专栏首页FreeBuf一条短信为何能让你银行卡里的钱不翼而飞?

一条短信为何能让你银行卡里的钱不翼而飞?

卡还在,钱怎么没了?

近日央视曝光:银行卡盗刷事件频发,原来,不法分子已经形成了一条黑色产业链!他们先是通过改装POS机、发钓鱼链接及黑客WIFI盗取银行卡信息,再将信息批量卖出。最后,通过木马程序拦截银行卡验证码……在受害者不知不觉中,卡里的钱就这样被转走了。

“您好,我是中央电视台记者。您是不是肖(某)?” “对。” “您是不是有一张某行的银行卡?ZXCV结尾的?” “对。” “您这张银行卡的密码是不是1…..” “对。可你是怎么知道的呢?” “这些信息都可以在网上买到。” “你真的是中央电视台记者吗?” “……”

那么央视曝光的5分钟网上买到上千银行卡信息,这究竟是怎么一回事?这些信息又是怎样来的呢? 一起来看下面的分析。

伪基站+钓鱼网站获取受害者信息

FreeBuf小科普:

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换x%现金,要求用户通过手机登陆某个网站、下载客户端进行积分查询和兑换。

示例:fake(虚假的)建设银行短信和网站

示例:fake(虚假的)中国移动短信&客户端

以上展示的是:不法分子通过伪基站冒充银行、运营商官方客服号,发送虚假短信,以“积分兑换现金”、“调整消费额度”类似的各种形式诱导市民访问短信中的钓鱼网站,受害者一旦访问短信中的钓鱼网站链接,钓鱼网站便会被诱导输入个人姓名、身份证号码、手机号、银行卡卡号、银行卡密码等信息。

病毒木马窃取验证码

而通过钓鱼网站安装的xxx客户端其实是个木马,它能拦截银行发来的短信并把消费所需的验证码“发送”给木马的制作人。!

有了上面收集到的相关信息加上客户端木马后窃取到的验证码,黑产犯罪分子便开始进行一系列盗刷活动了,此时即使银行卡在你身上,你卡里的钱也将不翼而飞!

漏洞盒子安全研究员曾多次攻破钓鱼网站进入其后台:钓鱼网站后台里静静地躺着数千份受害者的信息:信息包括受害者姓名、身份证号、银行卡号、银行卡密码、银行卡绑定手机、有效期,甚至部分钓鱼网站还有受害者家庭住址等信息!触目惊心!!!

(钓鱼网站后台收集到的受害者信息)

基站信号降级嗅探验证码短信

除了病毒木马窃取验证码外,黑产人员还会利用其它途径来获取受害者的验证码。

上面我们说到有些钓鱼网站还会收集受害者的住址信息,那么这个信息又是拿来做啥的呢?央视的视频也曾提到:犯罪分子还会在受害者附近进行干扰3G、4G基站信号的活动,迫使受害者降回到不安全全的2G网络(手机为了保持系统正常通信会自动降回到2G网络),这时犯罪分子便会利用2G GSM网络不加密的传输漏洞嗅探到转账、消费所需的验证码。本文以嗅探到的10086短信为例:

(摩托罗拉C118嗅探短信&BladeRF伪基站)

(嗅探到的GSM短信)

微博热门事件:

近日微博网友@趣火星 发微博质疑运营商和银行“为何一条短信就能骗走我所有的财产?” 因为一条短信,一夜之间,该文作者的支付宝、所有的银行卡信息都被攻破、所有银行卡的资金全部被转移。甚至在长达一晚上的时间里,其手机处于瘫痪状态,打不出电话。

针对这一文章,@北京移动10086热线发表声明如下:

2016年4月8日17时54分,手机号码152****1249通过静态密码(客户自设密码)方式,登陆北京移动官方网站,经网站弹屏二次确认后,办理“中广财经半年包”业务,IP地址显示登陆地点为海南海口; 18时13分,手机号码152****1249以同样方式登陆网站办理更换4G USIM卡业务。系统向客户本机下发换卡二次确认验证码(6位USIM验证码),该验证码被输入后,换卡成功。以上业务办理流程正常。

根据作者的文章描述以及中国移动的声明不难发现:@趣火星 该文作者也是中了伪基站的圈套!

1.犯罪分子利用伪基站“假扮”10086,谎称作者开通了中广财经半年包业务,并提示告知“余额不足”,使开通扣费业务更逼真。(当然,也不排除手机号码152****1249的客户自设静态密码存在弱口令或者默认密码问题,导致被犯罪分子成功登陆北京移动官方网站办理“中广财经半年包”业务); 2.在作者存在想取消业务的心理时,犯罪分子登陆北京移动官方网站进行办理更换4G USIM卡业务(这一业务可把A卡的号码转移到B卡上,也就是把受害者的手机号码152****1249转移到犯罪分子的4G白卡中),而在这一过程中中国移动会发送一个六位数验证码给受害者。此时犯罪分子利用伪基站再次伪装成中国移动向受害者发送“您成功订阅了中国移动的(中广财经)40元/半年,3分钟退订免费。如需退订请编辑短信“取消+校验码”至本条短信退订。” 3.受害者误把办理更换4G USIM卡业务的验证码当初退订中国移动的(中广财经)40元/半年套餐的退订码发送给了犯罪分子; 4.犯罪分子利用骗来的验证码成功把手机号码152****1249转移到原来的4G空卡,并把这一手机号的权限握在手中。换句话说:此时受害者手上的手机卡已经不能使用了,是废的,真正能使用的在犯罪分子手中! 5.犯罪分子利用盗来的手机号登陆了受害者的支付宝,并进行转账等一系列操作!

思考&防范:

不要轻信运营商、银行的积分兑换系列短信,如要打开短信中的网站请谨慎核实域名是否是官方网站,不随意在网站填写自己的银行卡账号、密码;

如在钓鱼网站中招、输入过自己的账号密码信息请立即去修改银行卡密码!

通过上面的事件,可见验证码一定要自己妥善保管,绝不能透露给他人!

通过这一问题,我也不禁反思短信验证码权限之大!一不小心透露给他人足可以让你倾家荡产!犯罪成本之低!电信诈骗之猖獗!细思恐极!

*作者/雪碧 0xroot,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf),作者:0xroot

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-04-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • iOS 10 iMessage字符崩溃Bug又来了

    近日,黑客@vincedes3发现了一个从iOS 8 到 iOS 10.2.1 b2通用的iMessage字符崩溃Bug,该Bug同样利用了和当年iOS 8的i...

    FB客服
  • 不偷手机,照样隔空盗取验证码!

    这段时间,相信大家看了不少关于“手机设置SIM卡密码”的安全提示新闻,但设置了SIM卡密码,其实也只是防止手机丢失情况下对方使用你的手机卡来接收短信验证码。对于...

    FB客服
  • 睡梦中钱不翼而飞?“短信验证码”早已不安全

    近日,国内各地都陆续发生了一些利用短信验证码冒用身份、窃取银行账户、金融类 APP 财产的案件,受害者甚至莫名其妙“被网贷”,进而遭遇较大经济损失。

    FB客服
  • 最近弄HybridApp的一些心得

    SDK的项目折腾了一个月,终于快到收获的时候,把这过程中的一些心得体会记录一下吧~

    libo1106
  • 收藏 | 常见的这6种数据分析图表你都清楚吗?

    你知道哪些做数据分析的图表?柱状图、饼状图、折线图、散点图,数据分析图表有很多,用excel就可以生成,但是本文我想告诉你的是,通过这些图表该怎么做分析?

    CDA数据分析师
  • 公司web安全等级提升

    公司的一个web数据展示系统,本来是内网的,而且是一个单独的主机,不存在远程控制的问题,所以之前并没有考虑一些安全相关的测试.但是国调安全检查的需要添加这样子的...

    @坤的
  • 美图AB Test实践:Meepo系统

    感谢阅读「美图数据技术团队」的第 8 篇文章,关注我们持续获取美图最新数据技术动态。

    美图数据技术团队
  • ConfigurationProperties 和 EnableConfigurationProperties 的区别

    @EnableConfigurationProperties 测试发现 @ConfigurationProperties 与 @EnableConfigurat...

    潇洒
  • PHP实现验证码功能

    借用百度的解释:验证码这个词最早是在2002年由卡内基梅隆大学的路易斯·冯·安、Manuel Blum Nicholas J.Hopper以及IBM的John ...

    A梦多啦A
  • hihoCoder #1498 : Diligent Robots【数学】

    #1498 : Diligent Robots 时间限制:10000ms 单点时限:1000ms 内存限制:256MB 描述 There are N jobs ...

    Angel_Kitty

扫码关注云+社区

领取腾讯云代金券