拨开迷雾:央视曝光“5分钟网上买到上千银行卡信息”究竟是怎么一回事?

2016-04-13 618532人围观 ,发现 18 个不明物体 终端安全观点

卡还在,钱怎么没了?

近日央视曝光:银行卡盗刷事件频发,原来,不法分子已经形成了一条黑色产业链!他们先是通过改装POS机、发钓鱼链接及黑客WIFI盗取银行卡信息,再将信息批量卖出。最后,通过木马程序拦截银行卡验证码……在受害者不知不觉中,卡里的钱就这样被转走了。

“您好,我是中央电视台记者。您是不是肖(某)?”

“对。”

“您是不是有一张某行的银行卡?ZXCV结尾的?”

“对。”

“您这张银行卡的密码是不是1…..”

“对。可你是怎么知道的呢?”

“这些信息都可以在网上买到。”

“你真的是中央电视台记者吗?”

“……”

那么央视曝光的5分钟网上买到上千银行卡信息,这究竟是怎么一回事?这些信息又是怎样来的呢? 一起来看下面的分析。

伪基站+钓鱼网站获取受害者信息

FreeBuf小科普:

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换x%现金,要求用户通过手机登陆某个网站、下载客户端进行积分查询和兑换。

示例:fake(虚假的)建设银行短信和网站    

Clipboard Image.png Clipboard Image.png

示例:fake(虚假的)中国移动短信&客户端    

Clipboard Image.png

Clipboard Image.png

以上展示的是:不法分子通过伪基站冒充银行、运营商官方客服号,发送虚假短信,以“积分兑换现金”、“调整消费额度”类似的各种形式诱导市民访问短信中的钓鱼网站,受害者一旦访问短信中的钓鱼网站链接,钓鱼网站便会被诱导输入个人姓名、身份证号码、手机号、银行卡卡号、银行卡密码等信息。

病毒木马窃取验证码

通过钓鱼网站安装的xxx客户端其实是个木马,它能拦截银行发来的短信并把消费所需的验证码“发送”给木马的制作人。!

有了上面收集到的相关信息加上客户端木马后窃取到的验证码,黑产犯罪分子便开始进行一系列盗刷活动了,此时即使银行卡在你身上,你卡里的钱也将不翼而飞!

漏洞盒子安全研究员曾多次攻破钓鱼网站进入其后台:钓鱼网站后台里静静地躺着数千份受害者的信息:信息包括受害者姓名、身份证号、银行卡号、银行卡密码、银行卡绑定手机、有效期,甚至部分钓鱼网站还有受害者家庭住址等信息!触目惊心!!!

Clipboard Image.png

(钓鱼网站后台收集到的受害者信息)

基站信号降级嗅探验证码短信

除了病毒木马窃取验证码外,黑产人员还会利用其它途径来获取受害者的验证码。

上面我们说到有些钓鱼网站还会收集受害者的住址信息,那么这个信息又是拿来做啥的呢?央视的视频也曾提到:犯罪分子还会在受害者附近进行干扰3G、4G基站信号的活动,迫使受害者降回到不安全全的2G网络(手机为了保持系统正常通信会自动降回到2G网络),这时犯罪分子便会利用2G GSM网络不加密的传输漏洞嗅探到转账、消费所需的验证码。本文以嗅探到的10086短信为例:

IMG_0221.JPG

(摩托罗拉C118嗅探短信&BladeRF伪基站)

GSM sniffer

(嗅探到的GSM短信)

微博热门事件:

近日微博网友@趣火星 发微博质疑运营商和银行“为何一条短信就能骗走我所有的财产?” 因为一条短信,一夜之间,该文作者的支付宝、所有的银行卡信息都被攻破、所有银行卡的资金全部被转移。甚至在长达一晚上的时间里,其手机处于瘫痪状态,打不出电话。

针对这一文章,@北京移动10086热线发表声明如下:

2016年4月8日17时54分,手机号码152****1249通过静态密码(客户自设密码)方式,登陆北京移动官方网站,经网站弹屏二次确认后,办理“中广财经半年包”业务,IP地址显示登陆地点为海南海口;

18时13分,手机号码152****1249以同样方式登陆网站办理更换4G USIM卡业务。系统向客户本机下发换卡二次确认验证码(6位USIM验证码),该验证码被输入后,换卡成功。以上业务办理流程正常。

根据作者的文章描述以及中国移动的声明不难发现:@趣火星 该文作者也是中了伪基站的圈套!

1.犯罪分子利用伪基站“假扮”10086,谎称作者开通了中广财经半年包业务,并提示告知“余额不足”,使开通扣费业务更逼真。(当然,也不排除手机号码152****1249的客户自设静态密码存在弱口令或者默认密码问题,导致被犯罪分子成功登陆北京移动官方网站办理“中广财经半年包”业务);

2.在作者存在想取消业务的心理时,犯罪分子登陆北京移动官方网站进行办理更换4G USIM卡业务(这一业务可把A卡的号码转移到B卡上,也就是把受害者的手机号码152****1249转移到犯罪分子的4G白卡中),而在这一过程中中国移动会发送一个六位数验证码给受害者。此时犯罪分子利用伪基站再次伪装成中国移动向受害者发送“您成功订阅了中国移动的(中广财经)40元/半年,3分钟退订免费。如需退订请编辑短信“取消+校验码”至本条短信退订。”

3.受害者误把办理更换4G USIM卡业务的验证码当初退订中国移动的(中广财经)40元/半年套餐的退订码发送给了犯罪分子;

4.犯罪分子利用骗来的验证码成功把手机号码152****1249转移到原来的4G空卡,并把这一手机号的权限握在手中。换句话说:此时受害者手上的手机卡已经不能使用了,是废的,真正能使用的在犯罪分子手中!

5.犯罪分子利用盗来的手机号登陆了受害者的支付宝,并进行转账等一系列操作!

思考&防范:

不要轻信运营商、银行的积分兑换系列短信,如要打开短信中的网站请谨慎核实域名是否是官方网站,不随意在网站填写自己的银行卡账号、密码;

如在钓鱼网站中招、输入过自己的账号密码信息请立即去修改银行卡密码!

通过上面的事件,可见验证码一定要自己妥善保管,绝不能透露给他人!

通过这一问题,我也不禁反思短信验证码权限之大!一不小心透露给他人足可以让你倾家荡产!犯罪成本之低!电信诈骗之猖獗!细思恐极!

*作者/雪碧 0xroot,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

  • accesss (1级) 没有网络安全,就没有国家安全! 回复
    老生常谈,不懂的人也不会看这些,懂的人也不会看这些。
    )11( 亮了
  • 小生常记,不懂的人看了也不懂,懂的人不看也懂
    )8( 亮了
  • 昨天下午收到信息短信,已通知大家。在谷歌浏览器做的测试。此钓鱼网站加入官网链接,真假难辨,域名注册时间为4月11号
    )8( 亮了
  • 周鸿祎 回复
    用我360手机,免除一切烦恼
    )7( 亮了
  • 大呲花 (1级) 非专业码农. 回复
    @ accesss 确实,懂的不会记这些不懂的也不会看这些
    )6( 亮了
发表评论

已有 18 条评论

取消
Loading...
css.php