最新消息:

揭露黑色产业:从伪基站发送短信开始,到窃取网民银行卡密码

业界新闻 admin 1545浏览 0评论

转自:https://butian.360.cn/print/index/qid/QTVA-2015-167996

有时候我们总在奇怪为什么这么多网民的银行金额出现盗刷的情况?为什么钓鱼网站会屡屡得手?为什么大家的防范意识那么脆弱呢?近日,名叫“庞德”的白帽子给补天漏洞响应平台提交了一个真实的故事,这个故事还原了黑客盗取网民银行卡密码的整个过程。

一、受骗经过

某一天,我们的主人公白帽子“庞德”手机上收到了一条短息,显示来源是中国移动10086,提示他“尊敬的客户:您的收集花费积分已满足兑换173.8元现金大礼包条件,请您及时登录10086xx.xxxxxxx.com 下载安装客户端兑换”。

jinglingshu_2015-02-05_09-23-33

 

当用户点击此网站后,任意输入手机号码查询积分,就提示兑换现金…

jinglingshu_2015-02-05_09-23-30

点击确定后,直接要求填写银行卡密码等敏感信息。注意看到这里的界面跟一般的网银转账界面很像。下面这个是银行卡的界面:

jinglingshu_2015-02-05_09-23-31

这一张是信用卡的界面,需要输入CVV信息:

jinglingshu_2015-02-05_09-23-32

 

二、剧情大逆转

大家认为这里就结束了的话,那就too young too native了。我们的警察叔叔每天接触到大量的用户举报,但是由于受害者太零散,且服务器大多不在大陆,所以很难立案侦查。这里,我们的白帽子来了一次形势大逆转。

白帽子利用经典的XSS姿势(填完就要求下载apk…..小菜不懂apk的逆向….就没下载了…但想着也不是什么好东西…),于是..一句话插入网站….拿到cookie 登陆后台:

jinglingshu_2015-02-05_09-23-311

 

看到下面这张图,大家有没有一种很震撼的感觉,有没有想骂一句“尼玛。。。”。黑客拿到用户的银行卡号,密码,身份证号,手机号,用户名,CVV,有效期,基本就等于可以任意转账了(比如手机支付,或者网上交易支付等)。

我们在痛骂黑客的同事,也感叹一句:好在漏洞提交者是白帽子,不是做黑产的,否则每个用户得多出多少金额损失?

jinglingshu_2015-02-05_09-23-34

码打得不好…

jinglingshu_2015-02-05_09-23-31

可以看到网站已经运行一段时间了..但还未被有关部门重视…

 

三、总结

总结一下黑客的整个欺骗过程:

1、通过伪基站的方式伪造知名品牌(这里是10086,也可以是银行、运营商、证券等)发送信息,由于品牌的效应,让受害者访问钓鱼网站时不会起疑心;

2、当受害者访问钓鱼页面时,展示的界面跟真实的页面非常相似,让受害者信以为真;

 

如何识别此类攻击?

1、现在的社会太复杂,连基本的信任度都没有了,所以看到来自于大品牌的短信,尤其是带有链接的,您得上一份心;

2、如果您不幸相信了短信内容,需要注意一下链接是否品牌的官方网站,比如10086对应的官网是10086.cn,而不是上面的xxxxxxxx.com网站,点击前一定要谨慎;

3、如果您不幸点开了,需要注意一下浏览器上会不会有提示,比如本文截图中浏览器是提示“可能存在安全风险”的,这时要离开网站;

4、如果您又不幸进入到了提交银行信息的页面,请务必注意是否有可疑,比如文中银行卡信息居然要求提交身份证信息,这里基本就不可信了,千万别提交敏感信息;

5、如果您真的不幸又提交了信息,而且并没有任何的收益(页面提示是假的,实际上没有任何通知信息),请赶紧报案;

 

最后,当我看到网站截至目前还能打开的时候,我的心顿时不好受了……

转载请注明:jinglingshu的博客 » 揭露黑色产业:从伪基站发送短信开始,到窃取网民银行卡密码


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址