嗅探手机浏览器_手机里的钱被一夜被转走:还原“短信嗅探”盗刷事件始末_入门网安记录贴
虎嗅注:前几天,豆瓣网友“独钓寒江雪”的文章《这下一无所有了》刷爆整个网络,她以切身经历讲述了自己在毫不知情的情况下,支付宝、京东及关联银行卡被盗刷的全过程,诸多媒体也对这种“短信嗅探+中间人攻击”的手法进行了解读。“终结诈骗”到深圳市公安局龙岗分局龙新派出所,让犯罪嫌疑人对犯罪手法进行了全程还原。本文转载自“终结诈骗”(ID:)。
8月8日一大早,终结诈骗团队在得到龙岗警方允许后,联合腾讯守护者计划安全团队赶赴此次专案的主办单位之一——深圳市公安局龙岗分局龙新派出所。此时,专案组民警刚刚完成一夜的审讯工作,也正准备开展犯罪证据固定和侦查试验,我们便一起行动,把其中一名嫌疑人所用的设备从作案车辆上搬了下来。很明显,这是一台车载嗅探攻击设备。
全部车载嗅探攻击设备
设备凌乱无章,竟然还有一个“美团外卖”的箱子。不过从图中可以看出,设备里有移动电源、插座、电脑、手机以及另外两个不知道是什么玩意的东西。由于要还原整个犯罪过程,我们小心翼翼地把设备搬到一间会议室。并把使用该设备的小A“请”了出来。小A三下五除二就安装好了全部设备。
办案民警做了一番思想工作后,小A决定配合我们还原盗刷步骤,并决定把他所知晓的所有网站、APP的漏洞告知我们,让我们转达给广大网友,一定更要加强防范。
由于现在很多网站采取“手机号+验证码”的认证方式,在支付场景下,最多也就会认证姓名、身份证号、银行卡号。因此,要想实现盗刷,只需知道一个人的手机号、姓名、身份证号、银行卡号、验证码就足够了。小A是怎么做的呢?
第一步:用伪基站捕获手机号
之前有媒体报道过,要想捕获受害人手机号,只需要在一台伪基站状态下,进行中间人攻击即可。当然,前提是受害者的手机必须处于2G状态下(这句话是重点,请先牢记)。
小A拿出了那个美团外卖的箱子,原来这就是他购置的中间人攻击设备,为了能够放到车里,他精心做了改装。这个设备有一个伪基站、三个运营商拨号设备以及一个手机组成。
为了演示整个过程,小A让一个民警把手机从4G切换到2G,充当受害者手机。他启动了这套设备后,不到30秒,小A手中的手机就接到了一个电话,大家一看,这个电话号码就是民警的手机号码。但神奇的是,民警的电话表面看并没有任何操作。
怎么回事呢?原来这台设备启动后,附近2G网络下的手机就会被轮流“吸附”到这台设备上。此时,与设备相连的那台手机(中间人手机)就可以临时顶替被“吸附”的手机。也就是说,在运营商基站看来,此时攻击手机就是受害者的手机。
根据事先的设定,中间人手机就可以自动向小A控制的另一部手机拨打电话,这样小A就知道受害者的电话号码了。
第二步:短信嗅探
光知道手机号码其实没太大用,因为很多网站至少需要知道验证码才可以登录。这个时候,短信嗅探设备就要发挥很大作用了。一部电脑+一部最老款的诺基亚手机+一台嗅探信道机就可以组装好了。
从上到下依次是变压器、嗅探信道机、电脑、车载电源
小A启动电脑及相关软件后,先用手中的那台老款诺基亚手机寻找频点,小A告诉我们,寻找频点最关键的一点是对方的手机不能移动(这个也是重点,请也先牢记)。
前期准备工作做完后,神奇的一幕发生了,小A的电脑上很快就出现了几十条短信并且在不断增加,而且都是实时的。也就是说,这台短信嗅探设备启动后,能嗅探到附近(大约一个基站范围内)所有2G信号下手机收到的短信。
从短信中可以看出,有办理税务业务时收到的二维码,有银行发来的余额变动通知,有的短信内容中还完整展示了银行卡的账号。当然,我们对这些信息都做了处理,不会造成任何风险。
也就是说,通过这台短信嗅探设备,小A们是可以实时掌握我们手机接受到的短信内容的,当然,有个很重要的前提是,这台手机必须开机能正常接收到短信,而且必须要在2G信号下,而且要保持静止状态。
第三步:社工其他信息
所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。
其实通过前两步,小A登录一些防范能力较低的网站(一般只需要手机号+验证码)绰绰有余。但是他们的目的并不仅限于成功登陆,而是要盗刷你名下的钱。所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息,他需要社工手段来确定这些信息。
小A在现场演示社工手段
小A现场演示了他掌握的一些社工手段,让所有在场的民警、安全专家目瞪口呆。因为他所利用的都是一些著名公司企业的常用网站、工具,但是这些网站、工具在设计过程中都存在一些能被利用的漏洞。
具体的办法二弟肯定不会在这里写的。但是,要提醒以下单位负责安全管理的人要迅速与终结诈骗团队取得联系,我们验证完身份后,会告诉你漏洞在哪里。
目前仅小A掌握到的办法就涉及到以下公司,他们是:支付宝、京东、苏宁、中国移动、招商银行、工商银行。而据小A交待,他们这个圈内每个人都掌握一些办法,有漏洞的肯定不止这么多。
第四步:实现盗刷
小A经过前面几步的工作,已经掌握了一个人的姓名、身份证号、银行卡号、手机号,并能实时监测到验证码。这个时候,他就可以去盗刷了。因为很多网站在设计的时候,只需要输入这些就可以完成支付。甚至可以通过这些内容来更改登录、支付密码。
但还是请大家不要恐慌,很多知名网站、APP的风控做得还是比较好的,一般在识别异常后可以及时发现并拦截,为用户减少损失。我们可以从网友“独钓寒江雪”的支付宝操作过程,来清晰看到嫌疑人的动作和风控措施的启动情况。
~
网络安全学习,我们一起交流
~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
