一家白俄罗斯公司如何在全球17个国家搭建起94个SIM农场,让诈骗分子能伪装成本地用户拨打你的电话——这背后是一套完整的"欺诈基础设施即服务"商业模式。
导读
94个部署点、24家商业供应商、35家运营商接入。这组数字来自英国网络安全公司Infrawatch的最新研究,揭露了一个此前未被报道的跨国SIM农场网络。更值得警惕的是:这不是技术漏洞,而是被精心设计的商业服务——诈骗分子现在可以像租用云服务器一样,租用真实的本地电话号码。
发现:从白俄罗斯到全球的SIM供应链
Infrawatch的研究指向一家名为ProxySmart的白俄罗斯供应商。这家公司运营着一套软件系统,将分布在全球的物理SIM硬件连接起来,形成可远程操控的庞大网络。
这种架构的核心价值在于"地理欺骗"。诈骗分子无需身处目标国家,就能通过ProxySmart的平台接入当地运营商网络,显示本地号码发起呼叫或短信。对于依赖号码归属地判断可信度的普通用户和风控系统来说,这种伪装极具杀伤力。
研究团队识别的94个SIM农场部署点横跨17个国家,由24家商业供应商提供网络接入支持。这些供应商本身可能是合法的电信转售商或物联网服务商,但其基础设施被整合进了这套欺诈体系。
运营商层面的渗透同样深入。ProxySmart的网络接入了35家蜂窝运营商,包括英国主流运营商Three、O2、EE和沃达丰。美国市场的覆盖更为分散——19个州设有基础设施节点,让攻击者能够模拟美国国内用户的通信行为。
技术拆解:SIM农场如何成为"服务"
SIM农场(SIM农场)的物理形态并不复杂:成排的SIM卡槽或改装移动设备,通过软件实现集中管控。但ProxySmart的创新在于将其产品化、服务化。
传统SIM农场需要诈骗团伙自行采购硬件、协商运营商合作、维护物理站点。而ProxySmart的模式是"农场即服务"——客户只需远程登录平台,按需调用特定国家的号码资源。硬件维护、运营商关系、信号稳定性都由ProxySmart及其下游供应商解决。
这种分工带来了规模效应。单个诈骗团伙难以在19个美国州同时部署硬件,但通过ProxySmart的服务,可以按小时或按通话量购买"美国本地身份"。Infrawatch的发现显示,这种基础设施的复用程度远超以往案例:同一套硬件资源被多个客户共享,通过软件调度实现利用率最大化。
更隐蔽的是流量清洗机制。由于呼叫和短信确实来自真实运营商网络,且显示合法分配的号码,传统的黑名单拦截和异常行为检测很难在第一时间识别。只有当特定号码被大量投诉后,运营商才会将其停用——而ProxySmart的池化资源可以快速切换新号码。
商业逻辑:电信欺诈的"云化"转型
ProxySmart的商业模式揭示了网络犯罪的一个重要趋势:基础设施层与执行层的分离。
在传统的电话诈骗中,团伙需要同时具备技术能力(搭建SIM农场)、商务能力(获取SIM卡和运营商接入)和诈骗能力(话术设计、资金转移)。这种全栈模式限制了扩张速度,也增加了单点暴露的风险。
ProxySmart提供的是纯粹的中间层服务:不直接参与诈骗执行,只出售"可信身份"的访问权限。这种定位使其客户群大幅扩展——从专业诈骗团伙到小型网络犯罪分子,甚至可能是合法企业用于灰色营销(如绕过平台审核的批量注册)。
24家商业供应商的存在说明,ProxySmart并非通过黑客手段窃取运营商资源,而是利用了电信行业的批发转售体系。物联网(物联网)业务的爆发式增长为此提供了掩护:大量企业客户需要批量SIM卡用于设备联网,运营商和转售商难以逐一审核最终用途。
这种"合法外壳"是服务可持续的关键。ProxySmart可以声称自己只是提供远程设备管理工具,对下游用途不知情——类似于云服务厂商对托管内容的免责逻辑。但Infrawatch的研究表明,其基础设施规模和接入方式明显超出了正常企业用途的范畴。
欧美运营商的暴露面
英国和美国运营商在此次发现中占据突出位置,这反映了特定市场的吸引力。
英国四大运营商全部出现在接入名单中,说明ProxySmart在英国的渗透是系统性的而非零星试探。英国市场的价值在于:英语环境便于跨国诈骗团伙操作,金融监管严格使得"银行来电"类话术更具可信度,且号码格式国际识别度高。
美国的19州分布则体现了"本地化深度"策略。不同于在英国集中接入头部运营商,ProxySmart在美国采用了更分散的基础设施布局。这可能与美国的运营商市场结构有关:区域运营商和移动虚拟网络运营商(移动虚拟网络运营商)众多,批发接入渠道更为复杂,但也更容易找到审核宽松的节点。
对于诈骗分子而言,美国州级定位能力具有特殊价值。许多金融机构的风控规则会参考来电归属州与用户注册地址的一致性,州级伪装可以绕过这类校验。此外,美国内部跨州通信的"本地感"更强,用户对陌生号码的警惕性低于国际来电。
运营商面临的困境在于:批发业务是合法收入,物联网连接是战略增长点,但审核成本与业务规模之间存在结构性矛盾。ProxySmart的网络正是利用了这种商业现实的缝隙。
检测与对抗的困境
Infrawatch的研究方法本身值得关注——这类SIM农场网络的发现难度极高。
ProxySmart的基础设施没有统一的品牌标识,硬件分散在不同国家的托管机房或住宅地址,网络流量通过加密隧道汇聚。传统的威胁情报收集(如监控暗网论坛、追踪恶意软件)很难直接定位到物理SIM层。
研究团队可能采用了"供应链逆向"策略:从已识别的欺诈号码出发,追溯其运营商分配路径,再交叉比对批发客户的接入模式,最终定位到共享同一管理后台的硬件集群。这种调查需要运营商层面的配合,而多数运营商缺乏动力公开承认被滥用。
对抗措施的局限性同样明显。封锁ProxySmart的域名或IP地址效果有限,其控制面板可以迁移;要求运营商加强批发客户审核会推高合规成本,且"正常"的物联网客户与"异常"的SIM农场在表面数据上难以区分;国际执法协调则面临管辖权和证据标准的障碍。
一个潜在的突破口是硬件指纹。SIM农场使用的调制解调器、路由设备往往具有可识别的信号特征,运营商可以在网络侧部署异常检测。但这种技术对抗会演变为持续的军备竞赛:ProxySmart可以更换设备固件,模拟正常手机的信号行为。
行业启示:当"可信身份"成为商品
ProxySmart案例的核心警示在于:电信网络的身份信任机制正在被系统性商品化。
手机号码长期以来是数字身份的重要锚点——二次验证、账户找回、信用评估都依赖其"难以批量获取"的假设。但SIM农场服务将这一假设彻底打破:现在可以按通话分钟数购买"可信手机号",且这些号码来自真实运营商、真实基站、真实计费系统。
这种攻击的隐蔽性在于,它不破坏任何技术协议,只是滥用正常的商业流程。呼叫确实是用户发起的,号码确实是运营商分配的,信号确实是基站传输的。唯一虚假的是"使用者的真实意图"——而这是网络层无法直接观测的。
对于依赖电话号码的风控体系,这意味着底层信任模型的失效。金融机构、互联网平台、政务服务系统都需要重新评估:一个能够接收短信验证码的号码,是否还足以证明"真人+本地"的双重属性?
更深远的影响在于犯罪经济学的改变。ProxySmart模式降低了电信欺诈的准入门槛,将固定成本转化为可变成本。小型诈骗团伙不再需要前期投入硬件和运营商关系,可以像测试广告创意一样快速试错不同的话术和号码组合。这种"敏捷欺诈"将加速攻击手法的迭代速度。
实用指向:识别与应对
对于直接面对诈骗风险的普通用户和企业,ProxySmart网络的存在意味着需要调整防御假设。
个人层面:本地号码不再等同于可信来源。接到显示为英国或美国本地号码的来电时,仍需独立核实对方身份——银行、政府机构不会仅因号码归属地而更具可信度。对短信验证码的依赖需要配合其他验证因子,尤其是涉及资金操作时。
企业风控层面:需要升级号码信誉评估的维度。单一号码的运营商归属、注册时长、通话模式等静态指标已不足够,应引入跨客户的行为关联分析——ProxySmart的共享基础设施意味着不同"用户"的号码可能暴露相似的控制时序或信号指纹。
行业协作层面:此类网络的识别依赖运营商、安全厂商、执法机构的共享数据。Infrawatch的研究展示了第三方安全公司可以扮演的角色,但规模化响应需要更结构化的信息交换机制,尤其是在批发业务审核标准和异常接入模式识别方面。
ProxySmart网络的价值不在于技术新奇,而在于其商业设计的精巧——它将电信欺诈的基础设施层标准化、服务化,从而实现了犯罪规模的指数级扩展。这种"创新"本身,正是数字安全领域需要持续追踪和理解的对手进化方向。
热门跟贴