張峰:面對這么一條短信,怎么破?!
責編:rhliu |2016-06-29 16:45:49張峰:感謝主持人、感謝各位嘉賓。我今天跟大家分享一個題目“面對這么一條短信,我們怎么破?”短信有什么破、不破?這是很大的問題,首先看一下短信,從技術來講基于傳統的信息協議,實現手機到手機、手機到平臺的發送,而且最重要的一點,不受對方是否開機以及狀態的影響,所以在當時來看非常方便、非常重要的無線數據的介入方式。雖然短信長度只有70個字,但是70個字提供很多的內容,包括新聞、天氣預報、商業推廣信息,包括娛樂、電信、文化、甚至股票提供這么多業務信息,同時還有很大的優勢,計費相當簡單,原來最早一條短信一毛錢,各種原因短信的費用幾乎不算錢了。
反過來回想一下,當時15年以前或者10年以前,每個月在交電話費或者訂購電信業務的時候,肯定考慮套餐里有短信套餐,每個人大概一個月消費300條或者500條,我記著當時在宿舍里,哥們晚上睡覺總想臥堂會,一個口談、一個手談,那個時候短信業務非常紅火的。所以在當時2002年來看,短信的出現其實給當時低迷的經濟注入強心劑。
但是這些年短信業務不如以前,這是我們得到一個圖,從2010年到2014年,這五年當中短信的發送量,可以看出每年短信發送量大概8000億條,其實這個數字非常可觀,而且人均發的短信量2012年70條,低的40條,也考慮好多人不發短信,尤其邊緣人尤其老人就是打電話,發短信不大會。但是平均來看一個用戶發70條短信,相當可觀的。中國移動全球的SP達到700家,本地達到2000家,短信中心達到277個,這個數字非常龐大。由于移動互聯網發展,包括OTT業務發展,短信業務江河日下,但是在某種程度上,短信還是代表一種嚴肅和正式的通信方式。
我不知道大家有沒有這樣經歷?平時朋友、哥們之間約飯局、唱個歌等,通過OTT或者微信方式聯系,但是一旦需要跟某個領導匯報、溝通,領導不在面前,選擇發微信還是發短信?很大一部分選擇發短信,這是短信與生俱來嚴肅、正式,正是短信有這么一個特點,所以我們短信已經被某些人給盯上。所以好端端短信業務被玩壞了。
大家看這個圖不陌生,很多人收到,直觀看好像短信是10086發給你,內容積分滿了27900分,可以換179塊話費。對普通人短信官方號碼發來,第二個內容有獲利,我沒有什么損失。成本很便利,點鏈接換179塊,我為什么不換、為什么不點?大家有沒有想過是中國移動10086發給大家嗎?肯定不是,一般運營商包括銀行、航空公司,用戶積分只會兌換禮品、贈送禮物,不會兌換現金。相當于是一個嘗試,這個地方提出兌換現金,這是不合理的現象。這個短信到底哪里來?來自于叫偽基站設備。
原來最早偽基站起源不說了,近期偽基站發生革命性的變化,大概在兩三年以前,偽基站設備大小可以像投影儀那么大,但是近期偽基站大小發生天翻地覆的變化,最近發現像小米盒子,甚至更小,它是擾亂現在手機通信秩序很重要的元兇。偽基站怎么工作、怎么破壞?我用一個圖,左括號,以上一條線手機到正常基站之間是有一個類似于心跳,隔一段時間告訴基站我在這里,同時完成通信呼叫,移動網絡有一個特點有移動性,萬一走出這個基站范圍,走到另外一個基站,它要保證通話不斷。通過手機信號輻射強度判斷,如果輻射強度滿足要求認為在A基站里邊,如果走到A基站弱了,B基站信號弱,就切換B基站。偽基站利用技術原理,欺騙我們用戶。
它怎么做?把他偽基站發射功率調高,蓋過真實的功率,技術上要求必須做切換,否則容易掉花,這種情況下切換偽基站覆蓋范圍內,偽基站和手機做簡單的通訊,比如告訴他我現在ID,我現在在這里,你通話走我,告訴手機之后立馬給手機推送一個信息,推送信息之后立馬把基站關了,可能幾秒事,關了以后手機一看不靠譜信號沒了,趕緊走圖中下面一條線,不得不切換我們正常基站中。
偽基站這么大的影響為什么不打擊一下、抓捕一下?這個事情相當麻煩,就跟警察抓小偷,抓小偷有成本,而且有很強的流動性。偽基站也是相同的特點,這個哥們是成都他叫王雙。有一段時間嫌以前工作壓力大賺不到錢,網上謀職看到每天200塊,工作兩個小時,自然應聘了。應聘方式很簡單,通過微信、QQ聊好愿意參加這份工作,對方告訴他,你把你的地址告訴我,他的上線根據他郵寄偽基站,過兩天有人過來做培訓。過兩天有人給他打電話,我給你做培訓,告訴他怎么用?他學會那個哥們也消失。他任務天天扛這個包到處轉,用偽基站發垃圾短信,他不知道發什么內容?所以每天都會有一個人通過QQ方式聯系他,你今天在哪一片?比如成都有商場、娛樂等,比如這條短信發兩千條、那個短信發三千條,每天接受這種任務。突然有一天覺悟了,新聞播放打造偽基站,他感覺這個事就是偽基站,就是因為這個原因,才把這個事情挖出來。
他當時投案自首,上線告訴他發什么垃圾短信,對方QQ所在IP地址經,有的時候在廣州、有時候在臺灣,他非常擔心迫使自首,自首通過公安機關取證,也有我們公司同事配合,最后發現包里背著全套偽基站只有30斤,包括小的主機、定向天線、迷你的小鍵盤、操作控制終端,發送的內容通過操作控制臺,像手機似的操作完了以后,配置好一點發送騎著摩托車就走了,這種情況下警察非常難抓。就跟打游擊似的,就像以前抓“敵方電臺”一樣。每個省都有無線電管理委員會,他們有高精尖無線探測設備,精準定位發射臺和他的距離,定位非常準的。
偽基站活動這么猖獗,是不是仿冒10086呢?也不是,無辜仿造詐騙短信不止我們一個,這個仿冒《奔跑吧,兄弟!》。如果手機收到這個短信是點還是不點,有相當部分人會點。還有仿冒《爸爸去哪兒》,什么節目好就仿冒什么,仿冒工商銀行也是積分換現金,還有仿冒建設銀行,也是積分換現金。咱們從工信部1231網站取得一些數據。2015年11月份數據來看,當時冤大頭排名第一是建行、第二農行、第三中國好聲音、第四工商、第五10086。2015年12月份建行還是第一,10086排名第二,工商銀行第三,淘寶第四,招商銀行第五。2016年1月第一奔跑吧兄弟、10086變成第三。4月份建行第一、奔跑吧第二、10086第三。仿冒比較多工商、建行、10086加上時效性強的節目。
對于我們來說,我們黑鍋這么背上,自己做一些努力。首先對釣魚網站做深入的分析,它長這個模樣。左上角短信給的鏈接,嘗試訪問鏈接看到第一張圖上面域名、網頁跟中國移動真實網頁構造幾乎一樣的,就是把我們官方網站復制一份,造假加了一個你的可用積分2790分,可兌換現金179塊,域名是假的。假如警惕性不高兌換,變成中間圖選擇儲蓄卡還是信用卡,假如點信用卡變成第三張畫面,讓填姓名、銀行卡、取卡密碼,點提交。大家都在想,既然釣魚網站這么猖獗,為什么不想點辦法取締呢?其實我們也做大量的分析,因為我們有一個天然的優勢就是用戶訪問流量都會經過我們網絡,我們有數據,第一基于用戶手機通信的信令數據,第二基于IP流量數據,建立大數據平臺,分析為什么釣魚網站處置那么難?通過我們分析有幾個特點:
1、釣魚網站域名非常便宜,30塊注冊一個,大部分注冊海外。
2、做一個釣魚網站就幾百塊,我們調研500塊做一個,而且可以重復利用。
3、釣魚網站部署海外,幾乎99%以上部署海外,大概70%在香港,25%甚至更多在美國和歐洲。
4、釣魚網站生命周期非常短,至少我們分析情況仿冒10086網站,平均壽命周期只有12小時,一旦我分析發現這個釣魚網站,如果12小時以內分析到有機會做封堵、攔截、取締。超過就無能為力。
5、手機用戶安全意識不特別高,主動交出銀行卡卡號和密碼,而且年齡段相對比較年輕,最多70后到90后。
通過我們分析左邊那個圖是我們拿到釣魚網站域名之后,嘗試通過利用方式拿到釣魚網站后臺數據,大概三個小時有170多個用戶老老實實交出個人信息,我們看個人信息表是什么?第一列是姓名、第二是銀行開戶行、第三銀行卡號、第四卡的取卡密碼、第五手機號、第六身份證號、第七確定儲蓄卡還是信用卡。
我正好網上得到這樣數據,把后臺目錄列出來,這么多文件夾,每個文件夾存的信息條數不一樣,奪得五六千條,好多用戶很主動、很愿意把數據貢獻出去。同時基于左邊數據,因為有身份證號知道年齡段,其實70后到90后最多的,按說他們這個年齡階段人安全意識比較高的,其實不然。同時通過大數據分析方法得到一些數據。左上角波形圖用戶訪問釣魚網站活躍程度,早上十點到晚上十點比較活躍階段,下角圖發現釣魚網站數量,每天1000個左右,500—600個新增,同時還有一些400—500個昨天晚上上線,今天上午還在等這樣的數據。右邊圖是中國移動用戶訪問釣魚網站各個省嚴重程度,顏色越深、泡越大訪問越多,訪問最多廣東、其次北京、江蘇、浙江、四川等,主要人口比較多,商業也比較發達。
通過我們分析也得到一些數據,部署釣魚網站壞蛋挺狡猾的,通過我們分析,左上圖偽基站全世界部署圖,最大是香港占到70%而且有動態的變化。右下角就是我們用戶,這是6月13號我們用戶訪問釣魚網站次數,顯示釣魚網站域名、釣魚網站IP地址、網站部署哪個地方?甚至他訪問次數。在這種猖獗情況下難道真的無能為力嗎?我們很委屈背黑鍋,我們做很多事情,大概分五個方面:
1、我們針對偽基站設備,雖然它具有很強的流動性,因為偽基站誘騙手機用戶附著偽基站,手機先跟支持基站拜拜,突然幾秒又回來,所以就知道某個基站覆蓋區域內有偽基站采取措施。
2、偽基站在國外,配合某些機關做流量封堵,把偽基站域名在這個地方封堵掉。
3、做大數據分析,提示
4、提前發現。
5、配合公安做聯動,提供證據,讓他破案。發偽基站人為了圖利,后邊有套取現金、兌現的環節為公安提供技術支持。
對于運營商采取五點聯動的方式,去斬斷釣魚詐騙關鍵的鏈條結點,降低用戶被騙成功的概率。
1、主動檢測和攻擊偽基站,這也是比較新的。我們網絡知道在某一片有偽基站活躍,當然有一定活躍,可以采取一個方法,對偽基站,利用偽基站無線通訊上弱點攻擊它,致使偽基站癱瘓,或者重點區域做特殊的防護。
2、因為我們有管道,可以針對偽基站釣魚網站或者IP地址做攔截,避免我們用戶訪問釣魚網站,我們用戶也是保護。
3、近期上網的話,有可能很多用戶看到這個方式,建立大數據平臺準確知道一部分釣魚網站,知道那部分釣魚網站,而用戶訪問釣魚網站,經過我們提醒網關會推送一個消息,剛剛訪問網站可能是釣魚網站請提高警惕等這樣的方式避免用戶上當。
4、因為我們有渠道,比如工信部12321、999渠道,很多用戶收到垃圾短信轉發10086999,收到之后針對用戶投訴內容分析,如果釣魚網站會進行挖掘,挖掘出這個釣魚網站對應的IP地址,再分析這個IP地址有沒有別的挖掘?
5、積極配合咱們的后端,比如公安機關偵破各種各樣詐騙案件,這里是各種新聞媒體的報道情況。
最后我也想給手機用戶提一些建議,具體來說有四條
1、不管什么情況下,收到短信,如果短信內容有一些可疑的話,鏈接千萬不要點,尤其短信內容具有一定的獲利性,你點以后獲多少錢這種情況下千萬不要點。
2、一旦訪問網站疑似釣魚網站,不要把銀行卡號甚至取卡密碼填上去。
3、有些卡號和密碼保護好。
4、短信驗證碼千萬保護,我們短信具備嚴肅性和公正性,為什么很多金融領域包括淘寶、支付寶登陸重要的系統,都會通過短信方式驗證身份,涉及短信驗證碼一定要慎重,一旦覺得短信驗證碼不是你觸發,不是現在觸發不要做任何操作,收到就行了,不要把這個號碼交給誰,這是很重要的一點。
前一段時間北京有一個用戶就是把短信驗證碼告訴某某人,致使20萬騙走了,別人通過社會工程學方式已經把他各種信息拿到,包括支付寶賬號、手機號、包括他在中國移動營業廳賬號和密碼、包括163賬號和密碼,對那個做精準的分析才實施詐騙,最終致使他被騙20萬。希望大家記住“四個不”,不相信、不點擊、不聯系、不匯款。今天內容就這些,非常感謝大家!