|
文章开始前先说两个事情吧:
今天,老骆驼要和大家聊一聊短信验证码的安全。短信这个功能,从设计之初作为交流沟通的一种技术手段,随着互联网和移动互联网的发展,其身份属性也在不断变化。先是各家公司将手机短信验证作为防止账号注册滥用的限制手段,再是将短信验证作为交易时多因素身份认证的一个补充,再到现在将短信验证码作为“本人操作”的重要凭证之一;随着移动互联网的发展,业务操作便捷性的要求越来越高,而在没有更合适的身份认证手段出现之前,短信验证码也承担起了超出其安全风险抵御能力的角色。 短信验证码的发送、接收、使用安全,可以从用户、运营商、系统提供方三方面各来讲一讲,限于篇幅,作为面向公众科普信息安全的公众号我们今天只聊一聊我们普通用户有哪些行为可能导致短信验证码的泄露。还是老样子,老骆驼不擅长华丽文字,只会讲故事,包括上篇文章发出来后后台很多朋友问我是不是在写小说,大家只当我是在编故事来看就是了。 以下故事,如有雷同,纯属巧合! 2020年9月19日下午,业主群里看到几条聊天记录。第一眼就知道是个电信诈骗信息,由于当时邻居第一时间指出是诈骗,所以并没有引起我的关注。 典型的通过短信群发包含钓鱼网站的信息,诱骗大家在网站上输入各类信息后盗取资金。这类诈骗作案类型有个特点就是紧跟热门消息,2020年6月相关政府部门刚发布的《关于协同推进“互联网+不动产登记”方便企业和群众办事的意见》,提出了房产证电子证书,都还没开始推广,电信诈骗犯罪分子就已经走在前面了。去年交通部门推广ETC时,也有类似的“ETC认证失效”的诈骗短信。一般大家看到这类短信警惕性都比较高,但难免还有些人会上当受骗,所以还是有必要给大家分析一下。 警惕性高的人,收到这样的短信后上网查一下发送的号码来源地就会发现异常:0060开头的是马来西亚的,+852开头是香港的; 由于目前监管部门打击这类电信诈骗的力度也比较强,在网上能查到的这类钓鱼站点都是已经被关闭无法访问的,老骆驼通过技术手段找到一个还可以访问的“漏网之鱼”给大家做介绍。 一来就直奔主题,问你要银行卡卡号、身份信息、预留手机号码,当然大家肯定也猜得到,网站的对面有一个犯罪分子在等着你提交信息,如果你提交了信息,会发生什么呢? 让用户等待“2分钟”,正常的系统肯定都不会这么设计的。这个时候,犯罪分子正复制你提交的信息在某些站点上进行输入,为了让大家更直观的了解作案手段,老骆驼再次借助技术手段进到犯罪分子的后台操作界面: 后台操作其实也比较简单,展示着受害者提交的信息,在受害者在线的情况下可通过后台控制受害者的手机输入页面,一开始是输入身份信息和银行卡、电话号码,犯罪分子只需要提前在支付平台上注册一个账号,在进行绑卡操作时输入获取的受害人银行卡及身份证信息(等待2分钟的原因),再通过后台操作让受害者的手机界面跳转到短信验证码接收页面,等受害者输入短信验证码后将获取的短信验证码在支付平台提交,完成绑卡实名认证步骤。剩下的就可以通过支付平台的消费将钱盗走。当然,消费时如果需要短信验证码还可以通过控制页面让受害者再次输入一次短信验证码。 (该钓鱼站点老骆驼已在线举报) 对于这种犯罪手段,老骆驼给的建议是: 告诉家里的长辈亲人,手机短信、聊天软件收到的链接不要轻易点开,如果点开的链接只要让你输入银行卡密码的都是诈骗信息!(实际上收到的号码显示为运营商、银行发的短信,也不一定都是安全的。这个留着后面有机会其他文章里再说)一定要保护好自己的短信验证码和银行卡密码!
2015年的某天,一位朋友找到我,要求帮忙分析一起因手机感染病毒导致的银行资金账户被盗案。 跳过中间木马病毒分析的技术细节,把手机病毒特点及作案步骤过程介绍给大家: 木马特点: 1.木马具有一定隐蔽性,运行后删除自身图标,申请权限设置开机后台自启动,可对特定的短信进行隐藏让受害者无法发现 2.通过向受害者手机发送特定的短信指令来远程控制木马窃取通讯录和短信内容,以邮件发送的方式盗取短信和通讯录。 作案流程: 1.犯罪分子挑选其认为有价值的目标群体(从犯罪分子邮箱中看到的本案受害者所在城市以山西吕梁为主,涉及“煤矿”的商人较多。当然这个木马肯定也有在其他城市的特定人群中传播),以群发短信的方式传播木马:“XXX,你爱人做的事,自己看一下 http:///xxxx”、“XXX你家人背着你做的事情,你自己打开看看就知道了。http:///xxxx” ;受害者收到短信后,如果是原本对自己的爱人就有猜疑,伴随着愤怒的心情去打开链接,会发现是要安装一个app,但这时候不理智已经占据上风;安装完成后桌面上出现一个“资料”的新图标,打开后却发现什么都没有,图标也自己消失了。对于不熟悉手机操作的人,会觉得可能是恶作剧,加上安全意识的缺失,也就不管了。
2.此时,如上图所示,木马会在手机后台偷偷向犯罪分子的手机号码发送一条信息,告知犯罪分子受害者的手机号码及手机特征码。犯罪分子再通过发送'GET SMS' 和 'GET BOOK'的指令,将受害者的短信和通讯录内容窃取到指定邮箱中。
3.拿到短信内容后,犯罪分子从大量的短信内容中搜索与身份证号码、银行账户相关的信息,匹配到有价值及具备作案条件的受害者。在2015年,微信聊天还没有全员普及的时候,还是有一部分人将手机短信作为平时聊天的主要方式,而在聊天内容中部分人还会将银行卡信息和身份证信息通过短信方式发送,也就给了犯罪分子可乘之机。 4.凭借掌握的受害者银行卡、身份证信息以及对手机短信验证码可随时远程获取的条件,犯罪分子在支付平台上绑定银行卡并进行资金窃取。 5.前面拿到的通讯录信息还是有其他作用的,犯罪分子利用获取的通讯再次批量发送短信,“XXX,看看你爱人背着你干的好事,http:///xxx”。收到带链接的短信大部分人本来都会无视,但收到一条带自己姓名的,还暗示自己被“绿”的短信,对于原本就有猜疑或者爱人有“前科”的人来说,能冷静淡定的不去点开就太难了。就这样,这个木马一传十、十传百的扩散开来。截至老骆驼发现这个链条并将其断开时,邮箱里已经有几千名木马感染者了 。 对这个案件的分析和建议: 1. 聊天软件、短信里的链接,没把握的情况下不要随意打开。 2. 手机里使用过的身份证、银行卡信息应及时清除,如照片、短信记录。 3.安装手机软件,从自带的应用商城或者大厂商的应用商城中下载 。 4.手机系统有更新时应及时更新,手机操作系统的更新一般都有安全防护能力上的提升。(后面有演示在新版手机操作系统上安装手机木马的结果) 5年前犯罪分子还需要通过查找受害者短信记录里的内容来获取身份证、银行卡信息,以目前的个人信息泄露的状况和手机木马的技术发展。如果你的手机感染木马,盗取资金已经不是难事了。5年前的犯罪手段,现在也有了一些新的变化,例如木马发送前犯罪分子会配合从其他渠道获取的一些泄露的个人信息,假冒学校老师身份向家长发送信息让安装“校讯通”查看孩子的校内表现、假冒政府部门发送“补贴领取”的通知等等。 为了让大家更直观了解现在的手机木马,老骆驼在自己的测试手机上安装了一款手机木马:
手机感染木马后,通过网络主动连接对方,对方可通过控制台远程管理所有受害者的手机。
木马的功能齐全,包括对手机内的文件进行查看和修改、短信查看和发送、电话记录查看和拨打、通讯录管理、GPS定位、远程拍照和录音,以及对手机键盘输入进行记录等。
短信管理能让木马控制者轻易查看你手机里的短信
通过摄像头管理功能实现对受害者隐私的隐蔽窥探 如果受害者使用的是最新版本的手机操作系统,这种情况下安装木马,会出现什么情况呢?老骆驼在自己的华为P30,EMUI10.1.0手机上做了个测试(危险动作,请勿模仿):
手机在木马被安装后对木马进行了检测并提醒存在风险要求用户立即卸载。既然都提示成病毒软件了,相信大家安全意识再差也会点“立即卸载”了 由于手机丢失、被盗导致的短信验证码泄露。参考老骆之前的亲身经历写的丢手机的文章做一个反面教材。当然这种确实是个案,大部分情况下大家遇到的手机被偷还是普通的盗窃手机的情况居多,无需过度恐慌,但需要了解如果出现手机丢失的意外后最好的处理办法:第一时间挂失手机卡,为了防止手机丢失后自己未第一时间发现的情况,可以通过设置sim卡密码来加一重保护。 总结 老骆驼通过上面举的三个例子,给大家讲了下如何避免因为咱们个人的原因而导致个人信息、短信验证码泄露被犯罪分子利用。但随着犯罪分子技术的不断更新,对方肯定也会开发出更多的“犯罪套路”来让我们“犯错误”。老骆驼建这个公众号的目的也是想通过自己的知识和技术,来提醒更多的人加强安全防范意识。也希望有相关线索或者案例想分享给大家的人,可以通过讨论或者给公众号留言的方式来帮助更多的人! 后续文章预告: 《老骆驼聊安全之短信验证码(二)》 《老骆聊安全之公民个人信息泄露》 |
|
|
来自: 东关人 > 《智能手机使用技巧七》
(我想说的是:只要你干的是让人不安宁的坏事,就算每天看这句话百遍千遍也得不到真理或安宁)
