诈骗分子使用网络改号软件,以冒充公检法人员等方式骗走其1127万元人民币.......
案例:深圳一工程师40天被骗千万
2月,深圳发生一起特大电信诈骗案件:41岁的常某是深圳某著名IT企业工程师。从2014年12月21日至2015年2月1日,诈骗分子使用网络改号软件,以冒充公检法人员等方式骗走其1127万元人民币。据报道,1-8月,全国公安机关共立电信诈骗案件31.7万起,同比上升31.5%,群众损失近百亿元。
实验时间:2月28日、29日。
实验地点:西安四叶草信息技术有限公司、华商报社。
实验人员:四叶草公司技术总监赵培源,CloverSec实验室负责人朱立军,安全研究员袁伟、田铭、宗小蝶。
实验顾问:国内知名网络安全专家、四叶草公司CEO马坤,西安电子科技大学网络与信息安全学院副教授、教育部信息安全团队骨干成员杨超。
实验1
某网络电话有漏洞 可冒用任何手机号注册打电话。2月28日,西安四叶草信息技术有限公司安全研究员田铭发现:某网络电话在注册环节有漏洞,只要知道一个人的手机号,就可冒用该号码成功注册,并给其亲友打电话。
在实验室,技术人员演示过程:在电脑上下载该网络电话应用软件,点击“手机号注册”,田铭用同事宗小蝶的手机号注册网络电话账号,填写手机号下的图形验证码后提交,宗小蝶的手机立即收到一条验证码。田铭继续操作,弹出的页面中,最上面是刚才填写的手机号,下面有3个对话框:短信验证码、密码、确认密码。
密码是现设的,短信验证码不知道怎么办?田铭在点击注册前,已打开了一个特殊程序,将刚才通过浏览器的数据抓了包。由于此前已知该网络电话平台注册时的验证码为4位数,便在验证码对话框随便填写了4个“0”,设了密码后开始启用另一个特殊工具对验证码进行破解,随后,便获知了系统所发的4位数验证码,和宗小蝶手机收到的一样。
之后,系统自动将该验证码输入对话框,提交后注册成功。登录该网络电话客户端,使用宗小蝶手机号注册的账号已能通过电脑拨打网络电话。田铭拨打自己的手机号,电话界面上显示的正是宗小蝶的手机号。
总结
3漏洞导致机主被冒名却不易觉察
技术总监赵培源和安全研究员袁伟认为,由于该网络电话有3点漏洞:一是在注册过程中弹出的第二个页面缺少一个图形验证码,导致无法区分是人还是机器操作,给机器“暴力破解”留下可能;二是注册时的验证码是4个数字,较易破解;三是平台服务器没有试错次数限制。
赵培源说,从实验中看出,打网络电话时,手机没反应,虚拟的网络电话号码和手机SIM卡的真实手机号并非真正绑定。注册中要求输入验证码,只是一种形式,机主一旦被冒名注册,除可能会收到一条验证短信外,别人冒用这个手机号干什么,机主并不知道。
提醒
骗子最喜欢冒充公检法和银行
专家提醒,防止电信诈骗,一定要记住以下几点:
1.接到熟人电话号码有怀疑,就直接回拨过去核实,通常会立即弄清是否是骗局。
2.手机收到莫名其妙的注册短信或验证码时要留心,当心手机号被骗子冒用注册了网络电话。
3.网络电话接通时会有一两秒的延迟,接电话时可以留意一下接通时间;据警方介绍,若是国外打来的通过改号软件改过的号码,会在前面强制加上“+”或“000”的符号,如国外有人冒充10086,就会来电显示+10086或00010086。
4.骗子最喜欢冒充公检法和银行。
5.如果电话另一头刻意引导你的思维和注意力,甚至故意不给留出思考的时间,就要特别注意,一定不要被牵着鼻子走。
閱讀更多 惠州市反詐騙中心 的文章
