.

1. ⼿手机号背后的灰⾊色地带
从模拟⼿手机号到⼤大规模薅⽺羊⽑毛
“谁”让我们防不胜防

2. ID：毕⽉月乌
乌云普通⽩白帽⼦子
ID：云絮
乌云普通⽩白帽⼦子

3. ⼿手机号背后的灰⾊色地带

4. ⼿手机号背后的灰⾊色地带
⦿ 伪造任意号码打电话真的可⾏行吗？

5. ⼿手机号背后的灰⾊色地带
⦿ 伪造任意号码打电话真的可⾏行吗？
⦿ 伪基站钓⻥鱼为何如此猖獗？

6. ⼿手机号背后的灰⾊色地带
⦿ 伪造任意号码打电话真的可⾏行吗？
⦿ 伪基站钓⻥鱼为何如此猖獗？
⦿ ⼤大规模薅⽺羊⽑毛背后到底是何⽅方神圣？

7. 伪造电话

8. 伪造电话
⦿ 伪造电话号
码能做什么？
到了骗⼦子⼿手
⾥里，电话号
码就是真⾦金
⽩白银！

9. 伪造电话
⦿ 伪造电话号
码能做什么？
到了骗⼦子⼿手
⾥里，电话号
码就是真⾦金
⽩白银！

10. 伪造电话
⦿ 伪造电话号
码能做什么？
到了骗⼦子⼿手
⾥里，电话号
码就是真⾦金
⽩白银！

11. 伪造电话
⦿ 伪造电话号
码能做什么？
到了骗⼦子⼿手
⾥里，电话号
码就是真⾦金
⽩白银！

12. 李逵OR李⿁鬼？

13. 传统的电话

14. 传统的电话
⦿ 只通过运营
商通道传递
信息，运营
商可可以对
⽤用户⾝身份进
⾏行校验

15. 传统的电话
⦿ 只通过运营
商通道传递
信息，运营
商可可以对
⽤用户⾝身份进
⾏行校验

16. ⺴⽹网络电话

17. ⺴⽹网络电话
⦿ ⽤用户由
VoIP服务
商转接进⼊入
运营商⺴⽹网络，
运营商⽆无法
直接校验⽤用
户⾝身份。

18. ⺴⽹网络电话
⦿ ⽤用户由
VoIP服务
商转接进⼊入
运营商⺴⽹网络，
运营商⽆无法
直接校验⽤用
户⾝身份。

19. ⺴⽹网络电话
⦿ ⽤用户由
VoIP服务
商转接进⼊入
运营商⺴⽹网络，
运营商⽆无法
直接校验⽤用
户⾝身份。

20. 那么短信⼜又如何？
⦿ 有⼀一种神奇的设备叫做伪基站

21. 短信中的⻥鱼钩

22. 短信中的⻥鱼钩

23. 短信中的⻥鱼钩

24. 短信中的⻥鱼钩

25. 短信中的⻥鱼钩
⦿ 诈骗短信的
特点：总会
留⼀一个链接

26. 链接背后的⺴⽹网站

27. 链接背后的⺴⽹网站

28. 链接背后的⺴⽹网站

29. 链接背后的⺴⽹网站

30. 链接背后的⺴⽹网站
⦿ 清⼀一⾊色
⾼高仿官
⽅方⺴⽹网站

31. 点击兑换会怎样？

32. 点击兑换会怎样？

33. 点击兑换会怎样？
⦿ 好像是官⺴⽹网？

34. 点击兑换会怎样？
⦿ 好像是官⺴⽹网？
⦿ 但是要填密码是什么情况！

35. 骗⼦子看到的是什么

36. 骗⼦子看到的是什么

37. 骗⼦子看到的是什么
⦿ 数据详尽，
只需⼏几分钟，
便可盗刷转
账

38. 骗⼦子看到的是什么
⦿ 数据详尽，
只需⼏几分钟，
便可盗刷转
账
⦿ 我们来看看
此时此刻，
钓⻥鱼⺴⽹网站的
后台是什么
样⼦子

39. 有多少⼈人中招

40. 有多少⼈人中招
⦿ 真的没⼈人中招？

41. 有多少⼈人中招
⦿ 真的没⼈人中招？
⦿ 据不完全统计，
每天新增钓⻥鱼
站点数量50-
150个，每天新
增受害⼈人近千
⼈人

42. 有多少⼈人中招
⦿ 真的没⼈人中招？
⦿ 据不完全统计，
每天新增钓⻥鱼
站点数量50-
150个，每天新
增受害⼈人近千
⼈人

43. 有多少⼈人中招
⦿ 真的没⼈人中招？
⦿ 据不完全统计，
每天新增钓⻥鱼
站点数量50-
150个，每天新
增受害⼈人近千
⼈人

44. 男⼥女谁更容易上当

45. 男⼥女谁更容易上当

46. 男⼥女谁更容易上当
⦿ ⾯面对骗⼦子的诱惑

47. 男⼥女谁更容易上当
⦿ ⾯面对骗⼦子的诱惑
⦿ 男⼥女其实都⼀一样

48. 多⼤大年纪更容易上当

49. 多⼤大年纪更容易上当

50. 银⾏行卡密码top10

51. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日

52. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日
⦿ 别⼈人的⽣生⽇日

53. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日
⦿ 别⼈人的⽣生⽇日
⦿ 888888

54. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日
⦿ 别⼈人的⽣生⽇日
⦿ 888888
⦿ 666888

55. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日
⦿ 别⼈人的⽣生⽇日
⦿ 888888
⦿ 666888
⦿ 666666

56. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日
⦿ 别⼈人的⽣生⽇日
⦿ 888888
⦿ 666888
⦿ 666666
⦿ 000000

57. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日
⦿ 别⼈人的⽣生⽇日
⦿ 888888
⦿ 666888
⦿ 666666
⦿ 000000
⦿ 88+出⽣生年份

58. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日
⦿ 别⼈人的⽣生⽇日
⦿ 888888
⦿ 666888
⦿ 666666
⦿ 000000
⦿ 88+出⽣生年份
⦿ 112233

59. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日
⦿ 别⼈人的⽣生⽇日
⦿ 888888
⦿ 666888
⦿ 666666
⦿ 000000
⦿ 88+出⽣生年份
⦿ 112233
⦿ 000123

60. 银⾏行卡密码top10
⦿ ⾃自⼰己的⽣生⽇日
⦿ 别⼈人的⽣生⽇日
⦿ 888888
⦿ 666888
⦿ 666666
⦿ 000000
⦿ 88+出⽣生年份
⦿ 112233
⦿ 000123
⦿ 721521

61. ⽺羊⽑毛党

62. ⽺羊⽑毛党
⦿ 层出不穷的
互联⺴⽹网企业
⦿ 回报颇丰的
各类活动
⦿ “薅⽺羊⽑毛”

63. ⽺羊⽑毛党
⦿ 层出不穷的
互联⺴⽹网企业
⦿ 回报颇丰的
各类活动
⦿ “薅⽺羊⽑毛”

64. ⽺羊⽑毛党
⦿ 层出不穷的
互联⺴⽹网企业
⦿ 回报颇丰的
各类活动
⦿ “薅⽺羊⽑毛”

65. ⽺羊⽑毛党
⦿ 层出不穷的
互联⺴⽹网企业
⦿ 回报颇丰的
各类活动
⦿ “薅⽺羊⽑毛”

66. ⽺羊⽑毛党
⦿ 层出不穷的
互联⺴⽹网企业
⦿ 回报颇丰的
各类活动
⦿ “薅⽺羊⽑毛”

67. 活动背后的⿊黑⼿手
⦿ 活动真的
是为我们
准备的吗？

68. 恐怖的“薅⽺羊⽑毛”

69. 恐怖的“薅⽺羊⽑毛”
⦿ 苏宁⼀一次失
误被⼈人狂下
1.7万订单，
是谁？⼜又是
哪⾥里来的如
此之多⼿手机
号

70. 恐怖的“薅⽺羊⽑毛”
⦿ 苏宁⼀一次失
误被⼈人狂下
1.7万订单，
是谁？⼜又是
哪⾥里来的如
此之多⼿手机
号

71. 恐怖的“薅⽺羊⽑毛”
⦿ 苏宁⼀一次失
误被⼈人狂下
1.7万订单，
是谁？⼜又是
哪⾥里来的如
此之多⼿手机
号

72. 哪来的⼿手机号

73. 哪来的⼿手机号
⦿ 互联⺴⽹网上
的短信接
收平台

74. 哪来的⼿手机号
⦿ 互联⺴⽹网上
的短信接
收平台

75. 哪来的⼿手机号
⦿ 互联⺴⽹网上
的短信接
收平台

76. 哪来的⼿手机号
⦿ 互联⺴⽹网上
的短信接
收平台

77. 哪来的⼿手机号
⦿ 互联⺴⽹网上
的短信接
收平台

78. 哪来的⼿手机号
⦿ 互联⺴⽹网上
的短信接
收平台

79. 他们能做什么

80. 他们能做什么

81. 他们能做什么
⦿ 获取验证码

82. 他们能做什么
⦿ 获取验证码

83. 他们能做什么
⦿ 获取验证码
⦿ 项⺫⽬目列表居
然有5500+

84. 他们能做什么
⦿ 获取验证码
⦿ 项⺫⽬目列表居
然有5500+

85. 短信平台的威⼒力

86. 短信平台的威⼒力

87. 短信平台的威⼒力

88. 短信平台的威⼒力

89. 短信平台的威⼒力

90. 短信平台的威⼒力

91. 注册⼀一个试⼀一试

92. 注册⼀一个试⼀一试

93. 注册⼀一个试⼀一试

94. 真的有这么多号码？

95. 真的有这么多号码？
⦿ 他们真的有这么多⼿手机号？

96. 真的有这么多号码？
⦿ 他们真的有这么多⼿手机号？

97. 真的有这么多号码？
⦿ 他们真的有这么多⼿手机号？
⦿ 哪来的这么多⼿手机号？

98. 分布式猫池

99. 分布式猫池
⦿ 注册卡
商，通
过猫池
提供服
务

100. 分布式猫池
⦿ 注册卡
商，通
过猫池
提供服
务

101. 分布式猫池
⦿ 注册卡
商，通
过猫池
提供服
务

102. 他们在哪⾥里
⦿ 号码⼏几乎全部
集中于移动联
通两家运营商
⦿ 号码有明显地
域分布特征

103. 谁来监管？

104. 谁来监管？

105. 谁来监管？
⦿ 逃过实名

106. 谁来监管？
⦿ 逃过实名
⦿ ⽆无法追踪

107. 谁来监管？
⦿ 逃过实名
⦿ ⽆无法追踪
⦿ 从何⽽而来？

108. 谁来监管？
⦿ 逃过实名
⦿ ⽆无法追踪
⦿ 从何⽽而来？
⦿ 谁来监管？

109. 谢 谢！
毕⽉月乌&云絮 @ WooYun WhiteHat 2015