前幾天,豆瓣網友“獨釣寒江雪”的文章《這下一無所有了》 刷爆整個網絡,她以切身經歷講述了自己在毫不知情的情況下,支付寶、京東及關聯銀行卡被盜刷的全過程,引發全國網民關注,諸多媒體也對這種“短信嗅探+中間人攻擊”的手法進行了解讀。深圳龍崗警方對該案高度重視,抽調精兵強將此類新型案件進行串並研判,在一週內抓獲了數名犯罪嫌疑人,並繳獲了作案設備。
我們的資金真的不安全了嗎?到底要不要如此恐慌?如何才能有效防範?我們這次讓犯罪嫌疑人對該手法進行全程還原,以便尋求最科學的防範手法,同時也督促相關企業立即封堵漏洞。
8月8日一大早,終結詐騙團隊在得到龍崗警方允許後,聯合騰訊守護者計劃安全團隊趕赴此次專案的主辦單位之一——深圳市公安局龍崗分局龍新派出所。
剛到了派出所,我們就驚奇地看到,龍崗分局的一個派出所竟然也成立了反詐騙中心,而且有數名專職工作人員負責反詐騙宣傳與打擊工作。所裡的一臺車也專門改造成為反詐騙宣傳車,上面還印有我們終結詐騙公眾號的LOGO和二維碼。
左邊是反詐騙中心辦公室指示牌右邊是一輛福特中巴改造的反詐騙宣傳車
此時,專案組民警剛剛完成一夜的審訊工作,也正準備開展犯罪證據固定和偵查試驗,我們便一起行動,把其中一名嫌疑人所用的設備從作案車輛上搬了下來。很明顯,這是一臺車載嗅探攻擊設備。
全部車載嗅探攻擊設備
設備凌亂無章,竟然還有一個“美團外賣”的箱子!不過從圖中可以看出,設備裡有移動電源、插座、電腦、手機以及另外兩個不知道是什麼玩意的東西。由於要還原整個犯罪過程,我們小心翼翼地把設備搬到一間會議室。並把使用該設備的小A“請”了出來。小A三下五除二就安裝好了全部設備。
辦案民警做了一番思想工作後,小A決定配合我們還原盜刷步驟,並決定把他所知曉的所有網站、APP的漏洞告知我們,讓我們轉達給廣大網友,一定更要加強防範。
由於現在很多網站採取“手機號+驗證碼”的認證方式,在支付場景下,最多也就會認證姓名、身份證號、銀行卡號。因此,要想實現盜刷,只需知道一個人的手機號、姓名、身份證號、銀行卡號、驗證碼就足夠了。小A是怎麼做的呢?
第一步:用偽基站捕獲手機號
之前有媒體報道過,要想捕獲受害人手機號,只需要在一臺偽基站狀態下,進行中間人攻擊即可。當然,前提是受害者的手機必須處於2G狀態下(這句話是重點,請先牢記)。
小A拿出了那個美團外賣的箱子,原來這就是他購置的中間人攻擊設備,為了能夠放到車裡,他精心做了改裝。這個設備有一個偽基站、三個運營商撥號設備以及一個手機組成。
為了演示整個過程,小A讓一個民警把手機從4G切換到2G,充當受害者手機。他啟動了這套設備後,不到30秒,小A手中的手機就接到了一個電話,大家一看,這個電話號碼就是民警的手機號碼。但神奇的是,民警的電話表面看並沒有任何操作。
怎麼回事呢?原來這臺設備啟動後,附近2G網絡下的手機就會被輪流“吸附”到這臺設備上。此時,與設備相連的那臺手機(中間人手機)就可以臨時頂替被“吸附”的手機。也就是說,在運營商基站看來,此時攻擊手機就是受害者的手機。
根據事先的設定,中間人手機就可以自動向小A控制的另一部手機撥打電話,這樣小A就知道受害者的電話號碼了。
第二步:短信嗅探
光知道手機號碼其實沒太大用,因為很多網站至少需要知道驗證碼才可以登錄。這個時候,短信嗅探設備就要發揮很大作用了。一部電腦+一部最老款的諾基亞手機+一臺嗅探信道機就可以組裝好了。
從上到下依次是變壓器、嗅探信道機、電腦、車載電源
小A啟動電腦及相關軟件後,先用手中的那臺老款諾基亞手機尋找頻點,小A告訴我們,尋找頻點最關鍵的一點是對方的手機不能移動(這個也是重點,請也先牢記)。
前期準備工作做完後,神奇的一幕發生了,小A的電腦上很快就出現了幾十條短信並且在不斷增加,而且都是實時的。也就是說,這臺短信嗅探設備啟動後,能嗅探到附近(大約一個基站範圍內)所有2G信號下手機收到的短信。
從短信中可以看出,有辦理稅務業務時收到的二維碼,有銀行發來的餘額變動通知,有的短信內容中還完整展示了銀行卡的賬號。當然,我們對這些信息都做了處理,不會造成任何風險。
也就是說,通過這臺短信嗅探設備,小A們是可以實時掌握我們手機接受到的短信內容的,當然,有個很重要的前提是,這臺手機必須開機能正常接收到短信,而且必須要在2G信號下,而且要保持靜止狀態。
第三步:社工其他信息
所謂社工,是黑客界常用的叫法,就是通過社會工程學的手段,利用撞庫或者某些漏洞來確定一個人信息的方法。
其實通過前兩步,小A登錄一些防範能力較低的網站(一般只需要手機號+驗證碼)綽綽有餘。但是他們的目的並不僅限於成功登陸,而是要盜刷你名下的錢。所以還需要通過其他手段獲取姓名、身份證號、銀行卡號等信息,他需要社工手段來確定這些信息。
小A在現場演示社工手段,請忽略他手腕上的“銀手鐲”
小A現場演示了他掌握的一些社工 手段,讓所有在場的民警、安全專家目瞪口呆。因為他所利用的都是一些著名公司企業的常用網站、工具,但是這些網站、工具在設計過程中都存在一些能被利用的漏洞。
具體的辦法二弟肯定不會在這裡寫的。但是,要提醒以下單位負責安全管理的人要迅速與終結詐騙團隊取得聯繫,我們驗證完身份後,會告訴你漏洞在哪裡。
目前僅小A掌握到的辦法就涉及到以下公司,他們是:支付寶、京東、蘇寧、中國移動、招商銀行、工商銀行。而據小A交待,他們這個圈內每個人都掌握一些辦法,有漏洞的肯定不止這麼多。
第四步:實現盜刷
小A經過前面幾步的工作,已經掌握了一個人的姓名、身份證號、銀行卡號、手機號,並能實時監測到驗證碼。這個時候,他就可以去盜刷了。因為很多網站在設計的時候,只需要輸入這些就可以完成支付。甚至可以通過這些內容來更改登錄、支付密碼。
但還是請大家不要恐慌,很多知名網站、APP的風控做得還是比較好的,一般在識別異常後可以及時發現並攔截,為用戶減少損失。我們可以從網友“獨釣寒江雪”的支付寶操作過程,來清晰看到嫌疑人的動作和風控措施的啟動情況。
1.嫌疑人1時42分通過“姓名+短信驗證碼”的方式就登錄了支付寶賬號。這個過程只需要用偽基站和嗅探設備就可以實現。
2.嫌疑人1時45分和1時48分通過社工到的信息對登錄密碼和支付密碼進行了修改,並且綁定了銀行卡(是的,哪怕你以前沒有綁定該銀行卡,他們也是可以給你綁定上的)
3.1時50分-2時12分別通過輸入支付密碼的方式進行網上購物932元,並提現7578元。
4.3時21分,嫌疑人想通過提現到銀行卡上的錢進行購物,支付寶風控措施啟動,要求人臉校驗,沒有通過後校驗嫌疑人便放棄。此時,在支付寶上的消費也就是932元。
當然,支付寶的安全等級算是高的,從小A的交待中,我們還發現了許多網站的風控措施不嚴格,很容易被利用,比如每天最高限額定得過高(某知名銀行每天限額達到5000元),比如更換設備登錄、頻繁登錄沒有人臉或密碼校驗等手段,再比如可以在網站上進行小額貸款等操作。
從上面的介紹可以看出,嫌疑人要實現盜刷需要很多條件:
第一,受害者手機要開機並且處於2G制式下;
第二,手機號必須是中國移動和中國聯通,因為者兩家的2G是GSM制式,傳送短信是明文方式,可以被嗅探;
第三,手機要保持靜止狀態,這也是嫌疑人選擇後半夜作案的原因。
第四,受害者的各類信息剛好能被社工手段確定;
第五,各大網站、APP的漏洞依然存在。
要滿足以上所有條件,需要極大的運氣。據小A講,他一個晚上雖然能嗅探到很多短信、捕獲到很多號碼,但最後能盜刷成功的少之又少,而且因為很多公司的風控很嚴,盜刷的金額也都比較小。因此,我們要辯證、完整地看待這類犯罪,即要了解原理,也不要過於恐慌,二弟提供給大家幾項最實用的辦法:
- 中國移動和中國聯通的手機是高風險用戶,如無必要,睡覺前直接關機或者開啟飛行模式。你無法接收到短信,嗅探設備也無法接收到。
- 如果發現手機收到來歷不明的驗證碼,表明此刻嫌疑人可能正在社工你的信息,可以立即關機或者啟動飛行模式,並移動位置(大城市可能幾百米左右即可),逃出設備覆蓋的範圍。
- 關閉一些網站、APP的免密支付功能,主動降低每日最高消費額度;如果看到有銀行或者其他金融機構發來的驗證碼,除了立即關機或啟動飛行模式外,還要迅速採取輸錯密碼、掛失的手段凍結銀行卡或支付賬號,避免損失擴大。
同時,我們也敬告廣大企事業單位,對於自己單位網站、APP上的一些漏洞,要及時進行處理,避免被更多黑產人士利用,要注意在安全與便利之間找到平衡點。也再次提醒支付寶、京東、蘇寧、中國移動、招商銀行、工商銀行安全管理團隊與我們取得聯繫,及時封堵此次小A發現的漏洞。當然,需要說明的是,這些漏洞並非是十分危險的技術漏洞,而是存在被黑產利用的風險。
1、此次龍崗公安分局抓獲的犯罪團伙交待作案位置與網友“獨釣寒江雪”住所位置高度吻合,但至於該網友資金是否就是被該犯罪團伙盜刷,還需技術驗證。
2、其實早在6月13日,本號便率先對該手段進行了預警解讀,詳請閱讀“恐怖!詐騙界“核武器”來襲!騙子可劫持手機短信盜刷銀行卡,多人損失慘重!”當時為了避免被人利用,對關鍵手法進行了隱瞞。但隨著近期廣大媒體毫無顧忌地報道,這個手法已經被全面解讀。本文雖是犯罪過程還原,但依舊隱藏了最關鍵、最核心的手法,不會造成犯罪教唆。
閱讀更多 銅川網警巡查執法 的文章
