“钓鱼者联盟2” 火爆上映中——银行存款杀手重装上阵 fenggou,信息安全,鸡尾酒,电吉他,摄影。 (呃,现在说多图预警还来得及么…) 今天乌云君要讲讲最近非常时髦且刺激的钓鱼攻击,这次的案例可跟往常不同,因为它是乌云君近些年观察到的钓鱼攻击(除思路、骗术外),技术配合上绝对是巅峰之作! 先来前戏 这系列钓鱼的起源自乌云 2014 年的一个安全报告:仿冒电信运营商掌上营业厅的大规模钓鱼事件(大量用户银行卡中招 CVV2 与密码泄露),当时钓鱼站点中招的用户数量,白帽子分析大概数百人,钓鱼界面是这样 别小看这个钓鱼页面,竟然还适配了手机浏览器,这目标很明确就是瞄准移动端用户。而且这套 UI 与银行卡密纪录程序为基础,现在已经成为了一套非常成熟,并且被鱼贩子广泛使用的钓鱼系统! 我们回到现在看看这套骗术发展如何,近期乌云白帽子报告了两个案例 伪基站发布 10086 信息导致大量用户银行卡敏感信息泄漏(已截图已证明),一场钓鱼引发的大量网银密码泄漏(各大银行用户均有中招),现在的升级版钓鱼界面如下,白帽子分析这目前这种钓鱼站点受害者有数千到十多万人不等! 好了,前戏完毕。想说的就是这套忽悠你用手机积分兑换软妹币的骗术非但没被时代淘汰,反而弄的越来越红火生意兴隆,受影响用户翻着倍的增长你拦都拦不住。你我都在好奇,这期间鱼贩子到底下了什么猛药(玛卡?)也就是今天我们要讲的重点。 防不胜防的鱼饵 在继续这部分内容前,要给大家普及一个知识点,什么是伪基站。想必大家在家、公司、路途中以及闹市区有过类似的经历(相关阅读:探秘伪基站产业链) 1. 伪基站是干嘛的? 比如家里信号不好,然后运营商会安装室内信号放大器,信号中继器,移动应急通信车等,这些其实都可以统一称为伪基站,也或者是伪基站的一部分,此时伪基站充当了一个合法角色。 传说中的伪基站,现在都是打包卖,包含笔记本大概 9k 左右,单独购买部件更便宜。 2. 伪基站有啥危害? 鱼贩子拿到伪基站设备就可以建立个看起来信号非常不错的基站,手机设备连接上去后你所有的通信数据都不再经过运营商。伪基站攻击体现最多的无非就是被叫电话,接收短信这块,也就是我们经常看到手机能收到 13888888888、95533,10086 等号码发出来的钓鱼信息,基本就是伪基站所为了。伪基站多数是放在小面包车、小轿车内到处游荡,他们工作时的场景是这样。 3. 什么样的手机卡会受到伪基站影响? 当前 GSM 通信协议都存在问题,老式的 SIM 卡并没有验证呼叫方是否合法,也无法验证 SMS 短信发送方是否来自真实的手机。当然,运营商也是在努力,他们推出了一种新型的 sim 卡叫做 USIM 卡,声称这种卡片能够有效的防止伪基站,原理就是经过了双向认证确保通信安全。目前移动和联通的 2G 网络最容易受到伪基站的影响。 4. 我们发出去的数据伪基站能解密吗? 很遗憾,我国现在 GSM 通信都是没有加密的。为何没有加密呢?这是因为……%¥%¥@&……*& 是的,大家只要知道我们的 GSM 网络目前为止仍然是未加密状态这就够了。 5. 我用的是 3G,4G 应该不会受到影响吧? 错!我们都知道手机在没有检测到 3G 信号的时候会自动切换到 2G,一个很不幸的消息,大多数手机发短信都是走的 2G 通道。 以上内容感谢乌云白帽子 白帽子信息_一只猿 的详解。 明白了伪基站,你也就明白为什么短信钓鱼现在生意红火了,因为伪基站曾被用来做广告推广,现如今被大量使用推送钓鱼短信,可以轻松伪造运营商的服务号码(如移动 10086)骗取用户的信任。伪基站发布 10086 信息导致大量用户银行卡敏感信息泄漏(已截图已证明) 中的白帽子就是收到了这么条短信 收到这么条短信,你是信啊还是信啊?打开后就是上面的钓鱼页面,用软妹币忽悠你填写自己的银行卡、信用卡信息。话说有多少人上当?有白帽子在调查这个钓鱼的时候默默的给了乌云君一张截图,然后进行了一次价值数十万?百万?千万?的删库操作,深藏功与名…… 其中一个钓鱼站受害者信息泄露,发现竟然有 11 万人上当受骗并交出自己的银行卡密码,想想之前那些几百个银行账号的钓鱼站,这位鱼贩子可以轻蔑的从嘴角挤出一句:“哼,战斗力不到 5 的渣渣”。 那么又有问题了,这种伪基站钓鱼网址到底有多少?有白帽子发现了钓鱼站的规律,简单一扫就发现了类似的 500 余个钓鱼网站,而这种钓鱼网站仍每日大量增加中 每天跟踪移动钓鱼站最新域名 -- WooYun(白帽子技术社区) 注意:这批网址也用到了常见的钓鱼域名障眼法,比如上上上上图短信中并非是“10086”,而是“l0086”,为什么这么像你猜。 鱼贩子“补刀” 当然,仅仅上面的信息还不足以证明这个钓鱼是技术组合的巅峰。通过上面鱼贩子已经得到了用户的银行卡鱼信用卡信息,信用卡直接卡号、有效期、CVV2 就消费了,网银是怎么盗窃的呢? 这是因为钓鱼站还“贴心”开发了客户端,android 用户小心,鱼贩子通过伪基站短信让你安装移动客户端,一个不大的 apk,但是安装后它就开始悄悄的窃听银行发给你的短信验证码,然后远程发给鱼贩子的手机,比如乌云君手里这个。 PS:如果有人二次打包这个钓鱼 apk,还会给“原作者”发短信,反盗版意识很强啊?国内的一些企业掩面而泣…… 钓鱼者联盟 至此,一个伪基站开路,钓鱼网址伤害输出,安卓拦截马三者配合的钓鱼攻击分解完毕,至今为止钓鱼技术上很牛的一次配合,威力也如各位所见。 相信鱼贩子们会越来越好学,将很多还未做好防范的新技术都用在我们身上,这样的组合拳,我们还能支撑几个回合问号问号问号… 但别怕,有乌云君在! ———————————————— 微信: wooyun_org 知乎专栏: 乌云君 - 知乎专栏 ——————————————— 发自知乎专栏「乌云君」