揭秘手机卡背后的匿名套利
钓鱼、伪造、刷单
OFweek电子工程讯 在7月中旬的乌云大会上,一名白帽子(正面的黑客,技能是可以识别计算机或络漏洞但不恶意利用反而尽快告知相关并修复)手持一枚Android Pad正呼叫他对面的一台手机,一两秒后手机上的呼入号码显示 18688888888 。事实上,只要经过半小时的设置、数以毛计的拨打成本,这台Pad可以 拨出 任何他想要的号码。 这样的任意主叫,如果配合络上被泄露或者黑市购买的个人信息一起使用,它的中(诈)招(骗)效率会远远高于更常见的400中奖电话。乌云平台的白帽举了一个例子:女大学生失踪,骗子冒充她的手机给家人打电话,也许分分钟骗得数万的转账。
任何一个来电都有可能被伪造 主叫号码的修改并无难度,整个过程骗子只需要一家VoIP的服务商,一个欺骗手机号码认证的工具(部分络电话可能会通过读取本机号码来显号)以及有效的联系信息就可以了。这是互联和运营商络交叉时出现的识别盲区,络运营商呼叫传统运营商的协议没有对主叫号码进行身份校验。 路人甲告诉我们,在传统电话络中我们拨打电话时,主叫和被叫两端通过运营商接通,即 主叫=》运营商=》运营商=》被叫。 这个时候运营商通过手机硬件和SIM卡向被叫传送了一个唯一的识别ID,主叫的身份不能伪造(除非把运营商干掉)。 但络电话兴起以后,它不再由运营商掌控整个链条,VoIP的运营商或者叫ISP参与进来。当络电话的用户(比如一个Pad)呼叫时,它的链条是 Pad=》VoIP运营商=》运营商=》被叫。 在络运营商呼叫传统运营商这个过程中,它使用的协议本身没有任何身份校验,运营商之间被认为是充分信任的。这样给Pad赋予一个虚拟的ID,它骗过络电话运营商,就可以变成一个任意的主叫号码。 VoIP的服务满地都是,欺骗手机号码认证的工具也并不难获取,即使没有,从头开发一个也不需要太大功夫。 然而伪造号码仅仅是手机号套利的第一种方式。