詐騙分子使用網絡改號軟件,以冒充公檢法人員等方式騙走其1127萬元人民幣.......
案例:深圳一工程師40天被騙千萬
2月,深圳發生一起特大電信詐騙案件:41歲的常某是深圳某著名IT企業工程師。從2014年12月21日至2015年2月1日,詐騙分子使用網絡改號軟件,以冒充公檢法人員等方式騙走其1127萬元人民幣。據報道,1-8月,全國公安機關共立電信詐騙案件31.7萬起,同比上升31.5%,群眾損失近百億元。
實驗時間:2月28日、29日。
實驗地點:西安四葉草信息技術有限公司、華商報社。
實驗人員:四葉草公司技術總監趙培源,CloverSec實驗室負責人朱立軍,安全研究員袁偉、田銘、宗小蝶。
實驗顧問:國內知名網絡安全專家、四葉草公司CEO馬坤,西安電子科技大學網絡與信息安全學院副教授、教育部信息安全團隊骨幹成員楊超。
實驗1
某網絡電話有漏洞 可冒用任何手機號註冊打電話。2月28日,西安四葉草信息技術有限公司安全研究員田銘發現:某網絡電話在註冊環節有漏洞,只要知道一個人的手機號,就可冒用該號碼成功註冊,並給其親友打電話。
在實驗室,技術人員演示過程:在電腦上下載該網絡電話應用軟件,點擊“手機號註冊”,田銘用同事宗小蝶的手機號註冊網絡電話賬號,填寫手機號下的圖形驗證碼後提交,宗小蝶的手機立即收到一條驗證碼。田銘繼續操作,彈出的頁面中,最上面是剛才填寫的手機號,下面有3個對話框:短信驗證碼、密碼、確認密碼。
密碼是現設的,短信驗證碼不知道怎麼辦?田銘在點擊註冊前,已打開了一個特殊程序,將剛才通過瀏覽器的數據抓了包。由於此前已知該網絡電話平臺註冊時的驗證碼為4位數,便在驗證碼對話框隨便填寫了4個“0”,設了密碼後開始啟用另一個特殊工具對驗證碼進行破解,隨後,便獲知了系統所發的4位數驗證碼,和宗小蝶手機收到的一樣。
之後,系統自動將該驗證碼輸入對話框,提交後註冊成功。登錄該網絡電話客戶端,使用宗小蝶手機號註冊的賬號已能通過電腦撥打網絡電話。田銘撥打自己的手機號,電話界面上顯示的正是宗小蝶的手機號。
總結
3漏洞導致機主被冒名卻不易覺察
技術總監趙培源和安全研究員袁偉認為,由於該網絡電話有3點漏洞:一是在註冊過程中彈出的第二個頁面缺少一個圖形驗證碼,導致無法區分是人還是機器操作,給機器“暴力破解”留下可能;二是註冊時的驗證碼是4個數字,較易破解;三是平臺服務器沒有試錯次數限制。
趙培源說,從實驗中看出,打網絡電話時,手機沒反應,虛擬的網絡電話號碼和手機SIM卡的真實手機號並非真正綁定。註冊中要求輸入驗證碼,只是一種形式,機主一旦被冒名註冊,除可能會收到一條驗證短信外,別人冒用這個手機號幹什麼,機主並不知道。
提醒
騙子最喜歡冒充公檢法和銀行
專家提醒,防止電信詐騙,一定要記住以下幾點:
1.接到熟人電話號碼有懷疑,就直接回撥過去核實,通常會立即弄清是否是騙局。
2.手機收到莫名其妙的註冊短信或驗證碼時要留心,當心手機號被騙子冒用註冊了網絡電話。
3.網絡電話接通時會有一兩秒的延遲,接電話時可以留意一下接通時間;據警方介紹,若是國外打來的通過改號軟件改過的號碼,會在前面強制加上“+”或“000”的符號,如國外有人冒充10086,就會來電顯示+10086或00010086。
4.騙子最喜歡冒充公檢法和銀行。
5.如果電話另一頭刻意引導你的思維和注意力,甚至故意不給留出思考的時間,就要特別注意,一定不要被牽著鼻子走。
閱讀更多 惠州市反詐騙中心 的文章
