「盘点2018年最热门骗局之一」毫不知情的情况下,关联的银行卡被盗刷
刚刚过去的2018年,豆瓣网友“独钓寒江雪”的文章《这下一无所有了》刷爆整个网络,她以切身经历讲述了自己在毫不知情的情况下,支付宝、京东及关联银行卡被盗刷的全过程,引发全国网民关注,诸多媒体也对这种“短信嗅探+中间人攻击”的手法进行了解读。深圳龙岗警方对该案高度重视,抽调精兵强将此类新型案件进行串并研判,在一周内抓获了数名犯罪嫌疑人,并缴获了作案设备。
我们的资金真的不安全了吗?到底要不要如此恐慌?如何才能有效防范?
终结诈骗的这篇文章全程还原犯罪嫌疑人的作案手法,以便寻求最科学的防范手法,同时也督促相关企业立即封堵漏洞。
2018年8月8日一大早,终结诈骗团队在得到龙岗警方允许后,联合腾讯守护者计划安全团队赶赴此次专案的主办单位之一——深圳市公安局龙岗分局龙新派出所。
刚到了派出所,我们就惊奇地看到,龙岗分局的一个派出所竟然也成立了反诈骗中心,而且有数名专职工作人员负责反诈骗宣传与打击工作,所里的一台车也专门改造成为反诈骗宣传车。
右边是一辆福特中巴改造的反诈骗宣传车
此时,专案组民警刚刚完成一夜的审讯工作,也正准备开展犯罪证据固定和侦查试验,我们便一起行动,把其中一名嫌疑人所用的设备从作案车辆上搬了下来。很明显,这是一台车载嗅探攻击设备。
全部车载嗅探攻击设备
设备凌乱无章,竟然还有一个“美团外卖”的箱子!不过从图中可以看出,设备里有移动电源、插座、电脑、手机以及另外两个不知道是什么玩意的东西。由于要还原整个犯罪过程,我们小心翼翼地把设备搬到一间会议室。并把使用该设备的小A“请”了出来。小A三下五除二就安装好了全部设备。
办案民警做了一番思想工作后,小A决定配合我们还原盗刷步骤,并决定把他所知晓的所有网站、APP的漏洞告知我们,让我们转达给广大网友,一定更要加强防范。
由于现在很多网站采取“手机号+验证码”的认证方式,在支付场景下,最多也就会认证姓名、身份证号、银行卡号。因此,要想实现盗刷,需要知道一个人的手机号、姓名、身份证号、银行卡号、验证码就足够了。小A是怎么做的呢?
第一步:用伪基站捕获手机号当受害人的手机处于2G状态下,就很容易被不法分子捕获手机号。
小A拿出了那个美团外卖的箱子,原来这就是他购置的中间人攻击设备,为了能够放到车里,他精心做了改装,用外卖箱子作掩护。
为了演示整个过程,小A让一个民警把手机从4G切换到2G,充当受害者手机。他启动了这套设备。
为了演示整个过程,小A让一个民警把手机从4G切换到2G,充当受害者手机。他启动了这套设备后,不到30秒,小A手中的手机就接到了一个电话,大家一看,这个电话号码就是民警自己的手机号码。但神奇的是,民警的电话表面看并没有任何操作,实际上,小A就已经知道受害者的电话号码了。
第二步:短信嗅探光知道手机号码其实没太大用,因为很多网站至少需要知道验证码才可以登录。这个时候,短信嗅探设备就要发挥很大作用了。一部电脑+一部最老款的诺基亚手机+一台嗅探信道机就可以组装好了。
小A启动电脑及相关软件后,先用手中的那台老款诺基亚手机寻找频点,小A告诉我们,寻找频点最关键的一点是对方的手机不能移动(这个也是重点,请也先牢记)。
前期准备工作做完后,神奇的一幕发生了,小A的电脑上很快就出现了几十条短信并且在不断增加,而且都是实时的。也就是说,这台短信嗅探设备启动后,能嗅探到附近(大约一个基站范围内)所有2G信号下手机收到的短信。
从短信中可以看出,有办理税务业务时收到的二维码,有银行发来的余额变动通知,有的短信内容中还完整展示了银行卡的账号。
也就是说,通过这台短信嗅探设备,小A们是可以实时掌握我们手机接受到的短信内容的,当然,有个很重要的前提是,这台手机必须开机能正常接收到短信,而且必须要在2G信号下,而且要保持静止状态。
第三步:社工其他信息所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。
其实通过前两步,小A登录一些防范能力较低的网站(一般只需要手机号+验证码)绰绰有余。但是他们的目的并不仅限于成功登陆,而是要盗刷你名下的钱。所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息,他需要社工手段来确定这些信息。
小A在现场演示社工手段,请忽略他手腕上的“银手镯”
小A现场演示了他掌握的一些社工 手段,让所有在场的民警、安全专家目瞪口呆。因为他所利用的都是一些著名公司企业的常用网站、工具,但是这些网站、工具在设计过程中都存在一些能被利用的漏洞。
具体的办法就不方便透露了。但是,要提醒以有关单位,你们真的要重视系统漏洞。
而据小A交待,他们这个圈内每个人都掌握一些办法,有漏洞的很多。
第四步:实现盗刷小A经过前面几步的工作,已经掌握了一个人的姓名、身份证号、银行卡号、手机号,并能实时监测到验证码。这个时候,他就可以去盗刷了。因为很多网站在设计的时候,只需要输入这些就可以完成支付。甚至可以通过这些内容来更改登录、支付密码。
但还是请大家不要恐慌,很多知名网站、APP的风控做得还是比较好的,一般在识别异常后可以及时发现并拦截,为用户减少损失。我们可以从网友“独钓寒江雪”的支付宝操作过程,来清晰看到嫌疑人的动作和风控措施的启动情况。
1.嫌疑人1时42分通过“姓名+短信验证码”的方式就登录了支付宝账号。这个过程只需要用伪基站和嗅探设备就可以实现。2.嫌疑人1时45分和1时48分通过社工到的信息对登录密码和支付密码进行了修改,并且绑定了银行卡(是的,哪怕你以前没有绑定该银行卡,他们也是可以给你绑定上的)3.1时50分-2时12分别通过输入支付密码的方式进行网上购物932元,并提现7578元。4.3时21分,嫌疑人想通过提现到银行卡上的钱进行购物,支付宝风控措施启动,要求人脸校验,没有通过后校验嫌疑人便放弃。此时,在支付宝上的消费也就是932元。
当然,支付宝的安全等级算是高的,从小A的交待中,我们还发现了许多网站的风控措施不严格,很容易被利用,比如每天最高限额定得过高(某知名银行每天限额达到5000元),比如更换设备登录、频繁登录没有人脸或密码校验等手段,再比如可以在网站上进行小额贷款等操作。
从上面的介绍可以看出,嫌疑人要实现盗刷需要很多条件:
第一,受害者手机要开机并且处于2G制式下;
第二,手机号必须是中国移动和中国联通,因为者两家的2G是GSM制式,传送短信是明文方式,可以被嗅探;
第三,手机要保持静止状态,这也是嫌疑人选择后半夜作案的原因。
第四,受害者的各类信息刚好能被社工手段确定;
第五,各大网站、APP的漏洞依然存在。
要满足以上所有条件,需要极大的运气。
据小A讲,他一个晚上虽然能嗅探到很多短信、捕获到很多号码,但最后能盗刷成功的少之又少,而且因为很多公司的风控很严,盗刷的金额也都比较小。因此,我们要辩证、完整地看待这类犯罪,即要了解原理,也不要过于恐慌,现在提供给大家几项最实用的办法:
同时,我们也敬告广大企事业单位,对于自己单位网站、APP上的一些漏洞,要及时进行处理,避免被更多黑产人士利用,要注意在安全与便利之间找到平衡点。
声明1、其实早在6月13日,终结诈骗便率先对该手段进行了预警解读,详请阅读“恐怖!诈骗界“核武器”来袭!骗子可劫持手机短信盗刷银行卡,多人损失惨重!”当时为了避免被人利用,对关键手法进行了隐瞒。但随着近期广大媒体毫无顾忌地报道,这个手法已经被全面解读。本文虽是犯罪过程还原,但依旧隐藏了最关键、最核心的手法,不会造成犯罪教唆。
2、本文图片除特别说明之外,均来源于终结诈骗小编拍摄,未经许可,严禁他用。
文章来自终结诈骗
感谢终结诈骗团队对反诈骗工作一如既往的深入研究和广泛宣传
