关于伪基站恶意发送垃圾短信的报告

关于伪基站恶意发送垃圾短信的报告 近期在南昌、赣州等地区发现流动“伪基站”，不法分子利用伪基站不但非法收集移动用户信息（IMSI、IMEI），向用户发送大量垃圾短信，同时还严重干扰我公司的通信网络，导致用户脱网和掉话等问题，引发批量客户投诉。 一、伪基站及伪基站短信系统介绍 伪基站是假冒现网移动通信网络，利用其信号强度、位置区等参数设置，诱骗用户在其覆盖区域内接入，获取用户位置更新消息中IMSI和IMEI等信息，伪基站在获取用户信息后可通过设置使移动手机快速断网，或待用户离开其覆盖区域后再登记到现网移动网络。 伪基站的新变种“伪基站短信系统”，不法分子不但利用伪基站收集用户信息，还利用伪基站恶意发送垃圾广告短信，当用户进入伪基站覆盖区域时，用户在伪基站下会位置更新成功，然后伪基站给用户发送垃圾短信，用户接收短信成功后，可通过设置使手机快速和伪基站断网注册到正常的移动网络。 二、流动“伪基站”的特点 1、使用与我公司相同的MCC-460、NCC-00、BCCH（与周边某一移动基站BCCH相同），LAC码使用非移动现网使用的LAC。目前仅影响GSM手机。 2、CR0设置大，C2值大，使用户优先向其重选。 3、重选后，用户进行位置更新并成功，“伪基站”收集用户的IMSI和IMEI，并在信道释放前直接发送垃圾短信； 4、“伪基站”发送垃圾短信后，自动变换LAC，迫使用户进行第二次位置更新，并拒绝用户的位置更新请求，用户脱网。 5、用户重新选网，回到移动网络。 6、“流动”伪基站体积小，可架设在汽车、电瓶车后备箱内，不法分子开车在人流密集区域移动发送短信。 高性能锂电池 三、流动“伪基站”的危害 1、非法收集用户的IMSI和IMEI，对用户信息安全造成危害。 2、大量发送垃圾短信，可模拟任何用户号码给伪基站覆盖区域内用户发送垃圾短信，且在我网内查不到任何短信发送，若被不法分子用来发送反动言论，后果不堪设想。 3、流动“伪基站”多位于密集城区，造成大量移动用户脱网。 4、流动“伪基站”使用我公司GSM频点发射，且位置多变，严重干扰我公司GSM网络正常运行。 5、流动“伪基站”导致大量不必要的位置更新，严重消耗我公司的信道资源。 四、排查 ( 分析现网异常LAC 登录信令监测平台。 对现网位置更新的源LAC进行统计。在菜单中选择”网络优化分析”—“位置更新业务分析” 通过“设置维度和指标”添加“更新前LAC”和“更新后LAC”，进行查找。 将查询结果中的更新前LAC与本地市与相邻地市的LAC进行对照，提取不在表内且位置更新次数较多的异常LAC进行后续分析。 以某市为例有几个异常的LAC： 异常LAC 正常位置更新次数 65534 9210566 0 4287304 1001 29555 65535 15711 1002 9528 根据GSM规范，LAC的取值范围是1-65535，其中LAC=0和65534作为备用，手机在某次位置更新被拒绝，且拒绝原因是“Roaming not Allowed in this Location Area”等原因时，手机清除原来存储的LAI信息，随后以系统保留的LAC 65534的作为源LAC向网络发起正常位置更新（有个别手机也采用源LAC为0发起正常位置更新），因此对源LAC=0和源LAC=65534的情况，由于现网存在很多本地通异地漫游或在边界区域位置更新导致此问题出现，LAC=0和LAC=65534主要是现网业务导致，即使有伪基站使用0和65534的不规范LAC编码，由于无法和现网存在的正常业务区分，在分析时暂不考虑这两个LAC。 ( 异常CI定位 通过上述步骤确定异常LAC后，再根据异常LAC进行核查，确定异常的小区CI；通过发生异常更新的CI确定伪基站的位置。 通过“记录跟踪与查询”—“ BSSAP记录”—“位置更新记录查询”   在“查找设置”—“源LAC_CI”中输入上一步已经确定的确定的异常LAC，点击确定进行查询。 可以得到位置更新后CI 结果中有位置更新后CI以及更新时间，从这两点可以确定某个时间移动伪基站的大体位置。 ( 现场排查 根据信令监测的查询结果，由排查人员携带测试手机、便携式频谱仪等专业工具前往现场定位。由于伪基站LAC频点经常变化，现场扫频人员首先根据后台反馈的伪基站异常LAC利用测试手机锁定伪基站的频点，然后再利用便携式频谱仪精确定位伪基站。 由于信令监测系统有10分钟左右时延（因服务器负荷原因暂不支持实时跟踪功能），仅能准实时的反馈“流动”伪基站的位置，无法实时确认。因此需借助信令监测平台查询异常源LAC的位置更新记录，定位CI,再分析出“流动”伪基站经过的大体线路，在后台跟踪确定“流动”伪基站停留时间较长的区域，前后台配合进行现场排查。