银行短信也有假!这是一次我亲历的钓鱼短信攻击,攻击者使用伪基站伪装成银行的短信服务号发送通知短信,因此具有极强的迷惑性,普通用户根本无法分辨。现记录下攻击方式,并进行简单分析,便于大家提高甄别信息真伪的水平,避免更多的人受到财产损失: -缘由- 昨天真的是美好的一天,广州风和日丽,阳光灿烂。又加上闰秒来临,早晨可以多睡一会儿,或者可以晚一点上班——虽然只有那么一秒的时间,但这便宜来的不费吹灰之力,绝对是白捡的。 想到这里,就心情大好。 就在上班途中,我忽然收到一条发自95555的通知短信。打开一看,是一条来自银行短信中心的积分兑换提醒。如图: 图中有三条短信,前两条都是6月30日本人取款时候的正常业务通知,最后一条是刚收到的。乍看之下,没啥问题,但是,隐约觉得短信内容有那么一点点奇怪,对于一个细节敏感的强迫症来说,不寻常,列出疑点如下:
除此之外,这条短信迷惑性超高!刚看到的一瞬间甚至让我恍惚回忆了一下我的积分情况。对于英文不好排斥看网址的客户,这个短信简直具有绝对的杀伤力。特别地,最容易让人产生信任感的是短信的发送方:95555,有些手机自带的地址簿软件甚至都自动给这个号码配上了图标,比如我的: -分析- 顺手把短信截图发给群里的朋友们看,然后开始研究。有朋友回复:“会不会是号码比较像,被手机错误归类了”。 ——呃,简直是黑我大华为的短信归档程序! 怎么可能? 好吧,我看看。 比较之下,几条关键区别:
基于对短信通讯协议的理解,马上可以断定:新来的短信不是来自正常的移动网络——而是移动伪基站! ——即使,发送地址是95555。 头一回! 从没碰到过! -追查- 由于今天闰了一秒,我又没有睡懒觉,所以有机会比之前更早到公司。又所以有多出来那么一点点时间,可以研究一下这个钓鱼短信。 点开伪基站发送的钓鱼网站地址,会打开一个山寨的银行网页,不那么像,不过还凑合。网页会逐步引导用户填写资料,当然,我机智的填写了隔壁邻居的信息。网页最后一步,是让下载一个“招行积分”APP,点任何链接都是下载这个APP。当然——它也是山寨的。如图: 按照提示,在填写了一些个人信息后下载了这个安卓手机程序,安装到了我的——当然是虚拟机中,APP安装后会显示在桌面应用列表,但运行一次或者重启后就消失掉了。实际APP隐藏了桌面图标,作为一个服务潜伏了下来。手动进入已经安装的应用列表,还是能够看到被安装的APP。 这个APP申请了一堆高危权限,例如:开机自动启动、收发短信、完全的网络访问、获取位置、拍摄照片和视频。而这其中危害最大的,就是发送和接收短信的权限。 由于很久不做安卓开发,公司电脑虚拟机相关可玩的东西不多,所以截图之后开始做逆向静态分析,分析过程、方法和细节略过(上班期间,时间较少,请高手指正,BOSS看到本文请…无视),只讲结论。 这个APP安装到手机后具有较大的危害性,表现如下:
上图可见手机号码:15816857541。APP被安装后,自动向这个号码报告情况。(——深圳移动能看到这个文章不,可以O2O报案不?) 这…… 是一个专门针对手机网银的木马APP程序,偷取网银X.509证书直接让我ORZ了(发送代扣费指令已经过时)。上网搜索了一下,它的同门兄弟(或者变种)一个建行木马在2013年就被人发现并分析过。看来是源码又被卖给了新入行的小兄弟,小兄弟改了一下准备开创一份轰轰烈烈的事业,并希望藉此谱写一篇行业新传奇走向人生巅峰,然后陷入囫囵。呃…… -总结- 整个钓鱼网站和木马程序实际跟以往没有太多的新意,但整体的这次钓鱼攻击,还是有2个亮点:
短信贴图发到朋友圈后,有技术小白朋友问如何防范此类伪基站钓鱼信息。 几点防范意见供参考:
- 热门文章阅读 -
|
|
来自: 昵称71360118 > 《待分类》