|
酷玩实验室作品 大家好,我是蛋蛋姐 你们有过这样的经历吗 只是睡了一夜 你支付宝、银行卡上的钱 全部被洗劫一空! 甚至在京东还欠了钱 你的手机上 收到了100多条短信 大多都是各平台的验证码 但是你的手机一直放在身边啊 你家里也并没有别人 可是钱真的不见了  听起来很惊悚是吧 但这却是真实发生的事情 就在前段时间 我和我的程序猿小学同学Zero哥 没错,就是糖醋排骨 做得超好吃那个 就一起发现了一件这样的事情 而且 Zero哥还用他程序猿的方式 还原了整个作案过程 他得出这么个结论 要实现盗刷 必须具备这么几个条件 第一:手机要开机并处于2G 第二:手机号必须是中国移动和中国联通(电信的偷着乐吧) 第三:手机要保持静止状态 第四:受害者的各类信息刚好能通过社工手段获取(纯技术活) 第五:各大网站、APP存在漏洞(手动@支付宝、京东。。。。) 事情的起因是这样的 豆瓣网友“独钓寒江雪” 在豆瓣发表文章 《这下一无所有了》 讲述了自己的经历 为了叙述方便 下面就以“小雪”作为 这位网友的代称 事情的经过是这样的: 7月30日凌晨 小雪被尿憋醒 起来上厕所时发现 手机一直在震动 拿起来一看 有上百条未读短信 竟全都是关于验证码的 支付宝、京东、余额宝、银行卡 所有钱都被转走了 还在京东被借走了一万多  图片来源:豆瓣网友“独钓江寒雪” 小雪惊醒 立刻打电报报了警 支付宝报理赔 并打移动停机 这位小雪同学还算机敏 遇事沉着不慌 不过事情并没有想象中顺利 接下来的几天 小雪去公安局录了口供 去银行查流水 找支付宝客服、京东客服、苹果客服 几次和京东交涉 换来的都是按时还款的温馨提示 利息一直在产生 支付宝最开始也表示 拒绝赔付 是因为在支付宝看来 这个操作 非常像本人所为。。。  图片来源:豆瓣网友“独钓江寒雪” 因为这个账户的验证码安全校验 都是一次性成功通过 还有近9成的资金 都被转入了小雪自己的银行卡 不过,幸运的是 在这位网友报警之后 深圳警方在一周之内 就抓获了犯罪嫌疑人 并缴获了设备 罪魁祸首竟然是 一个嗅探盗刷团伙 支付宝和京东方面也做出了赔付 8日,支付宝赔付到账 10日,京东的借款“还清” 案子破了 事情也解决了 Zero哥也得出了那么个结论 但是蛋蛋姐却依然非常慌张 为什么睡了一觉钱就被盗走? 明明没有给别人看验证码啊 嗅探盗刷团伙又是个啥? 设备被缴了还可以重新买啊 万一哪天轮到我了怎么办? 虽然我也没啥钱。。。  我缠着Zero哥 给我复盘了盗刷的整个过程 并记录如下 想要实现盗刷 拢共分四步 第一步 先用伪基站获得手机号  其实前几年 就曾发生过多起 银行卡被盗刷的案件 近年来,随着相关技术的外泄 伪基站泛滥起来 一套伪基站的价格 也迅速从几十万元 迅速下降到了1万多 犯罪成本可以说是大大降低 一套伪基站通常是由 笔记本电脑、主机、短信群发器 和蓄电池组成 只要有了这一套伪基站 再加一部手机 就可以攻击了 但是还有一个非常重要的前提 就是受害人的手机 必须是处于2G的状态下 才可以成功入侵 就像小雪的案例一样 但是我们都用的是4G呀 要怎么变成2G呢 Zero哥说这个就简单了 对于程序来说 这就是一个转码/解密的过程 他还特地给了我下面这张 关于转码的代码  图片来源:zero哥提供 当手机处于2G状态 启动伪基站设备后 手机就会被吸附 不到30秒 犯罪分子手中的手机 就会接到一个电话 来电显示的号码 正是被害人的手机号码 而且被害人的手机 不会出现任何异常  第二步 短信嗅探 知道了手机号码之后 接下来到了重头戏 获取验证码 大家都知道 平时登录账号的时候 验证码简直比密码还重要 但是犯罪分子是 怎么做到悄无声息 获取到验证码的呢 zero哥告诉我 只需要一整套短信嗅探设备 这个嗅探设备可以做到 实时掌握受害者手机 接收到的短信内容 前提是手机能够收到短信 保持在2G信号 并且还要保持静止状态 这也是为什么小雪的手机 是在熟睡时被入侵的 第三步 社工手段 有了手机号和验证码 其他信息包括受害人姓名 身份证号、银行卡号 这些信息 就要通过社工手段来获得了 不过主要是因为 很多网站都存在漏洞 犯罪分子就是利用了这一点 当然,具体是什么漏洞要怎么做 Zero说不能告诉我 因为这是违法的 不过他提到 这些信息获取后都会在数据库中 这老去拿多不方便啊 然后他用JAVA语言给我展示了一段代码 可以把数据库中的数据 导出到excel中  图片来源:zero哥提供 的确,存在漏洞的不止是小网站 在小雪的案件中 我们才知道 就连支付宝、京东、中国移动 这些大公司 统统都存在漏洞  第四步 实现盗刷 所有信息都搞到手了 还能实时获取验证码 就可以实现盗刷 甚至直接提现 不得不说 现在的犯罪分子的花样还真多 也是应了那句老话 流氓不可怕 就怕流氓有文化 其实,盗刷银行卡 早就不是什么新鲜事了 盗刷事件一直在发生 犯罪分子的手法是越来越高级 犯罪工具越来越高端 甚至形成了一个完整的产业链  据报道 在这个行业里 有着非常明确的职责划分 负责盗刷的人被称为“料主” 洗钱环节成为“洗料” 通常情况下 由料主把所需要的手机号、验证码 提供给洗料的人 由洗料的人进行销售变现 这样一波操作下来 盗刷的钱也就变得光明正大了 2017年5月 一位刘姓女士发现 自己的信用卡被盗刷了 “5月4日在不知情的情况下被刷走了一笔1990元的账单,此后又有好几笔被转走。” 原来,这位刘女士的 信用卡信息已经泄露了 很有可能是在登录银行网站填写信息时 被虚假网站“钓鱼”了 但其实在这个庞大的黑色产业链中 这1990元只是九牛一毛 一般情况下 犯罪分子启动伪基站后 会向外群发短信 有人可能会问了 经常收到垃圾短信 谁会看啊 但是你有没有想过 假如群发1000条短信 其中有100人会看短信 有10个人点击链接 那就够了 即使1000个人里只有1个人 点击链接 那也是稳赚不赔的买卖 专职诈骗的人 一天平均群发短信的数量 就是30000条 你永远不会知道 骗子有多么努力  点击钓鱼网站的链接 进入该网站并下载 所谓的安全控件 那么银行卡信息就会泄露出去 信息只要泄露了 就非常容易被盗刷 在行业内 银行卡信息都被称为“料” 有验证码的叫“拦截料” 从博彩网张截来的叫“菠菜料” 直接在atm上安装盗窃软件的叫“轨道料” 总之,这些料不管来自哪里 都需要洗 最传统的手段就是直接提现 这类洗料人也被称为 “取手团队” 他们通常会 直接复制一张跟原卡 一模一样的银行卡 然后洗料人直接去取款 不过,这种方法太容易暴露 经常被抓,风险很大 根据行规 一般情况下是开钓鱼网站的料主 把料提供给洗料人 洗料人再通过自己的渠道 把钱取出来 所得赃款按比例分成 虽然,偶尔也会出现 料主和洗料人 之间黑吃黑的现象 也就是洗料人自己去取钱 却独吞了赃款。。。 从伪基站群发木马短信 诱导受害者点开链接 再到钓鱼网站获取用户信息 再到洗料人通过渠道 把钱洗白后分赃 每一个环节都分工明确 月入十几万并不是什么难事 互联网的发展 和技术的进步 让骗子的花样越来越多 信息无处不在泄露的我们 真的是防不胜防 有人说 信息泄露了太多次 我自己都已经麻木了 可是蛋蛋姐要跟大家说的是 我们还是不能麻木 因为这一刻你失去的是信息 下一步就极有可能 是你起早贪黑省吃俭用 才有的那点积蓄 根据《2016年国内银行卡 盗刷大数据报告》 (未找到2017年) 这一年共发生了7095次盗刷案件 不仅包括线上的各种方式 线下的各种银行也在劫难逃 工商银行用户损失达3874.8万元 建设银行用户损失3720.4万元 招商银行用户损失金额2358.3万元 似乎哪个途径都不安全 你也永远不会知道 犯罪分子下一步会耍什么花样 蛋蛋姐真心地希望 这样的事情能够不再发生 并托Zero哥给大家整理了一些 保证自己财产安全的建议: 1.坚决不点击(扫描)任何来历不明的链接(二维码),不管是微信还是短信 2.不下载来历不明的应用 3.保管好手机验证码 4.晚上睡觉前将手机关机或设置飞行模式 对于这种存在漏洞 又不积极解决的运营商 Zero哥说 。 。 。 。 我劝你趁早换 酷玩实验室整理编辑 |
|
|
