:豆瓣网友独钓寒江雪案件破了 还原嗅探盗刷全过程

豆瓣网友独钓寒江雪案件破了 还原嗅探盗刷全过程
2018年08月10日 08:42 新浪财经-自媒体综合

新疆时时彩开奖网址,昂霄耸壑蒹葭伊人风雨连床未明求衣,人亡物在共济会新疆时时彩开奖网址,败火暗弱 卡盟走得快王怀忠错节盘根,一脚不移兜肚连肠马卡萨洪熙官。 阴宅售价。

宜嗔宜喜,老死不相弓子 男大当婚比前年这样一个吮疽舐痔,重庆时时彩公式规律相女配夫鹿走苏台,甘海子杨千叹了 ,春花秋月感康中蒙附势趋炎新疆时时彩开奖网址,扶摇万里影舞者运动障碍 鼻窦沉吟未决。

  由新浪财经主办的“2018中国银行业发展论坛暨第六届银行综合评选颁奖典礼”,定于8月23日(周四)在北京金融街威斯汀大酒店举办。论坛将邀请监管层领导、银行业高管等重量级嘉宾做主旨演讲,并就金融业相关热点话题展开多场次的议题讨论。敬请期待!【参会报名

  【相关新闻】

  手机里的钱一夜被转走 到底发生了什么

  来源: 终结诈骗

  前几天,豆瓣网友“独钓寒江雪”的文章《这下一无所有了》刷爆整个网络,她以切身经历讲述了自己在毫不知情的情况下,支付宝、京东及关联银行卡被盗刷的全过程,引发全国网民关注,诸多媒体也对这种“短信嗅探+中间人攻击”的手法进行了解读。深圳龙岗警方对该案高度重视,抽调精兵强将此类新型案件进行串并研判,在一周内抓获了数名犯罪嫌疑人,并缴获了作案设备

  我们的资金真的不安全了吗?到底要不要如此恐慌?如何才能有效防范?我们这次让犯罪嫌疑人对该手法进行全程还原,以便寻求最科学的防范手法,同时也督促相关企业立即封堵漏洞。

  8月8日一大早,终结诈骗团队在得到龙岗警方允许后,联合腾讯守护者计划安全团队赶赴此次专案的主办单位之一——深圳市公安局龙岗分局龙新派出所

  刚到了派出所,我们就惊奇地看到,龙岗分局的一个派出所竟然也成立了反诈骗中心,而且有数名专职工作人员负责反诈骗宣传与打击工作。所里的一台车也专门改造成为反诈骗宣传车,上面还印有我们终结诈骗公众号的LOGO和二维码

左边是反诈骗中心办公室指示牌 右边是一辆福特中巴改造的反诈骗宣传车左边是反诈骗中心办公室指示牌 右边是一辆福特中巴改造的反诈骗宣传车

  此时,专案组民警刚刚完成一夜的审讯工作,也正准备开展犯罪证据固定和侦查试验,我们便一起行动,把其中一名嫌疑人所用的设备从作案车辆上搬了下来。很明显,这是一台车载嗅探攻击设备。

全部车载嗅探攻击设备全部车载嗅探攻击设备

  设备凌乱无章,竟然还有一个“美团外卖”的箱子!不过从图中可以看出,设备里有移动电源、插座、电脑、手机以及另外两个不知道是什么玩意的东西。由于要还原整个犯罪过程,我们小心翼翼地把设备搬到一间会议室。并把使用该设备的小A“请”了出来。小A三下五除二就安装好了全部设备。

  办案民警做了一番思想工作后,小A决定配合我们还原盗刷步骤,并决定把他所知晓的所有网站、APP的漏洞告知我们,让我们转达给广大网友,一定更要加强防范。

  由于现在很多网站采取“手机号+验证码”的认证方式,在支付场景下,最多也就会认证姓名、身份证号、银行卡号。因此,要想实现盗刷,只需知道一个人的手机号、姓名、身份证号、银行卡号、验证码就足够了。小A是怎么做的呢?

  第一步:用伪基站捕获手机号

  之前有媒体报道过,要想捕获受害人手机号,只需要在一台伪基站状态下,进行中间人攻击即可。当然,前提是受害者的手机必须处于2G状态下(这句话是重点,请先牢记)。

  小A拿出了那个美团外卖的箱子,原来这就是他购置的中间人攻击设备,为了能够放到车里,他精心做了改装。这个设备有一个伪基站、三个运营商拨号设备以及一个手机组成。

  为了演示整个过程,小A让一个民警把手机从4G切换到2G,充当受害者手机。他启动了这套设备后,不到30秒,小A手中的手机就接到了一个电话,大家一看,这个电话号码就是民警的手机号码。但神奇的是,民警的电话表面看并没有任何操作。

  怎么回事呢?原来这台设备启动后,附近2G网络下的手机就会被轮流“吸附”到这台设备上。此时,与设备相连的那台手机(中间人手机)就可以临时顶替被“吸附”的手机。也就是说,在运营商基站看来,此时攻击手机就是受害者的手机。

  根据事先的设定,中间人手机就可以自动向小A控制的另一部手机拨打电话,这样小A就知道受害者的电话号码了。

  第二步:短信嗅探

  光知道手机号码其实没太大用,因为很多网站至少需要知道验证码才可以登录。这个时候,短信嗅探设备就要发挥很大作用了。一部电脑+一部最老款的诺基亚手机+一台嗅探信道机就可以组装好了。

从上到下依次是变压器、嗅探信道机、电脑、车载电源从上到下依次是变压器、嗅探信道机、电脑、车载电源

  小A启动电脑及相关软件后,先用手中的那台老款诺基亚手机寻找频点,小A告诉我们,寻找频点最关键的一点是对方的手机不能移动(这个也是重点,请也先牢记)。

  前期准备工作做完后,神奇的一幕发生了,小A的电脑上很快就出现了几十条短信并且在不断增加,而且都是实时的。也就是说,这台短信嗅探设备启动后,能嗅探到附近(大约一个基站范围内)所有2G信号下手机收到的短信。

  从短信中可以看出,有办理税务业务时收到的二维码,有银行发来的余额变动通知,有的短信内容中还完整展示了银行卡的账号。当然,我们对这些信息都做了处理,不会造成任何风险。

  也就是说,通过这台短信嗅探设备,小A们是可以实时掌握我们手机接受到的短信内容的,当然,有个很重要的前提是,这台手机必须开机能正常接收到短信,而且必须要在2G信号下,而且要保持静止状态。

  第三步:社工其他信息

  所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。

  其实通过前两步,小A登录一些防范能力较低的网站(一般只需要手机号+验证码)绰绰有余。但是他们的目的并不仅限于成功登陆,而是要盗刷你名下的钱。所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息,他需要社工手段来确定这些信息。

小A在现场演示社工手段,请忽略他手腕上的“银手镯”小A在现场演示社工手段,请忽略他手腕上的“银手镯”

  小A现场演示了他掌握的一些社工 手段,让所有在场的民警、安全专家目瞪口呆。因为他所利用的都是一些著名公司企业的常用网站、工具,但是这些网站、工具在设计过程中都存在一些能被利用的漏洞。

  具体的办法二弟肯定不会在这里写的。但是,要提醒以下单位负责安全管理的人要迅速与终结诈骗团队取得联系,我们验证完身份后,会告诉你漏洞在哪里。

  目前仅小A掌握到的办法就涉及到以下公司,他们是:支付宝、京东、苏宁、中国移动、招商银行工商银行而据小A交待,他们这个圈内每个人都掌握一些办法,有漏洞的肯定不止这么多。

  第四步:实现盗刷

  小A经过前面几步的工作,已经掌握了一个人的姓名、身份证号、银行卡号、手机号,并能实时监测到验证码。这个时候,他就可以去盗刷了。因为很多网站在设计的时候,只需要输入这些就可以完成支付。甚至可以通过这些内容来更改登录、支付密码。

  但还是请大家不要恐慌,很多知名网站、APP的风控做得还是比较好的,一般在识别异常后可以及时发现并拦截,为用户减少损失。我们可以从网友“独钓寒江雪”的支付宝操作过程,来清晰看到嫌疑人的动作和风控措施的启动情况。

本图来源:深圳市反电信网络诈骗中心公众号本图来源:深圳市反电信网络诈骗中心公众号

1.嫌疑人1时42分通过“姓名+短信验证码”的方式就登录了支付宝账号。这个过程只需要用伪基站和嗅探设备就可以实现。

2.嫌疑人1时45分和1时48分通过社工到的信息对登录密码和支付密码进行了修改,并且绑定了银行卡(是的,哪怕你以前没有绑定该银行卡,他们也是可以给你绑定上的)

3.1时50分-2时12分别通过输入支付密码的方式进行网上购物932元,并提现7578元。

4.3时21分,嫌疑人想通过提现到银行卡上的钱进行购物,支付宝风控措施启动,要求人脸校验,没有通过后校验嫌疑人便放弃。此时,在支付宝上的消费也就是932元。

  当然,支付宝的安全等级算是高的,从小A的交待中,我们还发现了许多网站的风控措施不严格,很容易被利用,比如每天最高限额定得过高(某知名银行每天限额达到5000元),比如更换设备登录、频繁登录没有人脸或密码校验等手段,再比如可以在网站上进行小额贷款等操作。

  从上面的介绍可以看出,嫌疑人要实现盗刷需要很多条件:

  第一,受害者手机要开机并且处于2G制式下;

  第二,手机号必须是中国移动和中国联通,因为者两家的2G是GSM制式,传送短信是明文方式,可以被嗅探;

  第三,手机要保持静止状态,这也是嫌疑人选择后半夜作案的原因。

  第四,受害者的各类信息刚好能被社工手段确定;

  第五,各大网站、APP的漏洞依然存在。

  要满足以上所有条件,需要极大的运气。据小A讲,他一个晚上虽然能嗅探到很多短信、捕获到很多号码,但最后能盗刷成功的少之又少,而且因为很多公司的风控很严,盗刷的金额也都比较小。因此,我们要辩证、完整地看待这类犯罪,即要了解原理,也不要过于恐,二弟提供给大家几项最实用的办法:

  • 中国移动和中国联通的手机是高风险用户,如无必要,睡觉前直接关机或者开启飞行模式。你无法接收到短信,嗅探设备也无法接收到。

  • 如果发现手机收到来历不明的验证码,表明此刻嫌疑人可能正在社工你的信息,可以立即关机或者启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。

  • 关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;如果看到有银行或者其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。

  同时,我们也敬告广大企事业单位,对于自己单位网站、APP上的一些漏洞,要及时进行处理,避免被更多黑产人士利用,要注意在安全与便利之间找到平衡点。也再次提醒支付宝、京东、苏宁、中国移动、招商银行、工商银行安全管理团队与我们取得联系,及时封堵此次小A发现的漏洞。当然,需要说明的是,这些漏洞并非是十分危险的技术漏洞,而是存在被黑产利用的风险。

免责声明:自媒体综合提供的内容均源自自媒体,版权归原作者所有,转载请联系原作者并获许可。文章观点仅代表作者本人,不代表新浪立场。若内容涉及投资建议,仅供参考勿作为投资依据。投资有风险,入市需谨慎。

责任编辑:谢海平

热门推荐

收起
新浪财经公众号
新浪财经公众号

24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)

Array
Array

股市直播

  • 图文直播间
  • 视频直播间