一条短信为何能让你银行卡里的钱不翼而飞？

卡还在，钱怎么没了？

近日央视曝光：银行卡盗刷事件频发，原来，不法分子已经形成了一条黑色产业链！他们先是通过改装POS机、发钓鱼链接及黑客WIFI盗取银行卡信息，再将信息批量卖出。最后，通过木马程序拦截银行卡验证码……在受害者不知不觉中，卡里的钱就这样被转走了。

“您好，我是中央电视台记者。您是不是肖（某）？” “对。” “您是不是有一张某行的银行卡？ZXCV结尾的？” “对。” “您这张银行卡的密码是不是1…..” “对。可你是怎么知道的呢？” “这些信息都可以在网上买到。” “你真的是中央电视台记者吗？” “……”

那么央视曝光的5分钟网上买到上千银行卡信息，这究竟是怎么一回事？这些信息又是怎样来的呢？ 一起来看下面的分析。

伪基站+钓鱼网站获取受害者信息

FreeBuf小科普：

“伪基站”即假基站，设备一般由主机和笔记本电脑组成，通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商的基站，冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商（电信、移动 10086 、联通 10010）甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分，可兑换x%现金，要求用户通过手机登陆某个网站、下载客户端进行积分查询和兑换。

示例：fake(虚假的)建设银行短信和网站

示例：fake（虚假的）中国移动短信&客户端

以上展示的是：不法分子通过伪基站冒充银行、运营商官方客服号，发送虚假短信，以“积分兑换现金”、“调整消费额度”类似的各种形式诱导市民访问短信中的钓鱼网站，受害者一旦访问短信中的钓鱼网站链接，钓鱼网站便会被诱导输入个人姓名、身份证号码、手机号、银行卡卡号、银行卡密码等信息。

病毒木马窃取验证码

而通过钓鱼网站安装的xxx客户端其实是个木马，它能拦截银行发来的短信并把消费所需的验证码“发送”给木马的制作人。！

有了上面收集到的相关信息加上客户端木马后窃取到的验证码，黑产犯罪分子便开始进行一系列盗刷活动了，此时即使银行卡在你身上，你卡里的钱也将不翼而飞！

漏洞盒子安全研究员曾多次攻破钓鱼网站进入其后台：钓鱼网站后台里静静地躺着数千份受害者的信息：信息包括受害者姓名、身份证号、银行卡号、银行卡密码、银行卡绑定手机、有效期，甚至部分钓鱼网站还有受害者家庭住址等信息！触目惊心！！！

（钓鱼网站后台收集到的受害者信息）

基站信号降级嗅探验证码短信

除了病毒木马窃取验证码外，黑产人员还会利用其它途径来获取受害者的验证码。

上面我们说到有些钓鱼网站还会收集受害者的住址信息，那么这个信息又是拿来做啥的呢？央视的视频也曾提到：犯罪分子还会在受害者附近进行干扰3G、4G基站信号的活动，迫使受害者降回到不安全全的2G网络（手机为了保持系统正常通信会自动降回到2G网络），这时犯罪分子便会利用2G GSM网络不加密的传输漏洞嗅探到转账、消费所需的验证码。本文以嗅探到的10086短信为例：

（摩托罗拉C118嗅探短信&BladeRF伪基站）

（嗅探到的GSM短信）

微博热门事件：

近日微博网友@趣火星 发微博质疑运营商和银行“为何一条短信就能骗走我所有的财产？” 因为一条短信，一夜之间，该文作者的支付宝、所有的银行卡信息都被攻破、所有银行卡的资金全部被转移。甚至在长达一晚上的时间里，其手机处于瘫痪状态，打不出电话。

针对这一文章，@北京移动10086热线发表声明如下：

2016年4月8日17时54分，手机号码152****1249通过静态密码（客户自设密码）方式，登陆北京移动官方网站，经网站弹屏二次确认后，办理“中广财经半年包”业务，IP地址显示登陆地点为海南海口； 18时13分，手机号码152****1249以同样方式登陆网站办理更换4G USIM卡业务。系统向客户本机下发换卡二次确认验证码（6位USIM验证码），该验证码被输入后，换卡成功。以上业务办理流程正常。

根据作者的文章描述以及中国移动的声明不难发现：@趣火星 该文作者也是中了伪基站的圈套！

1.犯罪分子利用伪基站“假扮”10086，谎称作者开通了中广财经半年包业务，并提示告知“余额不足”，使开通扣费业务更逼真。（当然，也不排除手机号码152****1249的客户自设静态密码存在弱口令或者默认密码问题，导致被犯罪分子成功登陆北京移动官方网站办理“中广财经半年包”业务）； 2.在作者存在想取消业务的心理时，犯罪分子登陆北京移动官方网站进行办理更换4G USIM卡业务（这一业务可把A卡的号码转移到B卡上，也就是把受害者的手机号码152****1249转移到犯罪分子的4G白卡中），而在这一过程中中国移动会发送一个六位数验证码给受害者。此时犯罪分子利用伪基站再次伪装成中国移动向受害者发送“您成功订阅了中国移动的（中广财经）40元/半年，3分钟退订免费。如需退订请编辑短信“取消+校验码”至本条短信退订。” 3.受害者误把办理更换4G USIM卡业务的验证码当初退订中国移动的（中广财经）40元/半年套餐的退订码发送给了犯罪分子； 4.犯罪分子利用骗来的验证码成功把手机号码152****1249转移到原来的4G空卡，并把这一手机号的权限握在手中。换句话说：此时受害者手上的手机卡已经不能使用了，是废的，真正能使用的在犯罪分子手中！ 5.犯罪分子利用盗来的手机号登陆了受害者的支付宝，并进行转账等一系列操作！

思考&防范：

不要轻信运营商、银行的积分兑换系列短信，如要打开短信中的网站请谨慎核实域名是否是官方网站，不随意在网站填写自己的银行卡账号、密码；

如在钓鱼网站中招、输入过自己的账号密码信息请立即去修改银行卡密码！

通过上面的事件，可见验证码一定要自己妥善保管，绝不能透露给他人！

通过这一问题，我也不禁反思短信验证码权限之大！一不小心透露给他人足可以让你倾家荡产！犯罪成本之低！电信诈骗之猖獗！细思恐极！

*作者/雪碧 0xroot，转载须注明来自FreeBuf黑客与极客（FreeBuf.COM）