数据时代下的“圈钱”套路
就像撩妹子,打游戏这些有着基本套路的活动,在数据时代下的欺诈者也开发了一套电信诈骗的基本套路:获取电话号码信息等→向受害者发送虚假信息→设法获取受害者的信任→受害者转账汇款→资金转移。
在这个流程中,犯罪分子发送的虚假信息多种多样,按照内容可以分为:情感类(家人遭遇意外、朋友急事等)、冒充类(冒充党政领导及工作人员、公安、银行人员等)、贪小便宜类(中奖、退税、致富等信息)……不过他们的目的都是为了一个字——钱。
而套路中最重要的一环就是犯罪分子获取个人信息。利用黑客攻击数据库,使用改号软件以及伪基站,是电信欺诈者们常用的几种手段。
事件链接
2016年8月19日,山东准大学生徐玉玉因为电信诈骗离世。根据媒体的报道,大众可以看到徐玉玉案的诈骗流程:首先,黑客杜某入侵山东省2016高考网上报名信息系统,并植入木马病毒,盗取大量考生信息;然后,陈某从黑客杜某手中买到高中毕业生资料;接着,陈某等人根据从黑客手中买来的个人信息(这其中就含有徐玉玉的详细个人信息)拨打诈骗电话实施诈骗;受害人徐玉玉转账后,诈骗人员转移赃款。
之后8月22日,山东理工大学学生宋振宁因电信诈骗离世;8月25日,大二学生段可金因电信诈骗出走随后离世……电信诈骗已让多名学生丧命。
来自黑客的攻击
黑客入侵数据库,无疑是这个网络时代最不可避免的信息窃取手段。一些黑客通常会使用“拖库”技术来入侵信息网站,将整个数据库打包下载,获取个人信息。
通常,“拖库”包括三个步骤:
第一,黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传等:第二,根据该漏洞在网站服务器上建立“后门”,通过该后门获取服务器操作系统的权限;
第三,利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。黑客在各个网站中拿到数据库数据后,进行转卖,使个人信息泄露。
改号软件的72变
一些欺诈者运用来电时手机上显示的电话号码来进行的电信诈骗,有个专有名词——“改号欺诈”。欺诈者可以伪装成任意一个来电号码,而且在诈骗过程中通常会伪装成官方号码。
过去,改号的技术门槛和成本都很高,最常见的技术手段是通过VOIP和PRII进行改号,另一种则是通过仿效贝尔202FSK信号。这种方法使用软件产生音频信号,然后在通话过程中将其连接到电话线路。但是随着开源软件的传播,“改号”变得越来越便宜和容易。
现在典型的改号欺诈过程很像预付费电话:当改号者想打电话的时候,首先向一个“改号服务商”拨打,然后输入自己的密码。接着,再输入自己想要拨打的电话和想要在对方那里显示的号码(比如某某公安局,某某银行)。此时,这个“改号服务商”将直接把改号者的电话转接到接电话的人那里,接电话一方则会显示那个伪装的假号码,这和代理服务器的原理十分类似。
当然,很多改号服务商也可以让改号者直接在网页上发起通话。一些服务商还可以让用户输入一个和号码同时显示的名称。然而这个名称并不是电信网络带给你的,而是从互联网上传过来的。
隐秘的伪基站
有时候,当你和朋友走到某个特定的区域时,会同时收到一条相同的推销短信。这种强行发送信息的手段是通过一种利用GSM(全球移动通信系统的缩写)单向认证缺陷的非法无线电通信设备实现的。这种通讯设备被称为“伪基站”,主要由主机、笔记本电脑和手机组成。它能够压制周围运营商的GSM信号,使得手机断开运营商的GSM信号而连接到伪基站并重新更新位置信息,然后任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信。伪基站通常被安放在较隐蔽的地方进行发送。
正常GSM用户在使用GSM网络的时候首先要进行鉴权。移动端向基站子系统发送鉴权请求,基站子系统将移动端发送来的带特征信息的鉴权请求转发给网路子系统,经网路中的交换机转发后送往数据库(AUC/ HLR/VLR)进行权限匹配,当这三个数据库匹配后确认有权限接入时,移动端才能使用GSM网络。
我们可以发现,这个鉴权过程是单向的,即运营商可以确定所有使用其GSM网络的移动端都是拥有正确权限的,但是移动端不能确认所连接的基站是不是特定运营商的。这就为移动端使用者埋下了安全隐患,伪基站也随之出现。那么,伪基站是如何运作的呢?
首先,诈骗分子使用修改过的手机获取附近的BCCH频率,选定最弱的BCCH信号进行伪装。
在伪基站附近,伪基站的BCCH信号比运营商的强许多,手机认为LAC位置识别码发生了变化,重新连接网络(此时连接到了伪基站的网络),伪基站代替运营商基站进行手机鉴权过程从中获得手机的IMSI和IMEI。
伪基站设定任意主叫号码,开通单独信道向连接上的手机发送短信。当伪基站的工作做完后,便更新LAC并广播让手机重新连上运营商的GSM网络,整个过程仅仅持续数十秒,不容易被发觉异常,让人防不胜防。
“被劫持”的支付行为
先来看看正常的网上支付流程:数据连接→打开网站页面→选择支付方式→确认订单→输入卡号→预留信息确认→网银登录→支付信息确认→支付完→返回。
在这个看上去完美无缺的过程中,如果一开始的数据连接点是不可靠的,就是虚假Wifi等流量劫持类诈骗的原理;如果连接的数据连接点是可靠的,但打开的网站是不安全的,就是钓鱼网站类诈骗的原理;而若是手机中有欺诈者的病毒木马在运行,那么你的输入操作将会在后台被记录下来发送给欺诈者,这就是病毒木马类诈骗的原理。如果欺诈者掌握了信息确认的渠道,那么你就遭遇了跨行支付的欺诈手段。金融欺诈的终极目的,也是你的钱!在花样众多的金融诈骗手法中,最值得注意的就是利用钓鱼网站和木马病毒进行诈骗。
钓鱼网站的阴谋
在钓鱼网站中,欺诈者一般通过前端页面迷惑大众、再通过后台来处理脚本和数据库。
钓鱼网站中的前端页面比普通网站的前端页面重要得多,毕竟钓鱼网站唬不唬得住人就要看前端页面伪造得像不像样了。当人们轻信了错误的钓鱼网站开始输入密码及信息时,欺诈者们就能从后台收集到这些重要的数据,从而将财产进行转移。从技术层面上来说,钓鱼网站其实不难,但欺诈者们正是利用了人们的粗心大意,以及对网站设置不了解,骗取人们的钱财。
理财业务的Bug
我们知道,大多数银行都有绑定的理财业务。对于银行来说,客户的资金从活期账户转移到其理财账户是没有什么安全风险的,因为这些资金还是在用户的名下,只是换了个存储位置而已。所以,当客户活期账户资金转移到银行的理财类账户的时候,很多银行并不会对客户进行提醒或者确认。在这类银行绑定理财业务诈骗的案例中,欺诈者就是利用了银行的这一特性。
在这类诈骗中,欺诈者会利用各种手段获取受害者的账号密码,然后进入网银将受害者活期账户中的资金转移到受害者的理财账户中。这时候,受害者登录网银看到的是活期账户资金减少的事实。当然,在这个转移过程中,有些银行会对客户资金变动进行提醒,但不会详细说明资金变动的去处,仅仅是提醒资金变动的金额。而欺诈者则会在转移资金后冒充银行或者是其他官方机构打来电话,谎称受害者的资金盗刷被拦截需要受害者确认等。受害者登录网银后看到资金减少,心中焦急,极容易向欺诈者发送相关信息。欺诈者拿到信息完成转账,之后便拿着钱逃之夭夭。而财产难以追回是因为金融诈骗大量以网络作为载体,欺诈者能快速通过ATM或其他方式将赃款取出,再切换其他金融网点存入指定账户或转移至境外。而另一部分被犯罪分子挥霍掉的赃款,由于使用路径繁多且分散,也很难完全查清去向和数额。
网络社交“催生”诈骗手段
网络社交媒体诈骗主要有两大流派:一个是利用受害者关系人的真实账号进行诈骗,另一个则是伪装成受害者的相关关系人进行诈骗。
利用受害者关系人的真实账号进行诈骗的前提,就是要获得受害者关系人的账号密码。这里获得受害者关系人的账号密码有许多种,最常见也是最实用的手法就是钓鱼网站和盗号木马,而最狗血的方法就是获得一个账号密码后根据其聊天记录直接向其好友要账号密码。
由于近年来广泛发生在大家身边的网络社交媒体诈骗案例,大家对这种诈骗已经有了一定的防范意识,每当有人提起转账等敏感操作时总会提高警惕,这在一定程度上减少了网络社交媒体诈骗的发生。不过,由于不断出现新诈骗套路,网络社交媒体诈骗仍不可小觑。
欺诈“新秀”,异军突起
最近一段时间爆出的微信转账诈骗就是此类诈骗的一种新手段,主要利用了人们对收付款二维码不清楚的漏洞。
收款码是微信等支付工具用来快速接收转账款项的二维码。顾名思义,收款码是别人扫码你收钱的快捷转账条码,一号一码,长期不变。而付款码则是微信等支付工具用来快速支付款项的复合码,也就是别人扫码你付款的快捷支付条码。它由一个条形码和一个二维码组成,具有一定的时限性,隔一段时间便动态更新,超过时限条码便失效不能用于支付。
在大部分的微信转账诈骗案例中,我们可以看到欺诈者首先伪装成受害者的顾客之类等身份要付款来索取二维码,而受害者因为对收款码和付款码不熟悉,被欺诈者骗到了付款码,从而资金被骗。虽然手法简单,但只要稍不注意,就会上当受骗。
仅微信这一社交平台,近三个月中已有一万四千多的账号因为用户投诉诈骗而被封停,而这也只是网络社交媒体诈骗的冰山一角,谁也不知道在整个网络社交平台中有多少诈骗行为发生,或许此时此刻就有一些人正在遭遇网络社交诈骗。
在真实的诈骗环境中,诈骗分子一般不会像文中所写的那样具体使用某一种分类中的某一种手法,更多的是为了达到目的将许多手法结合起来灵活使用。
不存在的“绝对安全”
“嗨,我最近手头有点紧,能不能借我一百块钱?打我支付宝:xxxxxxxxxx”
当收到这样的信息时,一般人都会认为对方一定是被盗号了。
可如果对方发来的是这样一条消息:
“华子,我最近不是想买辆新自行车么,网上相中了一辆还不错的,差200,你先借我,我下个星期还你。”
联想到朋友最近一直在某宝上看自行车,同时称呼、语气都和日常生活中一致,这时候你会不会放下警惕打钱给他呢?
上述对比示例展示了当前信息诈骗中诈骗分子常用的手段:通过技术手段窃取隐私信息,利用隐私信息降低警惕性,再实施精准诈骗。
当今社会鱼龙混杂,总有人想借助一些非法手段来骗取他人钱财。不法分子惯用的这种手段被称为社会工程(Social Engineering,简称社工),即某些非容易的讯息获取。主要通过社会科学(社会常识),尤其是心理学、语言学、欺诈学方面的知识来有效利用人身上的漏洞(人性的弱点)。正如经典黑客电影《我是谁:没有绝对安全的系统》中所说,“不要沉迷于网络技术,人,才是突破信息系统的关键”。
警惕隐私泄露!
单纯的信息泄露对个人不会造成较大影响,但是一旦泄露的信息被不法分子用来谋取不正当的利益,将对个人的财产安全产生极大的威胁。
如何判断自己的信息是否被泄露呢?根据泄露特征我们将其划分为以下几种:
切断泄露之“源”
要想切断源头,就得先弄清不法分子是如何获取我们的信息的。
一种是通过攻击第三方平台数据库获取用户的隐私信息。如去年发生的5亿网易邮箱泄露事件,黑客通过“撞库”的方式获取邮箱用户的账号、密码,以及密保提示问题等。一种是利用优惠、促销活动骗取用户的信任并收集用户的隐私信息。如街头常见的扫码送礼品,登记个人信息送可乐,下载APP送自拍杆等。
还有一种是直接在信息“黑市”中购买信息。信息是有价值的,有价值就有市场,信息“黑市”作为交易信息的地下市场,不良企业或黑客在上面出售自身收集到的用户信息,需求方如网络营销公司等直接购买这部分信息。
随着社会信息交流越发频繁且数量增多,在日常生活中,信息泄露往往难以避免。我们所要做的就是尽可能地减少“不知情的泄露”,切断信息泄露的源头:
① 个人信息不轻易透露给他人;
② 不随意在网络上注册并登记个人信息,注册时仔细阅读网站的保护条款;
③ 密码复杂、多样化,不同网站的账号密码不用同一个;
④ 警惕街边摊贩促销活动的微信扫描,可能含有木马病毒;
⑤ 作废的快递单,个人信息要撕开或涂抹掉。
被骗了?别惊慌
在不慎遭受诈骗之后应该如何处理呢?不要惊慌,按照止损→保留证据→报警的流程处理,将损失降到最低,同时尽可能地追回损失的钱财。
科技以光速在进步,而人们的防范意识在追赶的同时,也让诈骗分子越来越有机可趁。信息获取、通信接触、金融转账,成为他们套钱的“便捷”通道。技术造成的漏洞可以被新技术覆盖,但心理上的漏洞需要我们更多加防范。
在这场欺诈与反欺诈的博弈中,我们必须努力构建起强固的防范心和全面的科学知识,积极配合协助官方机构的行动,才不会被敌人“秒杀”。