摘要
本文以 2026 年 5 月韩国警方破获的特大电信网络钓鱼案件为实证样本,聚焦通信网络权限泄露、主叫号码伪造、批量钓鱼短信群发三类核心犯罪行为,系统剖析语音钓鱼(Vishing)与短信钓鱼(Smishing)的技术实现机理、黑产运作模式与监管薄弱环节。文章结合信令协议、VoIP 透传、号码校验等关键技术,给出可落地的检测、拦截与溯源代码实现;构建 “技术防御 — 流程管控 — 法律惩戒 — 跨部门协同” 四维治理框架,论证从源头封堵钓鱼通道、强化运营商责任、完善号码核验机制的必要性。反网络钓鱼技术专家芦笛指出,此类依托合法电信通道实施的高仿真钓鱼攻击,已成为当前金融欺诈损失最主要的诱因之一,必须以通信信令层可信校验为基础,建立全链路闭环防控体系。本文研究结论可为电信治理、网络安全与金融风控领域提供技术参考与实践路径。
关键词:网络钓鱼;号码伪造;VoIP 透传;电信治理;反钓鱼技术
1 引言
随着移动通信与金融数字化深度融合,网络钓鱼已从传统邮件欺诈转向电信通道高仿真攻击。攻击者不再依赖伪基站、境外 IP 等粗放方式,转而渗透合法通信企业,通过获取网络接入权限、篡改主叫号码、冒用金融机构官方标识实施精准诈骗,隐蔽性更强、社会危害更大。
2026 年 5 月 14 日,韩国首尔警方通报一起重大案件:多家电信服务商与短信群发公司涉嫌为钓鱼组织提供通道支持,涉案公司通过伪造银行等金融机构官方号码,批量发送语音与短信钓鱼信息,累计造成受害者损失超180 亿韩元(约合人民币 9.4 亿元),涉案人员 39 名,其中 5 人被拘留。该案暴露出通信接入管理失控、主叫号码校验缺失、第三方服务商监管空白、黑产链条高度协同等突出问题。
现有研究多聚焦钓鱼内容识别、URL 检测、用户意识教育,对电信底层通道被合法主体滥用的场景覆盖不足,技术防御与监管对策缺乏针对性。本文以该案为核心样本,还原攻击全流程,解析关键技术漏洞,提出工程化防御代码与制度改进方案,形成 “案例 — 技术 — 治理 — 实践” 的完整论证闭环,为同类案件处置与行业治理提供依据。
2 案件概况与黑产模式分析
2.1 案件基本事实
韩国首尔警察厅广域犯罪侦查队于 2026 年 5 月 14 日宣布,查获 19 家涉案企业,逮捕包括电信公司负责人 C、短信公司负责人 D 在内的 39 人,刑事拘留 5 人。
涉案主体:中小通信运营商 A、短信群发服务商 B 及关联企业共 19 家;
作案时间:语音钓鱼集中在 2024 年 1 月 —2025 年 3 月,短信钓鱼覆盖 2024 年 1 月 —2026 年 3 月;
作案规模:伪造语音广告约 18 万条,批量钓鱼短信约 5.8 亿条;
损失金额:语音钓鱼涉案 9.4 亿韩元,短信钓鱼涉案 8.6 亿韩元,合计超 180 亿韩元;
核心手段:通信公司负责人向钓鱼组织开放网络权限,远程篡改主叫号码为金融机构官方号段;短信公司明知用途非法仍提供群发服务。
该案呈现三大特征:合法通道非法使用、内部人员深度参与、伪造号码高度仿真,突破传统反诈边界,对通信安全与金融秩序构成严重威胁。
2.2 黑产链条结构
案件揭示完整的电信钓鱼产业化链条,分工明确、协同高效:
权限供给层:通信企业管理人员违规开放通信网络访问权限,提供信令操控入口;
技术实施层:钓鱼组织远程接入,修改主叫号码字段,伪装成银行、信用卡中心等可信主体;
内容分发层:短信群发公司提供批量发送能力,覆盖海量用户;
话术诱导层:以 “卡片已核发”“账户异常”“身份核验” 等话术引导回拨或输入信息;
资金变现层:诱导转账、窃取验证码、盗刷账户,完成非法获利。
反网络钓鱼技术专家芦笛强调,此类案件的危害性在于信任体系被击穿:用户基于对官方号码的信任放松警惕,传统安全软件难以识别合法通道发出的恶意内容,导致拦截失效、损失扩大。
2.3 案件暴露的核心问题
通信接入管控失效:运营商将核心网络权限泄露给外部人员,未做身份核验与操作审计;
主叫号码无强制校验:信令传输中不对主叫真实性做验证,可随意篡改;
第三方服务商失管:短信群发行业准入门槛低,未落实内容审核与用途核验;
监管检查规避:涉案企业以 “服务器被黑客攻击” 为借口逃避监管处罚;
跨部门协同不足:警方、通信主管部门、互联网安全机构缺乏实时联动机制。
3 号码伪造型钓鱼攻击技术原理
3.1 核心技术基础:VoIP 与主叫号码透传
语音钓鱼的关键是主叫号码伪造(Caller ID Spoofing),依托 VoIP 网络与信令透传机制实现。
传统电路交换网对主叫号码有较强校验;而 IP 化通信中,主叫号码以信令字段形式传输,接入网关可直接修改。涉案公司正是利用SIP 信令主叫字段可写的特性,将真实主叫替换为金融机构官方号码。
典型流程:
钓鱼组织通过 Telegram 与运营商内部人员联络,获取 VPN 与账号权限;
远程登录通信运营支撑系统,访问呼叫控制平台;
在 SIP 邀请消息中填充伪造的主叫号码;
经由落地网关送入公众通信网,被叫终端显示伪造号码。
反网络钓鱼技术专家芦笛指出,VoIP 透传本身是合法技术,但缺乏主叫身份溯源与可信校验,成为诈骗泛滥的技术根源。
3.2 短信钓鱼群发技术机理
短信钓鱼依赖A2P 短信通道滥用:
企业短信平台用于正规通知,接入门槛较低;
涉案公司提交虚假报备材料,获取群发接口;
平台未做内容语义检测,允许批量发送含诱导话术的信息;
短链跳转至仿冒页面,窃取账号、密码、验证码。
与伪基站不同,此类短信走正规信令通道,基站与网关无法识别,到达率接近 100%。
3.3 关键技术漏洞总结
SIP 信令主叫字段无签名:可任意修改,无完整性校验;
落地网关不校验主叫合法性:只负责接续,不核验号码归属;
运营商内部权限过大:运维账户可直接操控信令与号码;
短信平台审核流于形式:依赖关键词过滤,易被绕过;
用户侧无有效鉴别手段:仅以来电号码判断真伪,易被欺骗。
4 攻击检测与拦截技术实现(含代码示例)
4.1 主叫号码可信校验引擎
核心思路:在网关层对主叫号码做强制校验,对非授权号码进行拦截或标记。
# 主叫号码可信校验引擎(核心代码)
import re
from typing import Tuple, Dict
# 官方可信号码库(银行、保险、运营商、公检法)
TRUSTED_CALLER_ID = {
"1588-xxxx", "1599-xxxx", "110", "112", "119",
"02-xxxx-xxxx(银行官方)", "080-xxxx-xxxx"
}
# 异常号码模式
SPOOF_PATTERNS = [
r"^0\d{1,2}-\d{3,4}-\d{4}$", # 伪装固话
r"^1588-\d{4}$", # 仿官方客服
r"^400-\d{3}-\d{4}$", # 仿400
]
def verify_caller_id(caller: str, trunk_ip: str) -> Tuple[bool, str, int]:
"""
主叫号码可信校验
:param caller: 主叫号码
:param trunk_ip: 中继网关IP
:return: (是否通过, 原因, 风险分0-100)
"""
risk_score = 0
reason = "正常"
# 1. 可信白名单直接通过
if caller in TRUSTED_CALLER_ID:
return True, "可信白名单", 0
# 2. 异常格式检测
for pattern in SPOOF_PATTERNS:
if re.match(pattern, caller):
risk_score += 40
reason = f"主叫号码格式异常:疑似伪造官方号码"
# 3. 跨境/异常中继检测
if trunk_ip.startswith(("45.", "103.", "193.")): # 高风险IP段
risk_score += 35
reason += ";高风险中继IP"
# 4. 短号/虚拟号检测
if len(caller) < 8 or caller.startswith(("070", "050")):
risk_score += 25
reason += ";虚拟号段未备案"
# 阈值判定
if risk_score >= 50:
return False, reason.strip(";"), risk_score
return True, reason, risk_score
# 测试示例
if __name__ == "__main__":
test_caller = "02-1234-5678" # 仿银行号码
test_trunk = "45.12.34.56"
passed, reason, score = verify_caller_id(test_caller, test_trunk)
print(f"通过:{passed},原因:{reason},风险分:{score}")
反网络钓鱼技术专家芦笛强调,该引擎应部署在网关入口,实现呼叫建立前预校验,对高风险呼叫直接阻断或强制标注 “可能诈骗”。
4.2 钓鱼短信语义检测模块
基于关键词、紧急话术、敏感指令的多层检测,识别钓鱼短信。
# 钓鱼短信语义风险检测(核心代码)
import re
from typing import Tuple, List
# 风险词典
URGENCY_WORDS = {"立即", "马上", "逾期", "冻结", "停用", "紧急", "最后通知"}
SENSITIVE_ACTIONS = {"按1", "按2", "回拨", "登录", "验证", "输入", "转账"}
IMPERSONATE_ORG = {"银行", "信用卡", "公安", "法院", "社保", "海关", "银联"}
def detect_phishing_sms(sms_content: str) -> Tuple[bool, int, List[str]]:
"""
钓鱼短信检测
:param sms_content: 短信内容
:return: (是否钓鱼, 风险分0-100, 风险项)
"""
score = 0
risks = []
content = sms_content.replace(" ", "").replace("\n", "")
# 1. 冒充机构检测
for org in IMPERSONATE_ORG:
if org in content:
score += 25
risks.append(f"冒充敏感机构:{org}")
# 2. 紧急施压话术
for word in URGENCY_WORDS:
if word in content:
score += 20
risks.append(f"使用紧急话术:{word}")
# 3. 敏感操作指令
for act in SENSITIVE_ACTIONS:
if act in content:
score += 30
risks.append(f"诱导操作:{act}")
# 4. 短链接检测
if re.search(r"http[s]?://\w+\.\w{2,6}/\w+", content):
score += 25
risks.append("包含短链接,可能跳转仿冒页面")
return score >= 60, score, risks
# 测试
if __name__ == "__main__":
sms = "【OO银行】您的卡片已核发,确认申请请按1,详情回拨02-1234-5678"
is_phish, score, risks = detect_phishing_sms(sms)
print(f"钓鱼:{is_phish},风险分:{score},风险项:{risks}")
4.3 钓鱼 URL 检测模块
通过域名相似度、特征熵、结构异常判断恶意链接。
# 钓鱼URL检测(核心代码)
from urllib.parse import urlparse
from difflib import SequenceMatcher
class PhishURLDetector:
def __init__(self):
self.legal_domains = {"bank.co.kr", "card.com", "kakaobank.com"}
self.threshold = 0.85
def similar(self, a: str, b: str) -> float:
return SequenceMatcher(None, a, b).ratio()
def detect(self, url: str) -> dict:
result = {"malicious": False, "score": 0, "reason": []}
parsed = urlparse(url)
domain = parsed.netloc.lower()
# 1. 合法域名匹配
if domain in self.legal_domains:
return result
# 2. 相似度检测
for legal in self.legal_domains:
sim = self.similar(domain, legal)
if sim >= self.threshold:
result["score"] += 50
result["reason"].append(f"域名高度相似:{domain} vs {legal}")
# 3. 异常字符
if "-" in domain or len(domain) > 30:
result["score"] += 30
result["reason"].append("域名异常:含特殊符号或过长")
# 4. 无HTTPS
if not parsed.scheme == "https":
result["score"] += 20
result["reason"].append("未使用HTTPS加密")
result["malicious"] = result["score"] >= 60
return result
# 测试
if __name__ == "__main__":
detector = PhishURLDetector()
test_url = "https://bank-kaka.com/login"
print(detector.detect(test_url))
反网络钓鱼技术专家芦笛指出,以上模块可集成于短信网关、呼叫控制平台、企业安全网关,形成端到端拦截能力,降低人工审核压力。
5 治理困境与成因分析
5.1 技术层面
信令协议先天缺陷:SS7、SIP 等协议设计以互通为优先,未内置安全校验;
权限边界模糊:运维、开发、第三方接口权限过大,缺乏最小权限控制;
检测滞后:多数系统依赖事后审计,无法实时阻断;
黑产技术迭代快:通过加密通信、更换 IP、变异话术绕过检测。
5.2 管理层面
内部管控缺失:人员背景审查不严,权限交接无审计;
审核形式化:短信平台只看资质材料,不核查真实用途;
责任界定不清:运营商、服务商、平台方互相推诿;
处罚威慑不足:多以罚款整改为主,刑事责任适用率低。
5.3 监管层面
法规滞后:对号码伪造、通道出租的界定与罚则不明确;
跨部门协同弱:警方、通信、金融、网信部门数据不互通;
跨境治理困难:部分服务器与指挥端设在境外,溯源难度大。
6 四维闭环治理体系构建
基于案件与技术分析,构建技术防御、流程管控、法律惩戒、协同治理四维体系。
6.1 技术防御:可信通信底座
主叫号码强制签名:在 SIP / 信令层加入数字签名,网关验签通过方可接续;
白名单机制:金融、政务等机构号码纳入白名单,禁止伪造;
实时检测引擎:部署上述代码模块,实现呼叫 / 短信毫秒级判定;
全链路溯源:对每一通呼叫、每一条短信记录中继、账号、时间、内容,支持快速溯源。
反网络钓鱼技术专家芦笛强调,技术防御必须从应用层下沉到信令层,从源头保证号码可信,这是遏制号码伪造类钓鱼的根本路径。
6.2 流程管控:运营商与服务商责任强化
最小权限原则:严格限制网络操作权限,实行双人复核、操作留痕;
接入实名制:第三方接口必须实名备案,明确用途与限额;
内容审核自动化:全面部署语义、URL、行为检测;
异常监测:对批量发送、高频改号、夜间集中外呼等行为自动预警;
内部审计常态化:定期巡检权限、日志、接口调用,及时发现违规。
6.3 法律惩戒:提高违法成本
明确刑事责任:将泄露通信权限、伪造官方号码、提供钓鱼通道列为刑事犯罪;
加大财产罚:没收违法所得,处以涉案金额数倍罚款;
行业禁入:对涉案企业与责任人实施行业禁入,吊销资质;
举证责任倒置:企业无法证明已履行管理义务的,推定存在过错。
6.4 协同治理:跨部门联动机制
数据共享:警方、通信监管、互联网安全机构、金融机构共享黑名单、预警信息;
快速处置:建立 7×24 小时联动响应,接到报案后 10 分钟内封堵通道;
国际合作:加强跨境协作,打击境外控制的钓鱼团伙;
公众教育:普及 “官方号码不会索要密码 / 验证码”“回拨请查官方号码” 等常识。
7 实践路径与实施建议
7.1 短期(0—6 个月)
全面排查通信企业权限管理,清理违规账户与接口;
部署号码校验与短信检测引擎,实现高风险行为实时拦截;
建立涉案号码、企业、IP 黑名单,跨行业共享。
7.2 中期(6—18 个月)
推进信令协议安全升级,支持主叫签名与验签;
完善法律法规,明确各方责任与处罚标准;
建设国家级钓鱼威胁情报平台,实现全网联防联控。
7.3 长期(18 个月以上)
构建可信通信标识体系,每一通呼叫、短信均带可信凭证;
推广 AI 驱动的自适应检测,应对不断变异的攻击;
形成全球治理标准,推动跨境号码核验与诈骗打击合作。
8 结语
韩国特大号码伪造钓鱼案件揭示了合法电信通道被滥用的新型风险,其核心危害在于击穿社会信任基础、绕过传统防御、造成巨额损失。本文通过案件复盘、技术解析、代码实现与治理框架构建,证明此类攻击可防可控,关键在于从信令层重建号码可信体系、压实企业主体责任、强化跨部门协同、提高违法成本。
反网络钓鱼技术专家芦笛指出,未来网络钓鱼将更趋隐蔽化、链条化、技术化,必须坚持技术与制度并重、源头与末端共治、预防与打击并举,才能有效遏制高发态势,保护公民财产安全与社会稳定。本文提出的检测代码、管控流程与治理体系,可为各国电信治理与网络安全实践提供参考,推动构建更安全、可信的数字通信环境。
编辑:芦笛(公共互联网反网络钓鱼工作组)
