剛剛過去的2018年,豆瓣網友“獨釣寒江雪”的文章《這下一無所有了》 刷爆整個網絡,她以切身經歷講述了自己在毫不知情的情況下,支付寶、京東及關聯銀行卡被盜刷的全過程,引發全國網民關注,諸多媒體也對這種“短信嗅探+中間人攻擊”的手法進行了解讀。深圳龍崗警方對該案高度重視,抽調精兵強將此類新型案件進行串並研判,在一週內抓獲了數名犯罪嫌疑人,並繳獲了作案設備。
我們的資金真的不安全了嗎?到底要不要如此恐慌?如何才能有效防範?
終結詐騙的這篇文章全程還原犯罪嫌疑人的作案手法,以便尋求最科學的防範手法,同時也督促相關企業立即封堵漏洞。
2018年8月8日一大早,終結詐騙團隊在得到龍崗警方允許後,聯合騰訊守護者計劃安全團隊趕赴此次專案的主辦單位之一——深圳市公安局龍崗分局龍新派出所。
剛到了派出所,我們就驚奇地看到,龍崗分局的一個派出所竟然也成立了反詐騙中心,而且有數名專職工作人員負責反詐騙宣傳與打擊工作,所裡的一臺車也專門改造成為反詐騙宣傳車。
右邊是一輛福特中巴改造的反詐騙宣傳車
此時,專案組民警剛剛完成一夜的審訊工作,也正準備開展犯罪證據固定和偵查試驗,我們便一起行動,把其中一名嫌疑人所用的設備從作案車輛上搬了下來。很明顯,這是一臺車載嗅探攻擊設備。
全部車載嗅探攻擊設備
設備凌亂無章,竟然還有一個“美團外賣”的箱子!不過從圖中可以看出,設備裡有移動電源、插座、電腦、手機以及另外兩個不知道是什麼玩意的東西。由於要還原整個犯罪過程,我們小心翼翼地把設備搬到一間會議室。並把使用該設備的小A“請”了出來。小A三下五除二就安裝好了全部設備。
辦案民警做了一番思想工作後,小A決定配合我們還原盜刷步驟,並決定把他所知曉的所有網站、APP的漏洞告知我們,讓我們轉達給廣大網友,一定更要加強防範。
由於現在很多網站採取“手機號+驗證碼”的認證方式,在支付場景下,最多也就會認證姓名、身份證號、銀行卡號。因此,要想實現盜刷,需要知道一個人的手機號、姓名、身份證號、銀行卡號、驗證碼就足夠了。小A是怎麼做的呢?
第一步:用偽基站捕獲手機號
當受害人的手機處於2G狀態下,就很容易被不法分子捕獲手機號。
小A拿出了那個美團外賣的箱子,原來這就是他購置的中間人攻擊設備,為了能夠放到車裡,他精心做了改裝,用外賣箱子作掩護。
為了演示整個過程,小A讓一個民警把手機從4G切換到2G,充當受害者手機。他啟動了這套設備。
為了演示整個過程,小A讓一個民警把手機從4G切換到2G,充當受害者手機。他啟動了這套設備後,不到30秒,小A手中的手機就接到了一個電話,大家一看,這個電話號碼就是民警自己的手機號碼。但神奇的是,民警的電話表面看並沒有任何操作,實際上,小A就已經知道受害者的電話號碼了。
第二步:短信嗅探
光知道手機號碼其實沒太大用,因為很多網站至少需要知道驗證碼才可以登錄。這個時候,短信嗅探設備就要發揮很大作用了。一部電腦+一部最老款的諾基亞手機+一臺嗅探信道機就可以組裝好了。
小A啟動電腦及相關軟件後,先用手中的那臺老款諾基亞手機尋找頻點,小A告訴我們,尋找頻點最關鍵的一點是對方的手機不能移動(這個也是重點,請也先牢記)。
前期準備工作做完後,神奇的一幕發生了,小A的電腦上很快就出現了幾十條短信並且在不斷增加,而且都是實時的。也就是說,這臺短信嗅探設備啟動後,能嗅探到附近(大約一個基站範圍內)所有2G信號下手機收到的短信。
從短信中可以看出,有辦理稅務業務時收到的二維碼,有銀行發來的餘額變動通知,有的短信內容中還完整展示了銀行卡的賬號。
也就是說,通過這臺短信嗅探設備,小A們是可以實時掌握我們手機接受到的短信內容的,當然,有個很重要的前提是,這臺手機必須開機能正常接收到短信,而且必須要在2G信號下,而且要保持靜止狀態。
第三步:社工其他信息
所謂社工,是黑客界常用的叫法,就是通過社會工程學的手段,利用撞庫或者某些漏洞來確定一個人信息的方法。
其實通過前兩步,小A登錄一些防範能力較低的網站(一般只需要手機號+驗證碼)綽綽有餘。但是他們的目的並不僅限於成功登陸,而是要盜刷你名下的錢。所以還需要通過其他手段獲取姓名、身份證號、銀行卡號等信息,他需要社工手段來確定這些信息。
小A在現場演示社工手段,請忽略他手腕上的“銀手鐲”
小A現場演示了他掌握的一些社工 手段,讓所有在場的民警、安全專家目瞪口呆。因為他所利用的都是一些著名公司企業的常用網站、工具,但是這些網站、工具在設計過程中都存在一些能被利用的漏洞。
具體的辦法就不方便透露了。但是,要提醒以有關單位,你們真的要重視系統漏洞。
而據小A交待,他們這個圈內每個人都掌握一些辦法,有漏洞的很多。
第四步:實現盜刷
小A經過前面幾步的工作,已經掌握了一個人的姓名、身份證號、銀行卡號、手機號,並能實時監測到驗證碼。這個時候,他就可以去盜刷了。因為很多網站在設計的時候,只需要輸入這些就可以完成支付。甚至可以通過這些內容來更改登錄、支付密碼。
但還是請大家不要恐慌,很多知名網站、APP的風控做得還是比較好的,一般在識別異常後可以及時發現並攔截,為用戶減少損失。我們可以從網友“獨釣寒江雪”的支付寶操作過程,來清晰看到嫌疑人的動作和風控措施的啟動情況。
1.嫌疑人1時42分通過“姓名+短信驗證碼”的方式就登錄了支付寶賬號。這個過程只需要用偽基站和嗅探設備就可以實現。2.嫌疑人1時45分和1時48分通過社工到的信息對登錄密碼和支付密碼進行了修改,並且綁定了銀行卡(是的,哪怕你以前沒有綁定該銀行卡,他們也是可以給你綁定上的)3.1時50分-2時12分別通過輸入支付密碼的方式進行網上購物932元,並提現7578元。4.3時21分,嫌疑人想通過提現到銀行卡上的錢進行購物,支付寶風控措施啟動,要求人臉校驗,沒有通過後校驗嫌疑人便放棄。此時,在支付寶上的消費也就是932元。
當然,支付寶的安全等級算是高的,從小A的交待中,我們還發現了許多網站的風控措施不嚴格,很容易被利用,比如每天最高限額定得過高(某知名銀行每天限額達到5000元),比如更換設備登錄、頻繁登錄沒有人臉或密碼校驗等手段,再比如可以在網站上進行小額貸款等操作。
從上面的介紹可以看出,嫌疑人要實現盜刷需要很多條件:
第一,受害者手機要開機並且處於2G制式下;
第二,手機號必須是中國移動和中國聯通,因為者兩家的2G是GSM制式,傳送短信是明文方式,可以被嗅探;
第三,手機要保持靜止狀態,這也是嫌疑人選擇後半夜作案的原因。
第四,受害者的各類信息剛好能被社工手段確定;
第五,各大網站、APP的漏洞依然存在。
要滿足以上所有條件,需要極大的運氣。
據小A講,他一個晚上雖然能嗅探到很多短信、捕獲到很多號碼,但最後能盜刷成功的少之又少,而且因為很多公司的風控很嚴,盜刷的金額也都比較小。因此,我們要辯證、完整地看待這類犯罪,即要了解原理,也不要過於恐慌,現在提供給大家幾項最實用的辦法:
- 中國移動和中國聯通的手機是高風險用戶,如無必要,睡覺前直接關機或者開啟飛行模式。你無法接收到短信,嗅探設備也無法接收到。
- 如果發現手機收到來歷不明的驗證碼,表明此刻嫌疑人可能正在社工你的信息,可以立即關機或者啟動飛行模式,並移動位置(大城市可能幾百米左右即可),逃出設備覆蓋的範圍。
- 關閉一些網站、APP的免密支付功能,主動降低每日最高消費額度;如果看到有銀行或者其他金融機構發來的驗證碼,除了立即關機或啟動飛行模式外,還要迅速採取輸錯密碼、掛失的手段凍結銀行卡或支付賬號,避免損失擴大。
同時,我們也敬告廣大企事業單位,對於自己單位網站、APP上的一些漏洞,要及時進行處理,避免被更多黑產人士利用,要注意在安全與便利之間找到平衡點。
1、其實早在6月13日,終結詐騙便率先對該手段進行了預警解讀,詳請閱讀“恐怖!詐騙界“核武器”來襲!騙子可劫持手機短信盜刷銀行卡,多人損失慘重!”當時為了避免被人利用,對關鍵手法進行了隱瞞。但隨著近期廣大媒體毫無顧忌地報道,這個手法已經被全面解讀。本文雖是犯罪過程還原,但依舊隱藏了最關鍵、最核心的手法,不會造成犯罪教唆。
2、本文圖片除特別說明之外,均來源於終結詐騙小編拍攝,未經許可,嚴禁他用。
感謝終結詐騙團隊對反詐騙工作一如既往的深入研究和廣泛宣傳
閱讀更多 公安部刑偵局 的文章
