前几天,豆瓣网友“独钓寒江雪”的文章《这下一无所有了》刷爆整个网络,她以切身经历讲述了自己在毫不知情的情况下,支付宝、京东及关联银行卡被盗刷的全过程,引发全国网民关注,诸多媒体也对这种“短信嗅探+中间人攻击”的手法进行了解读。深圳龙岗警方对该案高度重视,抽调精兵强将此类新型案件进行串并研判,在一周内抓获了数名犯罪嫌疑人,并缴获了作案设备。
我们的资金真的不安全了吗?到底要不要如此恐慌?如何才能有效防范?我们这次让犯罪嫌疑人对该手法进行全程还原,以便寻求最科学的防范手法,同时也督促相关企业立即封堵漏洞。
8月8日一大早,终结诈骗团队在得到龙岗警方允许后,联合腾讯守护者计划安全团队赶赴此次专案的主办单位之一——深圳市公安局龙岗分局龙新派出所。
刚到了派出所,我们就惊奇地看到,龙岗分局的一个派出所竟然也成立了反诈骗中心,而且有数名专职工作人员负责反诈骗宣传与打击工作。所里的一台车也专门改造成为反诈骗宣传车,上面还印有我们终结诈骗公众号的LOGO和二维码。
左边是反诈骗中心办公室指示牌
右边是一辆福特中巴改造的反诈骗宣传车
此时,专案组民警刚刚完成一夜的审讯工作,也正准备开展犯罪证据固定和侦查试验,我们便一起行动,把其中一名嫌疑人所用的设备从作案车辆上搬了下来。很明显,这是一台车载嗅探攻击设备。
全部车载嗅探攻击设备
设备凌乱无章,竟然还有一个“美团外卖”的箱子!不过从图中可以看出,设备里有移动电源、插座、电脑、手机以及另外两个不知道是什么玩意的东西。由于要还原整个犯罪过程,我们小心翼翼地把设备搬到一间会议室。并把使用该设备的小A“请”了出来。小A三下五除二就安装好了全部设备。
办案民警做了一番思想工作后,小A决定配合我们还原盗刷步骤,并决定把他所知晓的所有网站、APP的漏洞告知我们,让我们转达给广大网友,一定更要加强防范。
由于现在很多网站采取“手机号+验证码”的认证方式,在支付场景下,最多也就会认证姓名、身份证号、银行卡号。因此,要想实现盗刷,只需知道一个人的手机号、姓名、身份证号、银行卡号、验证码就足够了。小A是怎么做的呢?
第一步:用伪基站捕获手机号
之前有媒体报道过,要想捕获受害人手机号,只需要在一台伪基站状态下,进行中间人攻击即可。当然,前提是受害者的手机必须处于2G状态下(这句话是重点,请先牢记)。
小A拿出了那个美团外卖的箱子,原来这就是他购置的中间人攻击设备,为了能够放到车里,他精心做了改装。这个设备有一个伪基站、三个运营商拨号设备以及一个手机组成。
为了演示整个过程,小A让一个民警把手机从4G切换到2G,充当受害者手机。他启动了这套设备后,不到30秒,小A手中的手机就接到了一个电话,大家一看,这个电话号码就是民警的手机号码。但神奇的是,民警的电话表面看并没有任何操作。
怎么回事呢?原来这台设备启动后,附近2G网络下的手机就会被轮流“吸附”到这台设备上。此时,与设备相连的那台手机(中间人手机)就可以临时顶替被“吸附”的手机。也就是说,在运营商基站看来,此时攻击手机就是受害者的手机。
根据事先的设定,中间人手机就可以自动向小A控制的另一部手机拨打电话,这样小A就知道受害者的电话号码了。
第二步:短信嗅探
光知道手机号码其实没太大用,因为很多网站至少需要知道验证码才可以登录。这个时候,短信嗅探设备就要发挥很大作用了。一部电脑+一部最老款的诺基亚手机+一台嗅探信道机就可以组装好了。
从上到下依次是
变压器、嗅探信道机、电脑、车载电源
小A启动电脑及相关软件后,先用手中的那台老款诺基亚手机寻找频点,小A告诉我们,寻找频点最关键的一点是对方的手机不能移动(这个也是重点,请也先牢记)。
前期准备工作做完后,神奇的一幕发生了,小A的电脑上很快就出现了几十条短信并且在不断增加,而且都是实时的。也就是说,这台短信嗅探设备启动后,能嗅探到附近(大约一个基站范围内)所有2G信号下手机收到的短信。
从短信中可以看出,有办理税务业务时收到的二维码,有银行发来的余额变动通知,有的短信内容中还完整展示了银行卡的账号。当然,我们对这些信息都做了处理,不会造成任何风险。
也就是说,通过这台短信嗅探设备,小A们是可以实时掌握我们手机接受到的短信内容的,当然,有个很重要的前提是,这台手机必须开机能正常接收到短信,而且必须要在2G信号下,而且要保持静止状态。
第三步:社工其他信息
所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。
其实通过前两步,小A登录一些防范能力较低的网站(一般只需要手机号+验证码)绰绰有余。但是他们的目的并不仅限于成功登陆,而是要盗刷你名下的钱。所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息,他需要社工手段来确定这些信息。
小A在现场演示社工手段,请忽略他手腕上的“银手镯”
小A现场演示了他掌握的一些社工 手段,让所有在场的民警、安全专家目瞪口呆。因为他所利用的都是一些著名公司企业的常用网站、工具,但是这些网站、工具在设计过程中都存在一些能被利用的漏洞。
具体的办法二弟肯定不会在这里写的。但是,要提醒以下单位负责安全管理的人要迅速与终结诈骗团队取得联系,我们验证完身份后,会告诉你漏洞在哪里。
目前仅小A掌握到的办法就涉及到以下公司,他们是:支付宝、京东、苏宁、中国移动、招商银行、工商银行。而据小A交待,他们这个圈内每个人都掌握一些办法,有漏洞的肯定不止这么多。
第四步:实现盗刷
小A经过前面几步的工作,已经掌握了一个人的姓名、身份证号、银行卡号、手机号,并能实时监测到验证码。这个时候,他就可以去盗刷了。因为很多网站在设计的时候,只需要输入这些就可以完成支付。甚至可以通过这些内容来更改登录、支付密码。
但还是请大家不要恐慌,很多知名网站、APP的风控做得还是比较好的,一般在识别异常后可以及时发现并拦截,为用户减少损失。我们可以从网友“独钓寒江雪”的支付宝操作过程,来清晰看到嫌疑人的动作和风控措施的启动情况。
本图来源:深圳市反电信网络诈骗中心公众号
1.嫌疑人1时42分通过“姓名+短信验证码”的方式就登录了支付宝账号。这个过程只需要用伪基站和嗅探设备就可以实现。
2.嫌疑人1时45分和1时48分通过社工到的信息对登录密码和支付密码进行了修改,并且绑定了银行卡(是的,哪怕你以前没有绑定该银行卡,他们也是可以给你绑定上的)
3.1时50分-2时12分别通过输入支付密码的方式进行网上购物932元,并提现7578元。
4.3时21分,嫌疑人想通过提现到银行卡上的钱进行购物,支付宝风控措施启动,要求人脸校验,没有通过后校验嫌疑人便放弃。此时,在支付宝上的消费也就是932元。
当然,支付宝的安全等级算是高的,从小A的交待中,我们还发现了许多网站的风控措施不严格,很容易被利用,比如每天最高限额定得过高(某知名银行每天限额达到5000元),比如更换设备登录、频繁登录没有人脸或密码校验等手段,再比如可以在网站上进行小额贷款等操作。
从上面的介绍可以看出,嫌疑人要实现盗刷需要很多条件:
第一,受害者手机要开机并且处于2G制式下;
第二,手机号必须是中国移动和中国联通,因为者两家的2G是GSM制式,传送短信是明文方式,可以被嗅探;
第三,手机要保持静止状态,这也是嫌疑人选择后半夜作案的原因。
第四,受害者的各类信息刚好能被社工手段确定;
第五,各大网站、APP的漏洞依然存在。
要满足以上所有条件,需要极大的运气。据小A讲,他一个晚上虽然能嗅探到很多短信、捕获到很多号码,但最后能盗刷成功的少之又少,而且因为很多公司的风控很严,盗刷的金额也都比较小。因此,我们要辩证、完整地看待这类犯罪,即要了解原理,也不要过于恐慌,二弟提供给大家几项最实用的办法:
- 中国移动和中国联通的手机是高风险用户,如无必要,睡觉前直接关机或者开启飞行模式。你无法接收到短信,嗅探设备也无法接收到。
- 如果发现手机收到来历不明的验证码,表明此刻嫌疑人可能正在社工你的信息,可以立即关机或者启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。
- 关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;如果看到有银行或者其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。
同时,我们也敬告广大企事业单位,对于自己单位网站、APP上的一些漏洞,要及时进行处理,避免被更多黑产人士利用,要注意在安全与便利之间找到平衡点。也再次提醒支付宝、京东、苏宁、中国移动、招商银行、工商银行安全管理团队与我们取得联系,及时封堵此次小A发现的漏洞。当然,需要说明的是,这些漏洞并非是十分危险的技术漏洞,而是存在被黑产利用的风险。
声明
1、此次龙岗公安分局抓获的犯罪团伙交待作案位置与网友“独钓寒江雪”住所位置高度吻合,但至于该网友资金是否就是被该犯罪团伙盗刷,还需技术验证。
2、其实早在6月13日,本号便率先对该手段进行了预警解读,详请阅读“恐怖!诈骗界“核武器”来袭!骗子可劫持手机短信盗刷银行卡,多人损失惨重!”当时为了避免被人利用,对关键手法进行了隐瞒。但随着近期广大媒体毫无顾忌地报道,这个手法已经被全面解读。本文虽是犯罪过程还原,但依旧隐藏了最关键、最核心的手法,不会造成犯罪教唆。
3、本文图片除特别说明之外,均来源于小编拍摄,未经许可,严禁他用。
豆瓣网友“独钓寒江雪”的案件破了!网警独家还原嗅探盗刷全过程!http://t.jinritoutiao.js.cn/egBnVu/