专栏首页FreeBuf伪基站与网络钓鱼的结合利用测试及结果分析

伪基站与网络钓鱼的结合利用测试及结果分析

1.FreeBuf科普

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

整体思路基本如下:

1.1 伪基站运营模式

基站概念可能很多人感觉如图这么醒目,壮观。

伪基站运营方式,其实没有这么大,但是功能是一样的而且小巧便捷。基本讲一辆车行驶低于60KKM就可以做到沿途推送短信了。也就是广告推送,当然这个消息当然又我们自己定制如图

基于linux 系统,GUI界面纯傻瓜玩法~~~~~。而且如图可见,自定义伪装任意号码。这样就实现我们第一步,伪装号码增加可行度。

2.短网址的利用

互联网时代随处就能见到短网址,短网址主要功能相对于长网址,短网址可以更方便地在电子邮件、社交网络、微博和手机上传播,例如原来很长的网址通过短网址即可生成相应的短网址,避免折行或超出字符限制。特别是在微博时代,短的网址使你能够发表很多内容。当然同时也可以用于来躲避用于记黑名单网址检测。如图所见,短网址生成随处可见。

这样我们就实现第二步,躲过常规钓鱼防护检测。通过手机进入一般用户是不会去察觉浏览网页是否真正是官方网站了。因为前面的铺垫,在加上诱人宣称能兑换人民币之类活动诱导用户一步步走向深渊陷阱。就基本相信这个是一个能给自己带来一点小利网站。更何况划不来自己多少时间。

3.什么是钓鱼网站

钓鱼网站通常指伪装成银行及电子商务,窃取用户提交的银行帐号、密码等私密信息的网站, “钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。如图,根据一般人手机上网都不太在意网站URL地址,在加上很多浏览器没有加入反钓鱼机制,就没有像PC端那种出现任何有相关提示。

上图为两个不同浏览器访问,但是甚至是这样还是会有人中招。人性欲望——占有欲,贪图小便宜的人在心理上都有较强烈的占有欲望, 这种占有欲望在每得到一次小便宜的时候便会产生相应的满足感。

4.“钓鱼攻击”中的心理效应

大多钓鱼攻击无论是针对性或非针对性都是利用所谓“暗示效应”,即是用含蓄的、间接的方式对别人的心理和行为施加影响,从而使被暗示者不自觉地按照暗示者的意愿行动,此称之为“暗示效应”。在传送受害人进入钓鱼网站时,通过诱导受害人进入积分兑换既可获取现金活动,来催生受害人的占有欲。

然后一步步进入网站首先登陆。填写相关信息,这里信息还真不能乱填,因为他会鉴别相关位数。比如银行卡、手机号、身份证,弄到跟真的一样。这里运用受害人的联想效应又称逻辑误推效应,是指联想是由一事物想到另一事物的心理过程。填写表单过程就很容易让人联想到填写比较官方表格之类,让受害人更加详细这个活动就是真的。

然后填写完相关信息后进入了,下载客户端激活环节。

然后安装所谓营业厅客户端,就安静等待着所谓现金入账了。

5.对木马苞丁解牛

通过测试客户端完全具备一般木马特性,安装之后不显示图标,同时后台运行——>拦截相关短信并且转发这个号码——>听取下一步指令。

不过咱们通过可以从反编译得到相关信息。这里就不多说APK反编译,因为毕竟很easy而且基本没神马难度技术都是公开就不抄冷饭了。这里我也就不隐患了。

客户端APK文件申请权限一览

android.permission.SEND_SMS 发短信

android.permission.RECEIVE_SMS 接短信

android.permission.READ_SMS 读取短信/彩信

android.permission.WRITE_SMS 编辑短信

android.permission.READ_PHONE_STATE 读取手机状态和身份

android.permission.PROCESS_OUTGOING_CALLS 拦截外拨号码

android.permission.CALL_PHONE 直接拨打号码

android.permission.WRITE_CONTACTS 写入联系人数据

android.permission.READ_CONTACTS 读取联系人数据

然后通过相关分析获取,大致过程是这样。对咯,这里还有一个会回传相关信息显示你安装之后,有没有正确打开它。

然后分析对方手机有没有联系人和短信,手机信息然后方便进行下一波病毒式传播。当然,这里只是从代码分析有大致过程,如有错误请指出。

6.对钓鱼网站渗透

由于网站设计粗糙导致造成可以未授权访问(通过访问:admin/admin_manage.asp),直接获取管理员密码。进入后台直接看到有很多受害人填写相关信息和密码。

利用获取到管理员账号进行登录后台,发现还是有很多人在上当受骗。

通过调查发现貌似很多站点都通用系统,那么就说明一个问题,就是已经形成一整套产业链,一条龙服务。搭建钓鱼站,域名,手机APP,控制和收集手机信息。从伪基站发信息到取钱完成基本一条龙,用户最后被取走钱都不知道怎么回事。这种钓鱼方法从去年开始在地下市场悄无声息的火了起来,全国各种案例也很多,隐因此被骗的客户新闻也上过很多次。火车站,机场,汽车站,小区,医院等人流量密集的地方经常能收到。不止10086 也有10010 95559等各种银行信用卡积分兑换等钓鱼信息。这也算是2G留下的后遗症吧...

那就有人会问升级到3G/4G用户,为什么还会是不是受到类似这种短信呢?我只能说因为当4G信号不足时会使用到2G网络,你说能不中招么?

7.关于此钓鱼最新进展

通过对于whois查询发现,注册人邮箱.

一般进行非针对性钓鱼攻击,都会建立很多个钓鱼站群来收集用户信息,即使部分域名被加入反钓鱼机制黑名单不影响新注册其他域名,所以可以通过域名反查就能查询到更多站点。

没有继续关注下去,因为我不是相关机构;也不是网监部门就这样。

钓鱼攻击防御总结归于三点。为什么会是你?你为什会让你输敏感信息?他们是真的?

作者/legendsec,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-04-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 中国互联网协会发布:《2018中国互联网发展报告》

    在2018中国互联网大会闭幕论坛上,中国互联网协会正式发布《中国互联网发展报告2018》(以下简称《报告》)。《中国互联网发展报告》是由中国互联网协会与中国互联...

    钱塘数据
  • 【系统设置】CentOS 修改机器名

    ken.io
  • 考研英语-1-导学

    英二图表作文要重视。总体而言,英语一会比英语二难点。不过就写作而言,英语二会比英语一有难度,毕竟图表作文并不好写。

    用户1335799
  • 知识体系解决迷茫的你

    最近在星球里群里都有小伙伴说道自己对未来的路比较迷茫,一旦闲下来就不知道自己改干啥,今天我这篇文章就是让你觉得一天给你 25 个小时你都不够用,觉得睡觉都是浪费...

    桃翁
  • 复杂业务下向Mysql导入30万条数据代码优化的踩坑记录

    从毕业到现在第一次接触到超过30万条数据导入MySQL的场景(有点low),就是在顺丰公司接入我司EMM产品时需要将AD中的员工数据导入MySQL中,因此楼主负...

    haifeiWu
  • 【倒计时7天】2018教育部-腾讯公司产学合作协同育人项目申请即将截止!

    腾讯高校合作
  • ISUX Xcube智能一键生成H5

    腾讯ISUX
  • 理工男图解零维到十维空间,烧脑已过度,受不了啦!

    让我们从一个点开始,和我们几何意义上的点一样,它没有大小、没有维度。它只是被想象出来的、作为标志一个位置的点。它什么也没有,空间、时间通通不存在,这就是零维度。

    钱塘数据
  • SQL中GROUP BY用法示例

    GROUP BY我们可以先从字面上来理解,GROUP表示分组,BY后面写字段名,就表示根据哪个字段进行分组,如果有用Excel比较多的话,GROUP BY比较类...

    Awesome_Tang
  • 不只是软件,在线也可以免费下载百度文库了。

    不管是学生,还是职场员工,下载各种文档几乎是不可避免的,各种XXX.docx,XXX.pptx更是家常便饭,人们最常用的就是百度文库,豆丁文库,道客巴巴这些下载...

    课代表

扫码关注云+社区

领取腾讯云代金券