伪基站与网络钓鱼的结合利用测试及结果分析

1.FreeBuf科普

“伪基站”即假基站，设备一般由主机和笔记本电脑组成，通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商的基站，冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

整体思路基本如下:

1.1 伪基站运营模式

基站概念可能很多人感觉如图这么醒目,壮观。

伪基站运营方式,其实没有这么大,但是功能是一样的而且小巧便捷。基本讲一辆车行驶低于60KKM就可以做到沿途推送短信了。也就是广告推送,当然这个消息当然又我们自己定制如图

基于linux 系统,GUI界面纯傻瓜玩法~~~~~。而且如图可见，自定义伪装任意号码。这样就实现我们第一步，伪装号码增加可行度。

2.短网址的利用

互联网时代随处就能见到短网址，短网址主要功能相对于长网址，短网址可以更方便地在电子邮件、社交网络、微博和手机上传播，例如原来很长的网址通过短网址即可生成相应的短网址，避免折行或超出字符限制。特别是在微博时代，短的网址使你能够发表很多内容。当然同时也可以用于来躲避用于记黑名单网址检测。如图所见，短网址生成随处可见。

这样我们就实现第二步，躲过常规钓鱼防护检测。通过手机进入一般用户是不会去察觉浏览网页是否真正是官方网站了。因为前面的铺垫，在加上诱人宣称能兑换人民币之类活动诱导用户一步步走向深渊陷阱。就基本相信这个是一个能给自己带来一点小利网站。更何况划不来自己多少时间。

3.什么是钓鱼网站

钓鱼网站通常指伪装成银行及电子商务，窃取用户提交的银行帐号、密码等私密信息的网站， “钓鱼”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。钓鱼网站的页面与真实网站界面完全一致，要求访问者提交账号和密码。一般来说钓鱼网站结构很简单，只有一个或几个页面，URL和真实网站有细微差别。如图，根据一般人手机上网都不太在意网站URL地址，在加上很多浏览器没有加入反钓鱼机制，就没有像PC端那种出现任何有相关提示。

上图为两个不同浏览器访问，但是甚至是这样还是会有人中招。人性欲望——占有欲，贪图小便宜的人在心理上都有较强烈的占有欲望, 这种占有欲望在每得到一次小便宜的时候便会产生相应的满足感。

4.“钓鱼攻击”中的心理效应

大多钓鱼攻击无论是针对性或非针对性都是利用所谓“暗示效应”，即是用含蓄的、间接的方式对别人的心理和行为施加影响，从而使被暗示者不自觉地按照暗示者的意愿行动，此称之为“暗示效应”。在传送受害人进入钓鱼网站时，通过诱导受害人进入积分兑换既可获取现金活动，来催生受害人的占有欲。

然后一步步进入网站首先登陆。填写相关信息，这里信息还真不能乱填，因为他会鉴别相关位数。比如银行卡、手机号、身份证，弄到跟真的一样。这里运用受害人的联想效应又称逻辑误推效应，是指联想是由一事物想到另一事物的心理过程。填写表单过程就很容易让人联想到填写比较官方表格之类，让受害人更加详细这个活动就是真的。

然后填写完相关信息后进入了，下载客户端激活环节。

然后安装所谓营业厅客户端，就安静等待着所谓现金入账了。

5.对木马苞丁解牛

通过测试客户端完全具备一般木马特性，安装之后不显示图标，同时后台运行——>拦截相关短信并且转发这个号码——>听取下一步指令。

不过咱们通过可以从反编译得到相关信息。这里就不多说APK反编译，因为毕竟很easy而且基本没神马难度技术都是公开就不抄冷饭了。这里我也就不隐患了。

客户端APK文件申请权限一览

android.permission.SEND_SMS 发短信

android.permission.RECEIVE_SMS 接短信

android.permission.READ_SMS 读取短信/彩信

android.permission.WRITE_SMS 编辑短信

android.permission.READ_PHONE_STATE 读取手机状态和身份

android.permission.PROCESS_OUTGOING_CALLS 拦截外拨号码

android.permission.CALL_PHONE 直接拨打号码

android.permission.WRITE_CONTACTS 写入联系人数据

android.permission.READ_CONTACTS 读取联系人数据

然后通过相关分析获取，大致过程是这样。对咯，这里还有一个会回传相关信息显示你安装之后，有没有正确打开它。

然后分析对方手机有没有联系人和短信，手机信息然后方便进行下一波病毒式传播。当然，这里只是从代码分析有大致过程，如有错误请指出。

6.对钓鱼网站渗透

由于网站设计粗糙导致造成可以未授权访问（通过访问：admin/admin_manage.asp），直接获取管理员密码。进入后台直接看到有很多受害人填写相关信息和密码。

利用获取到管理员账号进行登录后台，发现还是有很多人在上当受骗。

通过调查发现貌似很多站点都通用系统，那么就说明一个问题，就是已经形成一整套产业链，一条龙服务。搭建钓鱼站，域名，手机APP，控制和收集手机信息。从伪基站发信息到取钱完成基本一条龙，用户最后被取走钱都不知道怎么回事。这种钓鱼方法从去年开始在地下市场悄无声息的火了起来，全国各种案例也很多，隐因此被骗的客户新闻也上过很多次。火车站，机场，汽车站，小区，医院等人流量密集的地方经常能收到。不止10086 也有10010 95559等各种银行信用卡积分兑换等钓鱼信息。这也算是2G留下的后遗症吧...

那就有人会问升级到3G/4G用户,为什么还会是不是受到类似这种短信呢？我只能说因为当4G信号不足时会使用到2G网络，你说能不中招么？

7.关于此钓鱼最新进展

通过对于whois查询发现,注册人邮箱.

一般进行非针对性钓鱼攻击,都会建立很多个钓鱼站群来收集用户信息,即使部分域名被加入反钓鱼机制黑名单不影响新注册其他域名,所以可以通过域名反查就能查询到更多站点。

没有继续关注下去，因为我不是相关机构；也不是网监部门就这样。

钓鱼攻击防御总结归于三点。为什么会是你？你为什会让你输敏感信息？他们是真的？

作者/legendsec，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）