百度安全如何“死磕”伪基站?
你走在路上,手机突然收到陌生手机的短信:
哥哥你好,我有个妹妹家庭困难,母亲生病。她想用她的第一次换取母亲的医药费,希望有个好心哥哥能帮到她。
你刚刚走出农业银行,手机收到一条95599发来的短信:
我行将于今日从您账户扣去1920元,如有疑问请咨询:400XXXXXXX【中国农业银行】。
你坐在家里,手机接到来自95588的短信:
尊敬的工行用户:你的手机银行已满足兑换4690元的现金礼包,请及时登录:Http://9558onz.com 进行领取
这些信息或诱惑,或惊悚。然而他们的作用却只有一个:通过一串文字让你心跳加速,然后主动按照短信的提示和对方取得联系。
【伪基站群发诈骗信息/图片由百度 X-Team 提供】
没错,一个个生动的骗局,正在线路的另一端,张开血盆大口。
讲真,骗子对于骗局剧本的打磨,已经到了“华谊兄弟”的水准,不但剧情滴水不漏,还有专业演员分饰“公、检、法”。也许骗子也信奉“好的开始是成功的一半”,所以在骗局的第一步“发短信”上做足了功课。
一个“有追求”的“职业骗手”,需要发出的短信具备以下两个特征:
1、可以伪造任何发信号码,让被骗者深信不疑。
2、可以把诈骗短信大规模地发出,保证“猎物”的基数足够大。
【伪基站伪装各类号码的比例】
伪基站就是他们绝佳的选择。这些设备往往被放置在汽车后备箱中,甚至人的背包里,向周围的手机上发送这些“骗局的入口”——诈骗短信。
为了世界和平,警察叔叔每天都在追踪这些伪基站。然而,伪基站的“汽车党”和“背包客”在外表上看起来并没有什么大区别,如何在茫茫人海中揪出骗子,实际上是一个有些棘手的问题。为此,基层警察叔叔会使用一种神器——伪基站监测预警平台,可以追踪和定位到这些伪基站。雷锋网宅客频道采访到了这个神器的开发者团队,百度安全实验室 X-Team 负责人黄正,听他讲述了如何用技术“死磕”伪基站。
【在汽车后备箱里的伪基站】
伪基站的狂想
作为“专业对抗黑产二十年”的反黑专家,黄正几乎研究了这些短信背后所有的利益回路。他把这些“伪基站信息”大致分为三类:
1、伪装银行或电信运营商官方客服,发送积分兑换或银行业务的诈骗信息,诱骗用户进入骗子指定的网址,这些网址可能是一个木马下载链接,一旦下载就可以截获手机里的密码信息;也可能是伪造的官方网址,诱骗用户输入个人信息和密码信息。
这些诈骗短信的内容和发信号码高度相关,而且网址也和官方的相似,很容易诱使人们上当。
2、伪基站还会大量用来发送广告信息,例如:楼盘开盘、赌博、色情信息。
3、伪基站还会被不法分子用来散步谣言。
【伪基站诈骗“标准流程”/ 图片由百度安全 X-Team 提供】
黄正说,大功率的伪基站可以辐射周围2公里的范围,而背包伪基站也可以达到几百米的范围。这种“附近的人”的特性引发了很多和地理相关的“应用场景”。例如:
1、骗子可能在银行附近假设伪基站,专门向来银行办业务的人发送这个银行的诈骗短信。例如,刚刚在农业银行办理业务的人,收到“农业银行”发来的信息,会更加放松警惕。
2、不法分子可能在酒店周围,用伪基站散发“特殊服务”的色情广告,给住店顾客送上“贴心服务”。
3、甚至有人专门散发针对商业竞争对手的谣言,例如下面这个奇葩的短信:
【显然是竞争对手恶意诋毁的伪基站信息】
目前看来,伪基站最广泛地被用在发送垃圾短信,但是如果你以为伪基站只能用来发垃圾短信,那就“图样图森破”了,黄正告诉雷锋网宅客频道:顾名思义,伪基站是伪造的通信基站,所以理论上可以伪装一切正常基站的功能。他为我们讲述有关伪基站的可怕威力。
进阶骗术一:你给银行官方客服打电话,接通的却是骗子
如果你的手机连接了伪基站,意味着手机相信和他进行信息交互的是一个真实存在的基站。
在这里简单科普一下:手机的 SIM 卡中,有一个唯一的 IMSI 号码,运营商根据 IMSI 号码给卡片分配一个手机号码,而同样,手机呼出的电话号码,也都对应了一个 IMSI 号码。而这个号码,是可以被基站定义的。
这样说来,如果你的手机连接了伪基站,那么此时你拨出的电话究竟接通的是谁,是骗子指定的。举例来说,如果骗子在基站中定义了 95588 这个号码是指向自己的电话,那么即使你没有点击骗子短信中的诈骗链接,而是拨打了客服电话确认,依然不要放松警惕,很可能你信任的客服仍然是电话那头的骗子。
【红色为伪基站伪造的电话,和官方电话没有区别】
进阶骗术二、你输入官方网址,也可能打开钓鱼网站
黄正继续为雷锋网宅客频道想象了一个可怕的场景。目前市面上流行的伪基站设备只能提供 2G 网络,但是它却可以截获你的所有网络流量,并且可以对地址做“劫持”。
举例来说,在伪基站的范围里,你接到了来自“银行”的短信,想要登陆官方网址查询一下自己的余额究竟有没有变化,但是,即使你准确无误地输入了工行的官方网址,基站旁的骗子也可以通过简单的设置,返回给你一个山寨版的工行网页。
由于是亲自输入网址,自信的受害者很可能完全陷入迷魂阵,从而遭受连环诈骗。
【某工商银行的钓鱼网站,普通用户难辨真假】
在伪基站网络下,别以为你不登录银行相关的网址就安全了,实际上骗子依然可以截获你的微信朋友圈照片,微博图片等等默认不加密的信息。利用这些信息,骗子可以获得你的个人习惯,生活环境等许多个人隐私,从而有针对性地继续行骗。而如果你在伪基站网络环境下登陆了网站,黑客可以立刻获得你的登陆 cookie,从而马上在另一台电脑上实现登陆。
目前来看,几乎很少有骗子选择使用“伪基站通话”和“网络劫持”来行骗,原因并不是这些“高阶”技术复杂到难以掌握,而是因为采用基础的傻瓜式骗局,已经足够获得丰厚的收入。然而黄正为我们展示的这些可能性足以说明,骗局的可能性五花八门,没有人能依靠自己的智商做到置身事外。
伪基站的“地下党”
如果有一项工作日薪5000,你会不会心动?
曾经深入调查过伪基站生态的黄正告诉雷锋网宅客频道:
那些后备箱里架设伪基站设备的人,只要完成了每天的规定任务,例如发送几十万条短信,就可能得到5000元左右的报酬。
虽然大功率的信号放大器会对人体造成伤害,但是仍然有人为这样的收入铤而走险。
【用来制作伪基站的设备,BladeRF (约$500,覆盖频段300M-3.8G)】
说到这里,有必要科普一下伪基站的工作原理:
伪基站的存在,来自上个世纪的咒语。刚才提到,伪基站只能提供2G的服务。这其实和她的工作原理大为相关。
目前正在广泛普及的 3G、4G 网络,采用了双向鉴权的模式。简单来说,基站验证手机的合法性的同时,手机也会验证基站的合法性。
但是在上世纪90年代开始商用的 2G 网络协议,受制于技术和安全意识,仅仅规定了基站对手机的验证,而手机无权验证基站的合法性。
这个来自于上世纪的通信协议,就是伪基站得以生存的土壤。由于 3G GSM 网络在中国(同样在很多其他国家)的普及度和可用性都变态地高,所以在没有 3G、4G 信号的时候,手机会默认降为 2G 信号,在这个频段上,手机只会连接信号最强的基站,可以说 2G 的世界就是伪基站的天堂。
所以,一个完整的伪基站,包括一个大功率的信号压制装置,在3G、4G 频段播放高强噪音,然后迫使手机连接到伪装的 2G 信号。这也是基站对人健康产生伤害的原因。
【安装在电动车后备箱里的伪基站】
慢速环游、紧急自毁——伪基站的黑科技
黄正告诉雷锋网宅客频道,最初的伪基站只是被安放在汽车里,然后在“合适的位置”停一天,但是随着公安的打击力度变大,现在的“汽车党”都是开汽车(或电动车)拉着伪基站在繁华地带按照固定的路线“慢速环游”。另外还有一些“背包客”就背着伪基站穿梭在人流密集的地方。
不过,显而易见,这些“汽车党”和“背包客”都是所谓的“马仔”,他们连自己的上线都未曾谋面。黄正说:
一般的任务下发都是线上联系,连伪基站使用的设备都是通过邮寄的方法给到“马仔”。这些设备很多都来自华为等大厂,本来是用于在地形复杂网络条件不好的地区,自己搭建通信网络的。而发送的信息也是由上线规定好的,所以警方打击的时候,经常难以夙愿的黑产团伙。不是因为马仔“打死都不说”,而是他们根本不知道。
【伪基站接单广告】
另外,通过研究伪基站团伙分发的设备,黄正还发现,比较先进的伪基站居然加入了“自毁功能”。
所谓自毁功能,就是仅仅需要按一个键,就可以清除掉伪基站上的短信发送记录。这个功能被直接集成到了伪基站的“成品”之中。
为什么有这样的功能呢?他道出了原因:
这是因为相关法律规定,如果发送垃圾短信超过5000条,才可以入刑。而如果仅仅发送了100条,则最多追究“危害国家通讯安全”的罪名,这样无法做到严厉的惩处,犯罪分子就可以逍遥法外。这也是为什么伪基站背包客屡禁不止的原因之一。
童鞋们可能会关心,在我生活的地方附近,究竟有没有伪基站呢?
黄正为雷锋网展示了一组数据:
以百度总部所在地北京为例,在潘家园到团结湖的地铁10号线沿线地区、北京西站、北京北站、798、三元桥这些地区,都有伪基站活跃,数量大概是900个。而仅仅一个月,伪基站检测平台就截获了3万条短信。
事实上,北京也是全中国伪基站最为猖獗的地区,帝都的童鞋们要小心了。
【各省市伪基站短信排名/图片由百度安全 X-Team 提供】
如何“死磕”伪基站
如何得知一部手机进入了伪基站呢?
这里还需要简单的科普:
每一个基站都包含四组数字的“身份信息”,前两组定义了运营商的网络,后两组定义了基站的位置。而每一个基站的位置信息,是可以根据这四组数字查到的。
黄正说,目前流行的伪基站并没有这么高的智能水平,仅仅是“傻瓜化”的设备,它不会精准地模拟真实基站的ID,后两位的位置信息往往是随机的。
如此一来,就有了如下的方法:
如果监控手机的基站参数,上一秒还在北京海淀,而下一秒就跑到了广州,那么很可能手机已经被伪基站“俘获”。
利用手机上的 GPS、Wi-Fi 等信号对基站的位置进行审核。如果基站的 ID 信息显示它应该在北京,但是手机的定位明明在西安,那么很可能这个基站是非法的“山寨货”。
黄正说,根据手机的信号强度,可以大致判断手机和基站之间的距离,而根据手机的定位信息,就可以判断出伪基站的位置。这个位置精度大概是 100-500米,而如果手机没有连接 Wi-Fi,或者没有开启 GPRS 流量,或者周围的楼房过高地形复杂,都会影响对于伪基站距离的判定。
【对于伪基站短信的提示和定位/ 图片由百度安全 X-Team 提供】
但是,这样的技术有一个很重要的作用,那就是在伪基站刚刚开始运行,大约十分钟就可以向警方预警平台发出报警,并且给出位置。而不需要真的有人受害,到警察局报案,警方才意识到有人架设了伪基站。
黄正对雷锋网宅客频道说,这个伪基站的检测功能目前集成在百度手机卫士中,未来百度地图可能也会加入这个接口。
一旦探测到手机处于伪基站之中,就基本可以判定短信内容为非法或诈骗信息,再结合人工智能和大数据的分析,就可以提取出恶意的钓鱼网站和诈骗的手段。在文章开头提到的伪基站短信,都是通过这种方式拦截的。黄正说,提取这些钓鱼网站之后,百度也会在自己的平台上对这些违法的网站做封禁处理,还会配合警察叔叔做网站背后团伙的溯源工作。
对于自己团队的技术,黄正还是感觉很骄傲的。“一年多时间,我们的平台覆盖了除新疆和港澳台之外的全国各省市公安,破获了800多起伪基站诈骗案件。”他说。
客观来说,警方对于伪基站的打击,也有很多艰难,例如电信诈骗的犯罪团伙,往往在中国的另一端,而钓鱼网站的服务器,有可能使用了国外的服务器做跳板。这些都会让办案的成本迅速增加。
然而,当你知道有黄正这样的技术大牛在用自己的顶尖技术帮助警察叔叔和伪基站死磕的时候,也许你将看到一些希望。