上篇文章詳細說明了什麼是SMS PVA服務,本文將繼續說明smspva.net如何攔截Android手機的簡訊來提供上述服務,並將提供一個範例來說明使用者如何使用smspva.net來取得簡訊驗證碼卻無須擁有手機號碼。
在本系列文章的上篇中,詳細說明了什麼是SMS PVA服務,並深入分析一個趨勢科技團隊從Facebook廣告上看到的服務,叫作「ReceiveCode」。
ReceiveCode為其服務的客戶提供手機簡訊接收服務,當然這些簡訊是發送到他們持有的手機號碼,再經由他們將簡訊轉給客戶。客戶只須在他們的網站(smspva.net)上註冊,就能開始使用這項服務。
本文繼續說明smspva.net如何攔截Android手機的簡訊來提供上述服務。此外,也將採用一個範例來講解使用者如何使用smspva.net來取得簡訊驗證碼卻無須擁有手機號碼。
深入追查SMS PVA
今日有許多線上服務在註冊新帳號時都會做一些額外的驗證,例如檢查使用者的IP位置是否符合其手機號碼所在地區。此外,有些服務會設定一些地區限制,例如某些內容只在某些國家才能觀看。
為了克服這些情況,SMS PVA使用者會利用第三方IP隱藏服務,例如代理器(Proxy)或虛擬私人網路(VPN)來改變他們連上某些服務時的IP位址。從趨勢科技Smart Protection Network(SPN)全球威脅情報網的監測資料發現,SMS PVA服務的使用者經常使用各種代理器服務以及分散式VPN平台來躲避廠商的IP地理位置檢查。
圖1 smspva.net如何攔截Android手機簡訊。
他們的使用者註冊流量與SMS PVA API流量,通常來自某個VPN服務或某個住宅IP代理器系統的出口節點。這表示SMS PVA服務的使用者通常也使用了某種住宅IP代理器或VPN服務,好讓他們選擇使用某個國家的IP來配合他們在線上服務註冊時使用的電話號碼。
Smspva.net如何攔截Android手機簡訊
為了示範SMS PVA如何攔截Android手機簡訊,以新加坡知名拍賣平台Carousell(旋轉拍賣)為例,設想了一個假想情境,如圖1所示。
1. 首先,必須註冊一個smspva.net帳號,然後儲值在裡面。
2. 緊接著,請選擇一個「專案」(Project),專案就是想註冊的線上服務或平台(也就是他們可以攔截手機簡訊認證的平台),此處選擇「Carousell」。
3. 接下來,註冊一個Carousell帳號。
4. 當需要填入手機號碼時,到smspva.net申請一個手機號碼。smspva.net會提供一個讓使用者用來註冊Carousell帳號的手機號碼。
5. 然後,Carousell會發送簡訊到所輸入的手機號碼來提供一次性認證碼。此時,手機上的惡意程式會攔截這封簡訊,然後將認證碼傳給smspva.net。
6. 接著,smspva.net將會提供認證碼,就能夠將認證碼輸入帳號註冊畫面。此時,也可以搭配某種住宅IP代理器服務讓自己的IP位址配合目前使用的手機號碼。此時,應該就會通過認證並順利註冊到新的帳號。
如上所示,受害者的手機號碼會在smspva.net的客戶曾經註冊的平台或服務上綁定至某個帳號。從Smart Protection Network(SPN)監測資料中找到了一小部分的電話號碼,這些都是從實際使用SMS PVA服務的使用者身上蒐集而來。
如圖2所示,在這個範例中可以看到某個印尼的手機號碼對應到一個WhatsApp帳號,帳號照片上顯示的應該是「印尼人」,所以應該是帳號真正的持有人。但同一個手機號碼卻也對應到一個Telegram帳號,但這個帳號名字卻是俄羅斯文,所以這個Telegram帳號當初很可能就是利用SMS PVA註冊的。
這種狀況在smspva.net上經常看到,有時是同一手機在不同服務上的帳號名稱完全不同,有時是手機號碼所屬國家與帳號所用語言不符,代表受害者的手機號碼已經成為smspva.net服務的工具。
淪為網路犯罪集團的幫兇
手機簡訊認證目前已成為許多線上服務和平台用來確保一個人只能註冊一個帳號的標準方式。但SMS PVA服務的出現,讓網路犯罪集團能避開這項限制,甚至反過來利用簡訊認證機制。
以下是這類服務對網路犯罪集團所帶來的一些好處:
‧匿名性。有了SMS PVA,網路犯罪集團就能使用一些拋棄式手機號碼來註冊帳號,不必擔心這些帳號和手機號碼會追查到他們。有些國家會要求消費者在購買SIM卡時必須出示身分證明,現在有了SMS PVA之後,他們再也不必擔心這個問題。
‧聯合假冒行為。聯合假冒行為通常是用來大量散發和擴大訊息,不僅快速,又能精準打擊。例如散播假訊息、試圖操弄大眾對某些品牌、服務、政治觀點或政府計畫(如疫苗接種計畫)的看法。由於SMS PVA服務在世界各國擁有數以千計已遭駭入的智慧型手機,所以SMS PVA使用者就能註冊屬於某個國家的帳號,使用這些假帳號偽裝成該國人民來從事上述行為。
‧濫用註冊獎勵。有了SMS PVA服務,網路犯罪集團就能很輕鬆地註冊大量帳號來獲得某些網路服務和平台所提供的註冊獎勵,然後再將這些獎勵賣給不知情的受害者。
‧濫用應用程式的分潤。網路犯罪集團可利用SMS PVA服務來註冊帳號,試圖賺取收入,例如可註冊帳號來製造更多觀看次數以賺取更多分潤。
‧規避地區限制。SMS PVA服務也可用來規避一些政府規定或地區限制。例如,虛擬加密貨幣交易平台Binance就禁止使用中國的電話號碼註冊帳號。有了SMS PVA服務,網路犯罪集團就能避開這類限制在Binance註冊帳號。
‧規避罰鍰與法律責任。由於SMS PVA服務提供了匿名性,網路犯罪集團使用假帳號來從事不法活動時就不必擔心任何法律責任或罰鍰。
‧詐騙與詐欺。SMS PVA可讓詐騙集團註冊大量的即時通訊軟體帳號,然後利用這些帳號從事社交工程詐騙。
帶來衝擊與影響
smspva.net這類服務的最大受害者是智慧型手機被感染的不知情使用者,他們很可能完全不曉得自己的手機已被感染,只要他們沒有去註冊任何SMS PVA服務使用者利用他們手機號碼註冊的線上服務,他們甚至根本不會發現有什麼不對勁。
圖2 某個印尼的手機號碼對應到一個WhatsApp帳號
當手機綁定的帳號因從事詐騙或詐欺而遭到刑事調查時,手機持有人將變成刑事案件的嫌犯。
除此之外,SMS PVA服務對採用簡訊認證機制的線上服務平台與服務來說,也會造成重大影響,因為SMS PVA服務會攔截這些簡訊,無形中等於讓簡訊認證機制破功。
而且這也影響到今日一些防範詐騙以及驗證使用者真實性的機制。這些機制除了要防範未經認證的帳號之外,現在也要考慮到已通過認證的帳號也可能是假的。
還有,一些讓使用者僅須登入一次就能存取各種服務的單一簽入(SSO)機制也受到影響。
駭客之所以能用SMS PVA服務在這些主流平台建立大量帳號,就是因為手機簡訊認證只須執行一次。
<本文作者:本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>