94個SIM農(nóng)場潛入歐美：電信欺詐的"基礎(chǔ)設(shè)施即服務(wù)"

一家白俄羅斯公司如何在全球17個國家搭建起94個SIM農(nóng)場，讓詐騙分子能偽裝成本地用戶撥打你的電話——這背后是一套完整的"欺詐基礎(chǔ)設(shè)施即服務(wù)"商業(yè)模式。

導(dǎo)讀

94個部署點、24家商業(yè)供應(yīng)商、35家運營商接入。這組數(shù)字來自英國網(wǎng)絡(luò)安全公司Infrawatch的最新研究，揭露了一個此前未被報道的跨國SIM農(nóng)場網(wǎng)絡(luò)。更值得警惕的是：這不是技術(shù)漏洞，而是被精心設(shè)計的商業(yè)服務(wù)——詐騙分子現(xiàn)在可以像租用云服務(wù)器一樣，租用真實的本地電話號碼。

發(fā)現(xiàn)：從白俄羅斯到全球的SIM供應(yīng)鏈

Infrawatch的研究指向一家名為ProxySmart的白俄羅斯供應(yīng)商。這家公司運營著一套軟件系統(tǒng)，將分布在全球的物理SIM硬件連接起來，形成可遠(yuǎn)程操控的龐大網(wǎng)絡(luò)。

這種架構(gòu)的核心價值在于"地理欺騙"。詐騙分子無需身處目標(biāo)國家，就能通過ProxySmart的平臺接入當(dāng)?shù)剡\營商網(wǎng)絡(luò)，顯示本地號碼發(fā)起呼叫或短信。對于依賴號碼歸屬地判斷可信度的普通用戶和風(fēng)控系統(tǒng)來說，這種偽裝極具殺傷力。

研究團(tuán)隊識別的94個SIM農(nóng)場部署點橫跨17個國家，由24家商業(yè)供應(yīng)商提供網(wǎng)絡(luò)接入支持。這些供應(yīng)商本身可能是合法的電信轉(zhuǎn)售商或物聯(lián)網(wǎng)服務(wù)商，但其基礎(chǔ)設(shè)施被整合進(jìn)了這套欺詐體系。

運營商層面的滲透同樣深入。ProxySmart的網(wǎng)絡(luò)接入了35家蜂窩運營商，包括英國主流運營商Three、O2、EE和沃達(dá)豐。美國市場的覆蓋更為分散——19個州設(shè)有基礎(chǔ)設(shè)施節(jié)點，讓攻擊者能夠模擬美國國內(nèi)用戶的通信行為。

技術(shù)拆解：SIM農(nóng)場如何成為"服務(wù)"

SIM農(nóng)場（SIM農(nóng)場）的物理形態(tài)并不復(fù)雜：成排的SIM卡槽或改裝移動設(shè)備，通過軟件實現(xiàn)集中管控。但ProxySmart的創(chuàng)新在于將其產(chǎn)品化、服務(wù)化。

傳統(tǒng)SIM農(nóng)場需要詐騙團(tuán)伙自行采購硬件、協(xié)商運營商合作、維護(hù)物理站點。而ProxySmart的模式是"農(nóng)場即服務(wù)"——客戶只需遠(yuǎn)程登錄平臺，按需調(diào)用特定國家的號碼資源。硬件維護(hù)、運營商關(guān)系、信號穩(wěn)定性都由ProxySmart及其下游供應(yīng)商解決。

這種分工帶來了規(guī)模效應(yīng)。單個詐騙團(tuán)伙難以在19個美國州同時部署硬件，但通過ProxySmart的服務(wù)，可以按小時或按通話量購買"美國本地身份"。Infrawatch的發(fā)現(xiàn)顯示，這種基礎(chǔ)設(shè)施的復(fù)用程度遠(yuǎn)超以往案例：同一套硬件資源被多個客戶共享，通過軟件調(diào)度實現(xiàn)利用率最大化。

更隱蔽的是流量清洗機(jī)制。由于呼叫和短信確實來自真實運營商網(wǎng)絡(luò)，且顯示合法分配的號碼，傳統(tǒng)的黑名單攔截和異常行為檢測很難在第一時間識別。只有當(dāng)特定號碼被大量投訴后，運營商才會將其停用——而ProxySmart的池化資源可以快速切換新號碼。

商業(yè)邏輯：電信欺詐的"云化"轉(zhuǎn)型

ProxySmart的商業(yè)模式揭示了網(wǎng)絡(luò)犯罪的一個重要趨勢：基礎(chǔ)設(shè)施層與執(zhí)行層的分離。

在傳統(tǒng)的電話詐騙中，團(tuán)伙需要同時具備技術(shù)能力（搭建SIM農(nóng)場）、商務(wù)能力（獲取SIM卡和運營商接入）和詐騙能力（話術(shù)設(shè)計、資金轉(zhuǎn)移）。這種全棧模式限制了擴(kuò)張速度，也增加了單點暴露的風(fēng)險。

ProxySmart提供的是純粹的中間層服務(wù)：不直接參與詐騙執(zhí)行，只出售"可信身份"的訪問權(quán)限。這種定位使其客戶群大幅擴(kuò)展——從專業(yè)詐騙團(tuán)伙到小型網(wǎng)絡(luò)犯罪分子，甚至可能是合法企業(yè)用于灰色營銷（如繞過平臺審核的批量注冊）。

24家商業(yè)供應(yīng)商的存在說明，ProxySmart并非通過黑客手段竊取運營商資源，而是利用了電信行業(yè)的批發(fā)轉(zhuǎn)售體系。物聯(lián)網(wǎng)（物聯(lián)網(wǎng)）業(yè)務(wù)的爆發(fā)式增長為此提供了掩護(hù)：大量企業(yè)客戶需要批量SIM卡用于設(shè)備聯(lián)網(wǎng)，運營商和轉(zhuǎn)售商難以逐一審核最終用途。

這種"合法外殼"是服務(wù)可持續(xù)的關(guān)鍵。ProxySmart可以聲稱自己只是提供遠(yuǎn)程設(shè)備管理工具，對下游用途不知情——類似于云服務(wù)廠商對托管內(nèi)容的免責(zé)邏輯。但I(xiàn)nfrawatch的研究表明，其基礎(chǔ)設(shè)施規(guī)模和接入方式明顯超出了正常企業(yè)用途的范疇。

歐美運營商的暴露面

英國和美國運營商在此次發(fā)現(xiàn)中占據(jù)突出位置，這反映了特定市場的吸引力。

英國四大運營商全部出現(xiàn)在接入名單中，說明ProxySmart在英國的滲透是系統(tǒng)性的而非零星試探。英國市場的價值在于：英語環(huán)境便于跨國詐騙團(tuán)伙操作，金融監(jiān)管嚴(yán)格使得"銀行來電"類話術(shù)更具可信度，且號碼格式國際識別度高。

美國的19州分布則體現(xiàn)了"本地化深度"策略。不同于在英國集中接入頭部運營商，ProxySmart在美國采用了更分散的基礎(chǔ)設(shè)施布局。這可能與美國的運營商市場結(jié)構(gòu)有關(guān)：區(qū)域運營商和移動虛擬網(wǎng)絡(luò)運營商（移動虛擬網(wǎng)絡(luò)運營商）眾多，批發(fā)接入渠道更為復(fù)雜，但也更容易找到審核寬松的節(jié)點。

對于詐騙分子而言，美國州級定位能力具有特殊價值。許多金融機(jī)構(gòu)的風(fēng)控規(guī)則會參考來電歸屬州與用戶注冊地址的一致性，州級偽裝可以繞過這類校驗。此外，美國內(nèi)部跨州通信的"本地感"更強(qiáng)，用戶對陌生號碼的警惕性低于國際來電。

運營商面臨的困境在于：批發(fā)業(yè)務(wù)是合法收入，物聯(lián)網(wǎng)連接是戰(zhàn)略增長點，但審核成本與業(yè)務(wù)規(guī)模之間存在結(jié)構(gòu)性矛盾。ProxySmart的網(wǎng)絡(luò)正是利用了這種商業(yè)現(xiàn)實的縫隙。

檢測與對抗的困境

Infrawatch的研究方法本身值得關(guān)注——這類SIM農(nóng)場網(wǎng)絡(luò)的發(fā)現(xiàn)難度極高。

ProxySmart的基礎(chǔ)設(shè)施沒有統(tǒng)一的品牌標(biāo)識，硬件分散在不同國家的托管機(jī)房或住宅地址，網(wǎng)絡(luò)流量通過加密隧道匯聚。傳統(tǒng)的威脅情報收集（如監(jiān)控暗網(wǎng)論壇、追蹤惡意軟件）很難直接定位到物理SIM層。

研究團(tuán)隊可能采用了"供應(yīng)鏈逆向"策略：從已識別的欺詐號碼出發(fā)，追溯其運營商分配路徑，再交叉比對批發(fā)客戶的接入模式，最終定位到共享同一管理后臺的硬件集群。這種調(diào)查需要運營商層面的配合，而多數(shù)運營商缺乏動力公開承認(rèn)被濫用。

對抗措施的局限性同樣明顯。封鎖ProxySmart的域名或IP地址效果有限，其控制面板可以遷移；要求運營商加強(qiáng)批發(fā)客戶審核會推高合規(guī)成本，且"正常"的物聯(lián)網(wǎng)客戶與"異常"的SIM農(nóng)場在表面數(shù)據(jù)上難以區(qū)分；國際執(zhí)法協(xié)調(diào)則面臨管轄權(quán)和證據(jù)標(biāo)準(zhǔn)的障礙。

一個潛在的突破口是硬件指紋。SIM農(nóng)場使用的調(diào)制解調(diào)器、路由設(shè)備往往具有可識別的信號特征，運營商可以在網(wǎng)絡(luò)側(cè)部署異常檢測。但這種技術(shù)對抗會演變?yōu)槌掷m(xù)的軍備競賽：ProxySmart可以更換設(shè)備固件，模擬正常手機(jī)的信號行為。

行業(yè)啟示：當(dāng)"可信身份"成為商品

ProxySmart案例的核心警示在于：電信網(wǎng)絡(luò)的身份信任機(jī)制正在被系統(tǒng)性商品化。

手機(jī)號碼長期以來是數(shù)字身份的重要錨點——二次驗證、賬戶找回、信用評估都依賴其"難以批量獲取"的假設(shè)。但SIM農(nóng)場服務(wù)將這一假設(shè)徹底打破：現(xiàn)在可以按通話分鐘數(shù)購買"可信手機(jī)號"，且這些號碼來自真實運營商、真實基站、真實計費系統(tǒng)。

這種攻擊的隱蔽性在于，它不破壞任何技術(shù)協(xié)議，只是濫用正常的商業(yè)流程。呼叫確實是用戶發(fā)起的，號碼確實是運營商分配的，信號確實是基站傳輸?shù)摹Ｎㄒ惶摷俚氖?使用者的真實意圖"——而這是網(wǎng)絡(luò)層無法直接觀測的。

對于依賴電話號碼的風(fēng)控體系，這意味著底層信任模型的失效。金融機(jī)構(gòu)、互聯(lián)網(wǎng)平臺、政務(wù)服務(wù)系統(tǒng)都需要重新評估：一個能夠接收短信驗證碼的號碼，是否還足以證明"真人+本地"的雙重屬性？

更深遠(yuǎn)的影響在于犯罪經(jīng)濟(jì)學(xué)的改變。ProxySmart模式降低了電信欺詐的準(zhǔn)入門檻，將固定成本轉(zhuǎn)化為可變成本。小型詐騙團(tuán)伙不再需要前期投入硬件和運營商關(guān)系，可以像測試廣告創(chuàng)意一樣快速試錯不同的話術(shù)和號碼組合。這種"敏捷欺詐"將加速攻擊手法的迭代速度。

實用指向：識別與應(yīng)對

對于直接面對詐騙風(fēng)險的普通用戶和企業(yè)，ProxySmart網(wǎng)絡(luò)的存在意味著需要調(diào)整防御假設(shè)。

個人層面：本地號碼不再等同于可信來源。接到顯示為英國或美國本地號碼的來電時，仍需獨立核實對方身份——銀行、政府機(jī)構(gòu)不會僅因號碼歸屬地而更具可信度。對短信驗證碼的依賴需要配合其他驗證因子，尤其是涉及資金操作時。

企業(yè)風(fēng)控層面：需要升級號碼信譽(yù)評估的維度。單一號碼的運營商歸屬、注冊時長、通話模式等靜態(tài)指標(biāo)已不足夠，應(yīng)引入跨客戶的行為關(guān)聯(lián)分析——ProxySmart的共享基礎(chǔ)設(shè)施意味著不同"用戶"的號碼可能暴露相似的控制時序或信號指紋。

行業(yè)協(xié)作層面：此類網(wǎng)絡(luò)的識別依賴運營商、安全廠商、執(zhí)法機(jī)構(gòu)的共享數(shù)據(jù)。Infrawatch的研究展示了第三方安全公司可以扮演的角色，但規(guī)模化響應(yīng)需要更結(jié)構(gòu)化的信息交換機(jī)制，尤其是在批發(fā)業(yè)務(wù)審核標(biāo)準(zhǔn)和異常接入模式識別方面。

ProxySmart網(wǎng)絡(luò)的價值不在于技術(shù)新奇，而在于其商業(yè)設(shè)計的精巧——它將電信欺詐的基礎(chǔ)設(shè)施層標(biāo)準(zhǔn)化、服務(wù)化，從而實現(xiàn)了犯罪規(guī)模的指數(shù)級擴(kuò)展。這種"創(chuàng)新"本身，正是數(shù)字安全領(lǐng)域需要持續(xù)追蹤和理解的對手進(jìn)化方向。