你的手机也很危险 - 移动伪基站SMS钓鱼案例与应对方法

网络安全
目录

这是真实发生的事情!检查你的手机现在是否正在被黑客攻击。
隐藏在汽车中的移动基站正在秘密接近人们。
你的手机收到一条消息:“紧急!你的账户已被黑客入侵。立即检查”
惊慌中你点击链接并输入密码…很快现金就从你的账户中被盗走了。
听起来像电影情节,但这确实在现实生活中发生着。

2025年3月,伦敦一名中国学生开着SUV行驶了5天,向数万人发送钓鱼短信。
类似的虚假消息传播事件也在泰国曼谷、马来西亚和新西兰发生。

让我们了解到底发生了什么,以及我们需要做些什么。

对短信的怀疑

上周下班回家的路上,我又收到了一条奇怪的消息。
“在您的账户中检测到可疑交易。立即检查。“大概是这样的内容。
通常我会直接删除,但看了最近的新闻后,我开始有不同的想法。

网络犯罪分子现在使用的方法变得令人恐惧地复杂。
我听说他们将名为’SMS爆破器’的设备装载到汽车中,到处开车向附近的手机分发虚假消息。
而且他们每小时可以发送多达100,000条消息。

实际上我一开始有点怀疑。
我想知道这样的事情是否真的可能,所以我搜索了相关新闻…

哇,太惊人了…他们现在这样黑客攻击。我完全震惊了。

什么是SMS爆破器

简单说,就是一个虚假基站。
它伪装成合法的电信基站来欺骗附近的手机连接,然后到处传播钓鱼消息。

工作原理相当可怕。我们的手机通常会自动连接到信号最强的基站,对吧?
这个SMS爆破器正是利用了这一点。
它发出比正常基站更强的信号来吸引手机。

一旦连接,它就会强制将通信方式降级到2G。
2G的安全性较弱,使其易于操纵。
然后它发送钓鱼消息并将手机返回到正常的通信网络,整个过程不到10秒。

从受害者的角度来看,很难注意到有什么奇怪的事情发生。看起来就像收到了一条普通消息。

这让我好奇,所以我查找了更多关于SMS爆破器的信息。
以下是我找到的内容摘要。

什么是SMS爆破器?

SMS爆破器是一种便携式虚假基站设备,可以向其覆盖范围内的所有手机发送消息。(参考)
更准确地说,这种设备也被称为IMSI捕获器,是一种伪装成合法移动基站并在手机和实际电信基站之间执行中间人攻击(MITM)的设备。(Wikipedia)

SMS爆破器的工作原理

SMS爆破器按以下方式工作:

  1. 信号强度操纵:手机总是自动连接到信号最强的基站,而SMS爆破器发送比正常基站更强的信号来吸引手机。
  2. 强制2G降级:它们强制连接的手机降级到安全性较差的2G网络以禁用加密。
  3. 直接消息传输:它们可以直接每小时发送多达100,000条SMS消息,也可以任意操纵发送者信息。
  4. 返回正常网络:发送消息后,它们将手机返回到正常的通信网络。

SMS爆破器的恶意使用

可以理解为什么网络犯罪分子偏爱SMS爆破器。
它们可以完全绕过电信公司的垃圾邮件阻止系统,直接传递包含钓鱼URL的消息。
由于它们不经过电信公司,垃圾邮件过滤不起作用,消息直接发送到智能手机。
此外,通过将此设备安装在车辆中并在对许多人执行网络攻击时移动,他们可以避免被发现。
问题是很难抓到罪犯,因为跟踪困难,而且他们伪装成正常基站。

全球发生

这些SMS爆破器攻击是比预期严重得多的情况。
最初从东南亚开始,现在正在全球传播。

在瑞士,政府网络安全中心发出了直接警告,在英国,一名中国学生被抓到在本田汽车后备箱中藏了一个SMS爆破器,在伦敦周围开车发送数万条虚假消息。他甚至被判了一年徒刑。

它们也在日本东京和大阪被发现,印度尼西亚雅加达,巴西圣保罗,甚至新西兰…
真的没有地方幸免。

新西兰事件特别令人印象深刻——一名19岁青年在奥克兰一夜之间发送了700条虚假银行消息。
幸运的是,由于双因素身份验证没有造成实际损害,但看到技术能力和影响真的很令人毛骨悚然。

韩国最近的案例

最近在韩国也发生了事件。
KT小额支付黑客事件正是使用了这种方法。

几天前,中国嫌疑人被逮捕,在新闻中他们说:“我只是按照上司的命令行事。”
因此韩国警方怀疑这可能是中国专业犯罪组织的工作。
『KT小额支付』中国嫌疑人"上司命令去公寓多的地区”

两名中国黑客将称为飞蜂窝的小型基站装载到汽车中,开车四处黑客KT用户的手机。
飞蜂窝通常是电信公司安装的合法设备,用于改善室内通信质量,但似乎由于管理不善而泄露到外部。

他们的方法非常复杂。
在尝试使用受害者的姓名、电话号码和出生日期进行小额支付时,身份验证电话会到来,
但他们用飞蜂窝拦截了这些电话并代替接听以完成认证。

损害规模也相当大。
278起案件价值1.7亿韩元,确认受害者5,561人。

电信公司的疏忽

最可怕的是电信公司几乎没有办法阻止这个。

正常的垃圾短信通过电信网络传来,因此可以进行一定程度的过滤。
现在一些电信公司甚至完全阻止包含URL的消息。这就是韩国政府没有在消费券通知消息中包含URL的原因。

但SMS爆破器绕过了官方通信网络。
由于虚假基站直接连接到手机,现有的安全系统变得无用。

这类似于有人站在你家门前的路上拿着扩音器喊:“我来自银行!”
无论你的家庭安全系统有多好,都无法阻止直接的外部访问。

全球SMS爆破器钓鱼攻击案例汇总

我调查了全球发生了哪些类似案例。
希望这能帮助访问此博客的某个人。

亚洲地区

泰国

1) 曼谷大规模SMS爆破器攻击(2024年11月)

  • 事件:中国组织在曼谷素坤逸区用SMS爆破器在3公里半径内3天发送约100万条消息(每小时能发送10万条)
  • 损害:通过"积分过期"冒充消息窃取信用卡信息,向海外账户处理付款
  • 结果:35岁中国司机被捕,对2名中国组织成员发出逮捕令
  • URL: 详情链接

2) 曼谷连续SMS爆破器攻击(2025年8月)

  • 事件:8月8日和15日连续逮捕,相隔一周;中国组织成员雇佣泰国人操作
  • 损害:在曼谷繁华区巡回发送钓鱼消息
  • 结果:泰国司机被捕,确认与中国组织成员的联系
  • URL: 详情链接

3) 旅游指南伪装SMS爆破器(2025年1月)

  • 事件:两名中国人在曼谷伪装成旅游指南操作SMS爆破器
  • 损害:针对旅游区域发送钓鱼消息
  • 结果:两名中国人被捕
  • URL: 详情链接

菲律宾

1) 大规模网络犯罪组织逮捕(2025年3月)

  • 事件:逮捕180名与POGO(海外在线赌博)相关的网络犯罪组织,发现SMS爆破器设备
  • 损害:针对包括日本、台湾、越南、马来西亚、蒙古、巴西在内的多国受害者
  • 结果:逮捕180人,解散包括16名中国人在内的多国组织
  • URL: 详情链接

2) SMS爆破器进口商被捕(2025年1月)

  • 事件:马来西亚SMS爆破器进口商以60万比索(约10,500美元)出售设备
  • 损害:向菲律宾、柬埔寨、中国、泰国提供设备
  • 结果:46岁马来西亚人被捕,因包括网络犯罪预防法在内的多项法律违法被起诉
  • URL: 详情链接

马来西亚

吉隆坡SMS爆破器组织(2024年11月)

  • 事件:在巴生河流域地区用2辆车操作SMS爆破器,每天针对32,000人
  • 损害:通过电信积分冒充造成约117,000林吉特(26,300美元)损害
  • 结果:4人被捕,确认司机每天获得300林吉特(67.5美元)工资
  • URL: 详情链接

印度尼西亚

雅加达SMS爆破器攻击(2025年6月)

  • 事件:两名马来西亚人在雅加达操作银行冒充SMS爆破器
  • 损害:针对大都市区发送大规模钓鱼消息
  • 结果:两名马来西亚人被捕,1名同伙在逃
  • URL: 详情链接

日本

东京/大阪SMS爆破器发现(2025年4月)

  • 事件:‘Radio Yakuza’业余侦探发现冒充NTT Docomo的非法基站
  • 损害:怀疑在东京和大阪运营与中国组织相关的SMS爆破器
  • 结果:缺乏明确的政府回应,部长级问答回避
  • URL: 详情链接

香港

政府服务冒充攻击(2025年2月)

  • 事件:23岁男子使用SMS爆破器冒充政府服务收集信用卡信息
  • 损害:通过冒充政府机构进行身份盗窃和信用卡信息盗窃
  • 结果:23岁男子被捕
  • URL: 详情链接

欧洲地区

英国

伦敦大规模钓鱼攻击(2025年3月)

  • 事件:中国学生在SUV上装配SMS爆破器,在伦敦全境运营5天
  • 损害:向数万人发送冒充Gov.uk和主要银行的消息
  • 结果:中国学生被判1年监禁,通过英国电信和警方合作被捕
  • URL: 详情链接

瑞士

SMS爆破器攻击激增(2025年)

  • 事件:瑞士网络安全中心警告SMS爆破器攻击报告激增
  • 损害:通过虚假罚款通知等试图窃取信用卡信息
  • 结果:发布政府级官方警告
  • URL: 详情链接

中东地区

阿曼

马斯喀特SMS爆破器攻击(2025年)

  • 事件:中国游客在马斯喀特市内开车引导到冒充当地银行的钓鱼页面
  • 损害:针对阿曼公民的银行冒充钓鱼攻击
  • 结果:中国游客被捕
  • URL: 详情链接

大洋洲

新西兰

奥克兰SMS爆破器攻击(2025年初)

  • 事件:中国组织和奥克兰青少年合作用汽车电池运营SMS爆破器
  • 损害:一夜向ASB、ANZ银行客户发送数百条虚假银行消息
  • 结果:合作组织被捕
  • URL: 详情链接

南美洲

巴西

圣保罗SMS爆破器组织被解散(2025年5月)

  • 事件:通过圣保罗南部通信信号干扰报告发现SMS爆破器组织
  • 损害:针对南部城市地区发送钓鱼消息
  • 结果:当局根据当地电信报告解散了SMS爆破器组织
  • URL: 详情链接

罪犯真正偏好的原因

实际上,SMS爆破器并不便宜。它们成本很高。
从几千美元到35,000美元不等。
然而罪犯使用它们有充分的理由。

首先是保证的消息送达率
常规垃圾消息即使大量发送也只有约10%实际到达。
但SMS爆破器几乎100%送达。
只要2G被激活,你就保证能收到它们。

其次是让它们看起来真实
由于从发送者信息到内容的一切都可以完全操纵,他们可以让它看起来像来自银行或政府机构。

第三是移动性
通过将它们装载到汽车中并开车穿越不同地区,它们难以追踪并可以扩大损害规模。

应对方法

最可靠的方法是在你的手机上关闭2G。
因为SMS爆破器利用2G漏洞。

Android从版本12开始有2G禁用设置。
iPhone有点复杂——开启锁定模式会自动禁用2G。
但锁定模式也限制了许多其他功能,使日常使用不便。

问题是知道这个的人不多。
大多数人可能只是正常使用他们的手机然后被抓到。

Google在Android 16中添加了一个功能,当连接到虚假基站时显示警告通知。
仍然是连接后的事,所以不是完全的解决方案。

下面,我试图通过在互联网上搜索来组织技术方法和注意事项。
希望下面的内容能帮助访问此博客的某个人~

1. 技术阻止方法

完全2G网络禁用

  • Android设置方法

    • 版本12+:设置 → 网络与互联网 → 移动网络 → 首选网络类型 → 禁用2G
    • 三星Galaxy:设置 → 连接 → 移动网络 → 网络模式 → 选择5G/4G/3G自动连接
    • LG:设置 → 网络 → 移动网络 → 网络类型 → 选择LTE/WCDMA

  • iPhone设置方法

    • iOS 16+:设置 → 隐私与安全 → 启用锁定模式(自动阻止2G)
    • 或设置 → 蜂窝网络 → 蜂窝数据选项 → 语音与数据 → 选择LTE
    • 锁定模式缺点:阻止FaceTime通话,限制消息附件,限制网络浏览器功能等

网络监控应用利用

  • Android:CellMapper、Network Cell Info、OpenSignal
  • iPhone:Network Analyzer、WiFi Analyzer
  • 检测可疑基站信号或突然的网络变化以发出警告

2. 行为指南和预防

可疑消息识别

  • 注意冒充金融机构或政府机构的紧急消息
  • 绝不点击URL缩短服务链接(bit.ly、tinyurl等)
  • 将100%要求个人信息的链接视为欺诈
  • 总是通过官方渠道验证紧急汇款/付款请求

立即响应方法

  1. 收到可疑消息时立即删除
  2. 直接致电相关机构(银行、卡公司)进行验证
  3. 如果点击了链接立即更改密码
  4. 如果输入了个人信息检查相关账户安全

政府和电信公司的任务

个人能做的有限。
最终政府和电信公司需要更显著地回应。

首先,对SMS爆破器设备本身的监管似乎是必要的。
目前你可以轻松在网上以几千美元购买它们。
虽然可能有合法用途,但应该引入注册或许可制度。

电信公司也应该更加主动。
如监控网络边缘的异常流量模式或安装检测非法基站的设备。

韩国KT事件中暴露的飞蜂窝管理问题也很严重。
我怀疑设备泄露到外部是因为他们无法妥善回收在韩国安装的150,000个单位。
此类通信设备的生命周期管理必须更加彻底。

最终怀疑习惯是最好的防御

虽然技术回应很重要,但最终我们别无选择只能自己小心。

绝不点击未经请求的消息中的链接,当冒充金融机构或政府机构的消息到来时,首先要怀疑。
如果真的紧急,你可以直接致电相关机构进行验证。

虽然SMS爆破器使消息诈骗变得更加复杂和快速,但利用人类贪婪和焦虑与以前相同。

“当你收到’快点击或会发生可怕事情’这样的消息时,最好再想一想。"

哦,别忘了向工信部或警方举报奇怪的消息。
个人损害可能很小,但累积的报告有助于逮捕犯罪集团。

SMS爆破器,一个新威胁,正在深入渗透我们的生活。
随着技术进步,犯罪方法变得更加复杂,但我相信通过不失去基本警惕我们可以充分预防它们。

你最近收到过奇怪的消息吗?
如果你有任何可疑的,请在评论中分享。
彼此分享信息也是防止此类诈骗的好方法。