个AD芯片不足。孙xx也看到趋势不能控制,开始减量生产,对外不联系,然后说不做了。面谈之后告知芯片缺货,然后推荐了一个渠道,北京某嵌的正规公司出现了,画了一般跟ssrp功能类似布局不一样的过渡板叫RAD,也是兼容SSRP,
孙5.x的版本没有大量产,这小子最初一板是SSRP5.0后来重新布局之后叫6.2,这是他手上的最终版。
6.2之后就开始各种抄板,版本激增,原来电压要求是5.9v后来抄板的改了下,5-32v,
各种6.25,、7.2、8.2,红版黑板,其实都是他妈的6.2。中间由于芯片需要进口有个空档期,
原来的SSRP主板从4300吵到8000一块。后来芯片过关之后市场上暴增,
但是绝对没有所说的3千台一个人出货量,那会都是几个渠道没人生产50-200之间。
销售价格在2w-5w不等。然后各地区零碎的有被抓的,罚款5千,还没有构成刑事,因为广州,江苏地区做的比较厉害,诈骗短信。
然后媒体渲染,着东西也到了一个高x潮,当然高x潮之后国家下文了,年底弄了一批人,判刑的也有。
这中间穿插着有叫苹果推的出现了,在伪基站面前狗屁都不是。
黑苹果然后群发iMessage消息。没有任何光芒,销售价格在9千左右。后来没做起来。
13年底14年上半年伪基站基本消失(国家都打击了源头,包括板子生产商,晶振供应商,功放生产商),
苹果推才伪高潮了一段时间售价在1-3w之间,当然是macmini高配版,也有供应dellc6100改的。
其实13年底就有人提议要开发写字楼去发消息,后来才有什么电动车板、背包板构成是ssrp+一个3.5的x86主板+一个tplink的无线路由+手机+电池构成的。
扯远了!某人还有50块ssrp贴片扔工厂,因为不想做了,不想在扔贴片的钱了。。。。。
请吃饭,给大家讲讲那一年的风雨历程。
我其实是个315记者!

mickey 2016-04-08 10:23:17

很多洗钱师给信使发一万左右的工资,但取回来的鱼被提前洗了,导致收益入不敷出,所以现在洗钱师们也在努力学习 ASP 程序的“后门”清理技术

jye33 2016-04-08 10:42:33

@伊斯希尔歌尔我的4G卡还是经常收到垃圾短信

Z

zifangsky 2016-04-08 11:17:49

学习了

V

Vigoss_Z 2016-04-08 14:35:54

@azuer 最近准备写本小说,聊聊吧

乐乐、 2016-04-08 16:02:35

真是屌屌的

A

azuer 2016-04-08 19:57:27

@Vigoss_Z 有时间吹水欢迎。

路人甲 2016-05-27 16:35:28

@azuer 大神啊,请你吃饭啊!

随机分类

业务安全 文章:29 篇
Ruby安全 文章:2 篇
SQL注入 文章:39 篇
memcache安全 文章:1 篇
渗透测试 文章:154 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

草莓

收藏一下,目前见过最全的资料了

Y4tacker

Ps:纠错不是每个环境都是那样,之前很多时候/proc/self这些都可以,但是

苦咖啡

感谢大佬分享 863558996@qq.com

m1yuu

H

HaCky

stomppe 这部分有点问题,和官方文档有出入,文档中介绍开启这项功能,则会混

目录