94個SIM農場潛入歐美：電信欺詐的"基礎設施即服務"

一家白俄羅斯公司如何在全球17個國家搭建起94個SIM農場，讓詐騙分子能偽裝成本地用戶撥打你的電話——這背后是一套完整的"欺詐基礎設施即服務"商業模式。

導讀

94個部署點、24家商業供應商、35家運營商接入。這組數字來自英國網絡安全公司Infrawatch的最新研究，揭露了一個此前未被報道的跨國SIM農場網絡。更值得警惕的是：這不是技術漏洞，而是被精心設計的商業服務——詐騙分子現在可以像租用云服務器一樣，租用真實的本地電話號碼。

發現：從白俄羅斯到全球的SIM供應鏈

Infrawatch的研究指向一家名為ProxySmart的白俄羅斯供應商。這家公司運營著一套軟件系統，將分布在全球的物理SIM硬件連接起來，形成可遠程操控的龐大網絡。

這種架構的核心價值在于"地理欺騙"。詐騙分子無需身處目標國家，就能通過ProxySmart的平臺接入當地運營商網絡，顯示本地號碼發起呼叫或短信。對于依賴號碼歸屬地判斷可信度的普通用戶和風控系統來說，這種偽裝極具殺傷力。

研究團隊識別的94個SIM農場部署點橫跨17個國家，由24家商業供應商提供網絡接入支持。這些供應商本身可能是合法的電信轉售商或物聯網服務商，但其基礎設施被整合進了這套欺詐體系。

運營商層面的滲透同樣深入。ProxySmart的網絡接入了35家蜂窩運營商，包括英國主流運營商Three、O2、EE和沃達豐。美國市場的覆蓋更為分散——19個州設有基礎設施節點，讓攻擊者能夠模擬美國國內用戶的通信行為。

技術拆解：SIM農場如何成為"服務"

SIM農場（SIM農場）的物理形態并不復雜：成排的SIM卡槽或改裝移動設備，通過軟件實現集中管控。但ProxySmart的創新在于將其產品化、服務化。

傳統SIM農場需要詐騙團伙自行采購硬件、協商運營商合作、維護物理站點。而ProxySmart的模式是"農場即服務"——客戶只需遠程登錄平臺，按需調用特定國家的號碼資源。硬件維護、運營商關系、信號穩定性都由ProxySmart及其下游供應商解決。

這種分工帶來了規模效應。單個詐騙團伙難以在19個美國州同時部署硬件，但通過ProxySmart的服務，可以按小時或按通話量購買"美國本地身份"。Infrawatch的發現顯示，這種基礎設施的復用程度遠超以往案例：同一套硬件資源被多個客戶共享，通過軟件調度實現利用率最大化。

更隱蔽的是流量清洗機制。由于呼叫和短信確實來自真實運營商網絡，且顯示合法分配的號碼，傳統的黑名單攔截和異常行為檢測很難在第一時間識別。只有當特定號碼被大量投訴后，運營商才會將其停用——而ProxySmart的池化資源可以快速切換新號碼。

商業邏輯：電信欺詐的"云化"轉型

ProxySmart的商業模式揭示了網絡犯罪的一個重要趨勢：基礎設施層與執行層的分離。

在傳統的電話詐騙中，團伙需要同時具備技術能力（搭建SIM農場）、商務能力（獲取SIM卡和運營商接入）和詐騙能力（話術設計、資金轉移）。這種全棧模式限制了擴張速度，也增加了單點暴露的風險。

ProxySmart提供的是純粹的中間層服務：不直接參與詐騙執行，只出售"可信身份"的訪問權限。這種定位使其客戶群大幅擴展——從專業詐騙團伙到小型網絡犯罪分子，甚至可能是合法企業用于灰色營銷（如繞過平臺審核的批量注冊）。

24家商業供應商的存在說明，ProxySmart并非通過黑客手段竊取運營商資源，而是利用了電信行業的批發轉售體系。物聯網（物聯網）業務的爆發式增長為此提供了掩護：大量企業客戶需要批量SIM卡用于設備聯網，運營商和轉售商難以逐一審核最終用途。

這種"合法外殼"是服務可持續的關鍵。ProxySmart可以聲稱自己只是提供遠程設備管理工具，對下游用途不知情——類似于云服務廠商對托管內容的免責邏輯。但Infrawatch的研究表明，其基礎設施規模和接入方式明顯超出了正常企業用途的范疇。

歐美運營商的暴露面

英國和美國運營商在此次發現中占據突出位置，這反映了特定市場的吸引力。

英國四大運營商全部出現在接入名單中，說明ProxySmart在英國的滲透是系統性的而非零星試探。英國市場的價值在于：英語環境便于跨國詐騙團伙操作，金融監管嚴格使得"銀行來電"類話術更具可信度，且號碼格式國際識別度高。

美國的19州分布則體現了"本地化深度"策略。不同于在英國集中接入頭部運營商，ProxySmart在美國采用了更分散的基礎設施布局。這可能與美國的運營商市場結構有關：區域運營商和移動虛擬網絡運營商（移動虛擬網絡運營商）眾多，批發接入渠道更為復雜，但也更容易找到審核寬松的節點。

對于詐騙分子而言，美國州級定位能力具有特殊價值。許多金融機構的風控規則會參考來電歸屬州與用戶注冊地址的一致性，州級偽裝可以繞過這類校驗。此外，美國內部跨州通信的"本地感"更強，用戶對陌生號碼的警惕性低于國際來電。

運營商面臨的困境在于：批發業務是合法收入，物聯網連接是戰略增長點，但審核成本與業務規模之間存在結構性矛盾。ProxySmart的網絡正是利用了這種商業現實的縫隙。

檢測與對抗的困境

Infrawatch的研究方法本身值得關注——這類SIM農場網絡的發現難度極高。

ProxySmart的基礎設施沒有統一的品牌標識，硬件分散在不同國家的托管機房或住宅地址，網絡流量通過加密隧道匯聚。傳統的威脅情報收集（如監控暗網論壇、追蹤惡意軟件）很難直接定位到物理SIM層。

研究團隊可能采用了"供應鏈逆向"策略：從已識別的欺詐號碼出發，追溯其運營商分配路徑，再交叉比對批發客戶的接入模式，最終定位到共享同一管理后臺的硬件集群。這種調查需要運營商層面的配合，而多數運營商缺乏動力公開承認被濫用。

對抗措施的局限性同樣明顯。封鎖ProxySmart的域名或IP地址效果有限，其控制面板可以遷移；要求運營商加強批發客戶審核會推高合規成本，且"正常"的物聯網客戶與"異常"的SIM農場在表面數據上難以區分；國際執法協調則面臨管轄權和證據標準的障礙。

一個潛在的突破口是硬件指紋。SIM農場使用的調制解調器、路由設備往往具有可識別的信號特征，運營商可以在網絡側部署異常檢測。但這種技術對抗會演變為持續的軍備競賽：ProxySmart可以更換設備固件，模擬正常手機的信號行為。

行業啟示：當"可信身份"成為商品

ProxySmart案例的核心警示在于：電信網絡的身份信任機制正在被系統性商品化。

手機號碼長期以來是數字身份的重要錨點——二次驗證、賬戶找回、信用評估都依賴其"難以批量獲取"的假設。但SIM農場服務將這一假設徹底打破：現在可以按通話分鐘數購買"可信手機號"，且這些號碼來自真實運營商、真實基站、真實計費系統。

這種攻擊的隱蔽性在于，它不破壞任何技術協議，只是濫用正常的商業流程。呼叫確實是用戶發起的，號碼確實是運營商分配的，信號確實是基站傳輸的。唯一虛假的是"使用者的真實意圖"——而這是網絡層無法直接觀測的。

對于依賴電話號碼的風控體系，這意味著底層信任模型的失效。金融機構、互聯網平臺、政務服務系統都需要重新評估：一個能夠接收短信驗證碼的號碼，是否還足以證明"真人+本地"的雙重屬性？

更深遠的影響在于犯罪經濟學的改變。ProxySmart模式降低了電信欺詐的準入門檻，將固定成本轉化為可變成本。小型詐騙團伙不再需要前期投入硬件和運營商關系，可以像測試廣告創意一樣快速試錯不同的話術和號碼組合。這種"敏捷欺詐"將加速攻擊手法的迭代速度。

實用指向：識別與應對

對于直接面對詐騙風險的普通用戶和企業，ProxySmart網絡的存在意味著需要調整防御假設。

個人層面：本地號碼不再等同于可信來源。接到顯示為英國或美國本地號碼的來電時，仍需獨立核實對方身份——銀行、政府機構不會僅因號碼歸屬地而更具可信度。對短信驗證碼的依賴需要配合其他驗證因子，尤其是涉及資金操作時。

企業風控層面：需要升級號碼信譽評估的維度。單一號碼的運營商歸屬、注冊時長、通話模式等靜態指標已不足夠，應引入跨客戶的行為關聯分析——ProxySmart的共享基礎設施意味著不同"用戶"的號碼可能暴露相似的控制時序或信號指紋。

行業協作層面：此類網絡的識別依賴運營商、安全廠商、執法機構的共享數據。Infrawatch的研究展示了第三方安全公司可以扮演的角色，但規模化響應需要更結構化的信息交換機制，尤其是在批發業務審核標準和異常接入模式識別方面。

ProxySmart網絡的價值不在于技術新奇，而在于其商業設計的精巧——它將電信欺詐的基礎設施層標準化、服務化，從而實現了犯罪規模的指數級擴展。這種"創新"本身，正是數字安全領域需要持續追蹤和理解的對手進化方向。