抽丝剥茧,揭开《亲历网络诈骗,互联网是如何让我生无分文? 》一文背后的秘密
转载请注明来源:http://www.cnblogs.com/phoenix--/p/5381482.html
昨天网上出现一篇文章《实录 | 亲历网络诈骗,互联网是如何让我生无分文?》:http://mp.weixin.qq.com/s?__biz=MzA5MTMyMjE4Mw==&mid=2652308001&idx=1&sn=811491a6372577b33fad477f7dbe39d0&scene=23&srcid=0411COxY4VbtRjg0ZHkt5F5P#rd。其实再去年2015年也有类似案例:http://bbs.tianya.cn/post-no110-15223504-1.shtml
文章比较长,提取重点并分析,重点(骗子的突破点)在于:
1、作者被恶意订阅“手机报”,进而被引入骗局。
2、利用搜索引擎搜索到了北京移动的“中广财经半年包”套餐:http://service.bj.10086.cn/poffice/package/showpackagesjyd.action?from=bj&PACKAGECODE=TZLC&isCheck=1。可以看到,订阅在正常流程中是需要用户登录(使用服务密码或随机密码)登录。同时结合上下文,可以看到作者后来收到了真正有效的USIM卡6位验证码,这样可以推断订阅手机报的动作是真实发生的。而作者自己肯定没有操作,首先排除了伪基站(伪基站会持续干扰正常信号,会导致后面的短信验证码无法接收,影响诈骗),同时说明存在以下可能:
1)作者的手机服务密码泄露,导致骗子在网厅以伪造身份订阅了套餐。(无北京移动号,无法确认后续操作是否还需要短信验证码,最新消息,北京移动证实受害者服务密码失窃,符合完整版分析中提到的第一种可能)
2)作者的手机感染了木马,订阅需要的短信验证码被拦截
3)北京移动的网厅存在安全漏洞,导致绕过验证订阅或越权订阅 (暂时排除,因为第一种可能性已经被官方证实)
(骗子为什么要选择“中广财经半年包”呢?我猜测那是因为在手机报的几个类别中,这个费用是最高的,其他都在10元以下,过低费用不能触发停机操作)
3、订阅操作完成后。骗子又进行另一处敏感操作(也是导致手机卡权限丢失的关键操作,具体功能未知),触发了一条验证短信,被作者收到。
4、这个时候,骗子迅速发送一条允许回复(上行)的短信通知,欺骗作者回复“校验码”(其实骗子想要的就是作者在第3步收到的短信验证码)
注:据说(未验证)106581390后面跟手机号的短信是移动139邮箱发出来的短信,其实一般都是联系人之间的短信。
参考1:http://www.miui.com/thread-2264118-1-1.html
参考2:https://bbs.taobao.com/catalog/thread/154504-262473760.htm
5、此时作者不察,落入骗子拳套:真的将短信验证码发送过去了。至此,骗子成功获利用3步中的敏感操作中获取了作者的手机卡的所有权。
6、隔了半个小时(这时候骗子正在偷偷补办手机卡中!),骗子补卡成功,楼主的悲剧就开始了。
复盘第2步、第5步,可以发现骗子是需要受害者提供短信验证码的,可以排除第2步中假设受害者手机中木马的可能(如果中了,就没有必要费尽心思让受害者发送了),只剩2种可能:
1)骗子已经拥有受害者的手机卡服务密码,但是第3步的关键操作需要还需要额外短信验证码;
2)骗子没有受害者的手机卡服务密码,是通过网厅的安全漏洞越权订阅了手机报套餐,第3步关键操作需要提供短信验证码。
现在重点在于索取短信验证码的第3步操作到底什么。获取手机卡控制权有两种方式:1、营业厅补卡。2、自助复制sim卡
先了解下补办手机卡需要哪些材料。根据北京移动官网介绍(http://www.bj.10086.cn/support/brand/easyown/profile/rmjbk/):可凭客户有效证件及客服密码(如变更过密码需凭改后密码)到北京移动各营业厅办理补卡业务。
1)身份证。通过假身份证制作,需要信息:姓名、身份证号。对于骗子来说,购买姓名+身份证号不是问题,制作也不存在技术障碍。
相关信息及案例:
http://news.sina.com.cn/o/2016-03-17/doc-ifxqnnkr9347165.shtml (关键内容:嫌疑人在QQ群花1500元购买了唐女士的姓名、身份证号、手机号、银行卡号、网银登录账号、密码及网银支付密码的一整套信息。)
http://finance.caijing.com.cn/20150820/3951274.shtml
http://bjcb.morningpost.com.cn/html/2014-09/04/content_308240.htm
http://gd.qq.com/a/20131114/005323.htm
2)客服密码(服务密码)
骗子拥有客服密码,与前述第2步中的提到的订阅手机报可能不矛盾。存在这种可能性。
但是上述操作还是需要去营业厅,容易暴露。而参考:http://mt.sohu.com/20160104/n433432997.shtml 可以看到北京移动提供自动换卡服务,需要二次确认,很可能就是第3步中的短信验证码。骗子自然可以通过其他渠道获取空白sim卡。
参见最开始提到的第二个案例:http://bbs.tianya.cn/post-no110-15223504-1.shtml,参考北京移动的短信保管箱功能变更:
对比两个2个案例可以看到,由于骗子已经无法通过获取短信保管箱获取服务类短信验证码,因此需要受害者提交短信验证码,骗子正是用退订垃圾业务为诱饵,诱导用户提交。
至此,推断骗子很可能是使用空白sim卡复制受害者手机卡,从而获取手机卡控制权。
而目前很多在线业务,绝大多数都是将手机作为信任设备,支持通过手机找回密码和控制权。因此,骗子再获取手机卡控制权之后,即可逐步控制各类重点网站账户:支付类、虚拟财产类。
如何防范和处理:
1、骗子原先是利用姓名、身份证号可以伪造身份证,甚至都敢去银行卡补办银行卡。此类案例网上很多。但是这么操作风险较高,容易暴露。因此才改为通过补办手机卡、复制手机卡等方式作案,因此首要的是避免泄露身份证号码、手机号码,尤其是同时泄露。不要因为各类小礼物、小优惠就双手奉送。个人信息的价值远比你想象的金贵!
2、保管好自己的手机服务密码。对于各类账户的通知短信验证码,务必小心保管。不要通过短信发送给任何人,同时尽快确认验证码触发来源,及时发现异常。
3、一旦出现异常,比如手机长时间无服务、资金出现异常,马上通过其他渠道联系对应运营商、银行、网站,冻结银行卡或账号。如果出现大额资金异常,也可以直接联系警方。务必避免慌乱中在自己的各个账号、银行卡之间进行转账。
4、如果手机丢失,应该立即挂失,避免被利用攻击。
5、银行卡主卡(最多钱的)设置不能开通快捷支付,注意是不能开通,不然的话你不开通骗子也会用短信给你开了。多谢@batsing