Author:360天眼實驗室
人在做,天在看。
360天眼實驗室經常性地處理各種網絡詐騙,騙子們八仙過海,各顯其能,懂技術的用技術,技術不行的就看套路。本文對一個網友的被騙經歷揭密其背后的邏輯,一切基于網友所提供出來的信息。
2016年4月11日,趣火星發出了一篇文章,標題是“中國移動,請你告訴我,為什么一條短信就能騙走我所有的財產?”,文章中稱“因為一條短信,一夜之間,我的支付寶、所有的銀行卡信息都被攻破、所有銀行卡的資金全部被轉移。”
下面的分析都是基于作者長微博中所寫而作,因為有些地方寫的語焉不詳故分析可能會有誤。我們的分析順著網絡接收的信息揭露幕后黑手的目的和達到的階段,我們看到受害者如何一步步在攻擊者的誘導下泄露整個操作相關的關鍵數據,在一些地下黑庫信息的推波助瀾下,最終落入陷井成為獵物。
分析:訂制這些業務的目的之一,就是引起手機使用者的注意。
分析:在這個過程中,實際上幕后的黑手就是要讓手機使用者感覺到手機因為被瞎定制業務而導致停機。(注:此處截圖,我故意抹去了驗證碼那條短信,原因后面會詳述。)
分析:這個106581390開頭的號碼其實是139的郵箱服務,受害人所收到的短信,實際上是由手機號13816280086通過郵箱服務發送出來的。而受害人向10658139013816280086回復短信則實際上是將短信發送到手機號13816280086的139郵箱中。因此這個手機號的使用人參與作案的嫌疑是非常大的。關于139郵箱服務的介紹可以見下圖。
圖 139郵箱服務介紹。
分析:在前面的分析過程中,我故意截去了紅框處的短信,現在放出來,就是讓大家有個對短信的時間順序有個了解。也就是說,在這個過程中,受害人收到了一條帶有6位驗證碼的短信。那么這條短信有什么作用呢?原來這條短信是用來進行4G自助換卡的確認短信。
在受害人將這6位確認碼通過短信回復給10658139013816280086之后,13816280086的139郵箱就馬上在網站上操作了自助換卡。而這個信息也和隨后的“北京移動10086熱線”回應相印證。
圖 北京移動10086熱線的回應
分析:也就是說,在回復完短信不久后,受害人的手機就無服務了,實際上就是受害人手中的SIM卡已經被作廢了。而受害人卻一直以為是停機了,實際上在這種情況下,一定要警醒,比如可以嘗試用另外的號碼撥打一下是不是停機狀態(當然,這個方法并不一定靠譜,因為可以呼叫轉移到一個停機的號碼上)。這種攻擊,算是補卡攻擊形式的一種。
分析:手機連著wifi且支付寶還開著推送,正是因為這條信息,讓受害人開始產生了一絲警覺。
分析:此時幕后黑手,已經將受害人的支付寶搞定了,并將受害人支付寶賬號上的資金進行轉移。
分析:這個號碼和幕后黑手有什么關聯目前不清楚。但13816280086這個號碼肯定是有關聯的。
分析:把錢轉給一個可靠的好友,這個方法是可行的。另外,受害人其實可以看看,可信設備中,有沒有其它異常機器的登錄記錄。
分析:中國銀行、招商銀行這些銀行的登錄密碼都被改,可想受害人的密碼應該是早就有泄露的。
分析:受害人的163郵箱也被搞了,至于說和前幾天的網易52G有沒有關不清楚,但縱觀整個事件,受害人被幕后黑手提前做好了背景調查是肯定的。
分析:在百度錢包這個過程中,我比較好奇的是,受害人的銀行卡號是如何被幕后黑手得知的?快捷支付目前主要是通過銀行卡號、姓名、身份證號,銀行卡綁定的手機號及下發到該手機號上的短信驗證碼進行鑒權。
套用TK的一句話,我們可能是最后一波曾經有過隱私的人。
網絡發達的現在,個人信息的保護尤其重要,特別是很多網站都發生過數據泄露事件。很多被曝出來的數據庫都是在地下產業鏈中玩爛了,已經很難再榨取出價值后才被拋出的。
在這個事件中,實際上還存在很多疑問。比如,受害人的手機號、身份證、姓名、銀行卡、銀行登錄密碼、移動官網的登錄密碼、網易郵件等等這些信息,幕后黑手是怎么得到的?