手机号背后，那些匿名的套利者

在7月中旬的乌云大会上，一名白帽子(正面的黑客，技能是可以识别计算机或网络漏洞但不恶意利用反而尽快告知相关并修复)手持一枚Android Pad正呼叫他对面的一台手机，一两秒后手机上的呼入号码显示“18688888888”。事实上，只要经过半小时的设置、数以毛计的拨打成本，这台Pad可以“拨出”任何他想要的号码。

这样的任意主叫，如果配合网络上被泄露或者黑市购买的个人信息一起使用，它的中(诈)招(骗)效率会远远高于更常见的400中奖电话。乌云平台的白帽举了一个例子：女大学生失踪，骗子冒充她的手机给家人打电话，也许分分钟骗得数万的转账。

任何一个来电都有可能被伪造

主叫号码的修改并无难度，整个过程骗子只需要一家VoIP的服务商，一个欺骗手机号码认证的工具(部分网络电话可能会通过读取本机号码来显号)以及有效的联系信息就可以了。这是互联网和运营商网络交叉时出现的识别盲区，网络运营商呼叫传统运营商的协议没有对主叫号码进行身份校验。

路人甲告诉我们，在传统电话网络中我们拨打电话时，主叫和被叫两端通过运营商接通，即

主叫=》运营商=》运营商=》被叫。

这个时候运营商通过手机硬件和SIM卡向被叫传送了一个唯一的识别ID，主叫的身份不能伪造(除非把运营商干掉)。

但网络电话兴起以后，它不再由运营商掌控整个链条，VoIP的运营商或者叫ISP参与进来。当网络电话的用户(比如一个Pad)呼叫时，它的链条是

Pad=》VoIP运营商=》运营商=》被叫。

在网络运营商呼叫传统运营商这个过程中，它使用的协议本身没有任何身份校验，运营商之间被认为是充分信任的。这样给Pad赋予一个虚拟的ID，它骗过网络电话运营商，就可以变成一个任意的主叫号码。

VoIP的服务满地都是，欺骗手机号码认证的工具也并不难获取，即使没有，从头开发一个也不需要太大功夫。

然而伪造号码仅仅是手机号套利的第一种方式。

　　“流量为王”的钓鱼网站

钓鱼网站的流量变现简直是对互联网的一种“嘲讽”。

假定有3件事排在钓鱼网站的Priority List上，那这3件事分别会是流量、流量和流量。如果除此之外还有第4件事，那就是合理的技术迭代。

钓鱼网站的流量来源曾经多种多样(现在也是)，包括了IM、搜索引擎、中小站点的广告、社交网络、弹窗以及一些高度近似的地址。但现在不少遭到安全软件的封堵，群发短信和垃圾邮件成为重要的流量源，前者就高度依赖了伪基站。

伪基站在百科上的释义是这样的：

一般由主机和笔记本电脑组成，通过短信群发器、短信发信机等设备能够搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商的基站，冒用他人手机号码强行向用户手机发送诈骗、广告推销等短消息。

最初伪基站体型较大，只能作用于移动联通2G的GSM网络;而现在已经通过压制3G、4G信号升级换代，设备体型也更袖珍，大部分是车载的，甚至有置于背包内的版本。

但除却换代，伪基站的工作方式都是这样的：

截断范围内手机正常基站通讯=》接入伪基站=》发送短信=》释放接受成功的手机。

伪基站的开发难度不大，所以一旦有方案流出或者在市面出售，个人或者小作坊都可以生产。13年以前网络上有大量直接贩卖整机的网站，这些设备以前在淘宝叫做短信群发器，被封禁后改名为900设备和1800设备。

但雷锋网记者随意在百度上变更了几个关键词，就找到了这样两家卖家。

第一家是销售整机，第二家是销售散件组装。

具备由伪基站等引来的的流量之后，钓鱼站的运作原则是愿者上钩，更准确地说是谁傻谁来。

乌云的路人甲告诉我们，国内的钓鱼站在去年下半年开始明显增多，在今年的5 - 6月份达到高峰;现在的钓鱼站制作越发细致，甚至有非常接近真实的交互逻辑。过去很多钓鱼网站只是简单填写一些银行卡信息，现在很多新站会在交互设计里让用户迅速完成转账。

国内钓鱼站有一些比较集中的开发上游，大部分站点用的是同一套后台系统，其中路人甲们经常碰到的一家叫尖刀科技工作室。虽然叫做工作室，但可能他们实体只是一个很小的开发团队甚至是一个人。

乌云的白帽甚至向我们展示了他们攻入的其中一家钓鱼站后台，可以看到站点上线不到20天内已经有360多条的银行卡信息，包括了姓名、卡号、密码、身份证、有效期甚至信用卡的CVV都已经十分完整，而这只是规模很小的“一个站点”。

成熟的钓鱼团队会购买多个域名指向同一个站点。由于后台系统被广泛使用，有时像尖刀工作室这样的团队甚至比钓鱼站运营还要挣钱。安全圈内还一直有个段子：白帽跟黑帽的差别就是一个月薪1万一个日薪1万。

据不完全统计，每天新增的钓鱼网站数量有50到150个，每天新增受害人数可能是千人，这些站点的存活周期不会太长，很多不超过3天，且很可能把服务器架到国外。钓鱼链条上，除了贩卖模板和源码，还有专门的团队负责分发(比如开车拉着伪基站到处跑)。从受害人的地域分布来看，不少伪基站经常一天更换一个城市。

无论伪基站还是钓鱼站，它们在线上线下的活动非常灵活，而且通常组织很小，多数是10人以下的紧密团队。

数不清的黑卡，薅不完的羊毛

如果说伪造号码和钓鱼网站针对的都是傻而多金的个人，那薅羊毛针对的就是傻而多金的企业。理论上讲任何开放的奖励机制都是可以薅的，包括但不限于优惠券、抽奖、积分奖励。

今年4月6日，苏宁一次满100减50的活动，被爆使用门槛仅需要满0.1元即可。当晚有大量技术宅深夜刷单，据传有一人狂刷1.7万单。

苏宁一次的损失规模可能在5000万 - 7000万。

苏宁被刷后的部分晒单

而此前被揭露的包括Uber在内的专车被刷单事件：

业内黑话管无单的司机叫“病人”，而刷单人员称为“护士”。当司机发出刷单请求时，则是向刷单人员求“扎针”。