趣火星之支付宝、网银盗刷事件分析

一种补卡攻击的套路全分析

Author:360天眼实验室

0x00 引言


人在做,天在看。

360天眼实验室经常性地处理各种网络诈骗,骗子们八仙过海,各显其能,懂技术的用技术,技术不行的就看套路。本文对一个网友的被骗经历揭密其背后的逻辑,一切基于网友所提供出来的信息。

0x01 套路分析


2016年4月11日,趣火星发出了一篇文章,标题是“中国移动,请你告诉我,为什么一条短信就能骗走我所有的财产?”,文章中称“因为一条短信,一夜之间,我的支付宝、所有的银行卡信息都被攻破、所有银行卡的资金全部被转移。”

下面的分析都是基于作者长微博中所写而作,因为有些地方写的语焉不详故分析可能会有误。我们的分析顺着网络接收的信息揭露幕后黑手的目的和达到的阶段,我们看到受害者如何一步步在攻击者的诱导下泄露整个操作相关的关键数据,在一些地下黑库信息的推波助澜下,最终落入陷井成为猎物。

分析:订制这些业务的目的之一,就是引起手机使用者的注意。

分析:在这个过程中,实际上幕后的黑手就是要让手机使用者感觉到手机因为被瞎定制业务而导致停机。(注:此处截图,我故意抹去了验证码那条短信,原因后面会详述。)

分析:这个106581390开头的号码其实是139的邮箱服务,受害人所收到的短信,实际上是由手机号13816280086通过邮箱服务发送出来的。而受害人向10658139013816280086回复短信则实际上是将短信发送到手机号13816280086的139邮箱中。因此这个手机号的使用人参与作案的嫌疑是非常大的。关于139邮箱服务的介绍可以见下图。

图 139邮箱服务介绍。

分析:在前面的分析过程中,我故意截去了红框处的短信,现在放出来,就是让大家有个对短信的时间顺序有个了解。也就是说,在这个过程中,受害人收到了一条带有6位验证码的短信。那么这条短信有什么作用呢?原来这条短信是用来进行4G自助换卡的确认短信。

在受害人将这6位确认码通过短信回复给10658139013816280086之后,13816280086的139邮箱就马上在网站上操作了自助换卡。而这个信息也和随后的“北京移动10086热线”回应相印证。

图 北京移动10086热线的回应

分析:也就是说,在回复完短信不久后,受害人的手机就无服务了,实际上就是受害人手中的SIM卡已经被作废了。而受害人却一直以为是停机了,实际上在这种情况下,一定要警醒,比如可以尝试用另外的号码拨打一下是不是停机状态(当然,这个方法并不一定靠谱,因为可以呼叫转移到一个停机的号码上)。这种攻击,算是补卡攻击形式的一种。

分析:手机连着wifi且支付宝还开着推送,正是因为这条信息,让受害人开始产生了一丝警觉。

分析:此时幕后黑手,已经将受害人的支付宝搞定了,并将受害人支付宝账号上的资金进行转移。

分析:这个号码和幕后黑手有什么关联目前不清楚。但13816280086这个号码肯定是有关联的。

分析:把钱转给一个可靠的好友,这个方法是可行的。另外,受害人其实可以看看,可信设备中,有没有其它异常机器的登录记录。

分析:中国银行、招商银行这些银行的登录密码都被改,可想受害人的密码应该是早就有泄露的。

分析:受害人的163邮箱也被搞了,至于说和前几天的网易52G有没有关不清楚,但纵观整个事件,受害人被幕后黑手提前做好了背景调查是肯定的。

分析:在百度钱包这个过程中,我比较好奇的是,受害人的银行卡号是如何被幕后黑手得知的?快捷支付目前主要是通过银行卡号、姓名、身份证号,银行卡绑定的手机号及下发到该手机号上的短信验证码进行鉴权。

0x02 写在最后


套用TK的一句话,我们可能是最后一波曾经有过隐私的人。

网络发达的现在,个人信息的保护尤其重要,特别是很多网站都发生过数据泄露事件。很多被曝出来的数据库都是在地下产业链中玩烂了,已经很难再榨取出价值后才被抛出的。

在这个事件中,实际上还存在很多疑问。比如,受害人的手机号、身份证、姓名、银行卡、银行登录密码、移动官网的登录密码、网易邮件等等这些信息,幕后黑手是怎么得到的?

©乌云知识库版权所有 未经许可 禁止转载


30
爱捣蛋的鬼 2016-05-04 10:10:32

@Marco韬
和微信支付宝一样啊,属于快捷支付,不要支付密码的,只要你手机验证码过一次就行了

30
rosuh 2016-04-26 18:41:52

。特地到网上营业厅查看了一下...在线自助换卡已经不能办理了。坐标GD。

30
BLusLI 2016-04-20 11:24:27

刚查了一下自助换卡的流程,网上营业厅也可以自助换卡,或者准备充分之后才实施的攻击(欺骗)

30
564 2016-04-16 22:17:30

楼上所有评论,我归为小白

30
Marco韬 2016-04-16 21:48:46

怀疑是通过百度钱包捆绑了银行卡,这样就绕开了卡的支付密码,转为使用百度的支付密码。

30
oneodedsfs 2016-04-16 12:29:35

智向电子技术有限公司的手机定位卡很明显的内嵌技术性功能完美诠释了这个的实现的必然性

30
phoenixne 2016-04-16 08:44:07

也就是 手机卡,变成了一个关键点。
只要能搞定手机短信,那一切所谓的安全验证 都不存在了。

2步验证 是否能就靠 手机验证通过呢?

30
hkjl 2016-04-15 08:26:59

手机短信验证还是太单一

30
hasz 2016-04-14 19:10:07

@xxx
感觉电话卡芯片,没那么愚蠢的设计!

30
jye33 2016-04-14 19:09:35

疑点很多

30
睾大强 2016-04-14 17:52:44

这尼玛

30
xxx 2016-04-14 10:34:50

@hasz 这些就是语焉不详的地方。

30
被抢走ID的CF_HB 2016-04-14 00:31:59

手速。。。

30
MakiLLING 2016-04-13 20:44:12

真的换卡成功了

30
晓庄 2016-04-13 19:42:49

吓得我菊花一紧。

30
_Condense 2016-04-13 19:40:56

但是移动换卡需要旧的usim卡卡号啊… 我也是北京移动的,流程应该一样才对。而且会发送一条到原有卡「您好!您已经成功发送了换卡操作申请,换卡后原卡将无法使用。如确认换卡,请在30分钟内回复任意字符,不回复则取消换卡申请。」的提示才对。这个很可疑...

30
hasz 2016-04-13 19:25:33

新卡启用后,旧卡应该就不能再用了,他什么第二天又可以了?
这些卡和账号,估计都是跟手机绑定的!

30
hasz 2016-04-13 19:22:08

我感兴趣的是,USIM卡他是如何拿到,并能启用?新卡应该跟旧卡一样有受害者的信息!

难道USIM卡,可以随便写个号码?只要一个验证码?

感谢知乎授权页面模版