趣火星之支付宝、网银盗刷事件分析

标签: 漏洞分析 | 发表时间:2016-04-13 10:44 | 作者:360安全卫士
出处:http://drops.wooyun.org

一种补卡攻击的套路全分析

Author:360天眼实验室

0x00 引言


人在做,天在看。

360天眼实验室经常性地处理各种网络诈骗,骗子们八仙过海,各显其能,懂技术的用技术,技术不行的就看套路。本文对一个网友的被骗经历揭密其背后的逻辑,一切基于网友所提供出来的信息。

0x01 套路分析


2016年4月11日,趣火星发出了一篇文章,标题是“中国移动,请你告诉我,为什么一条短信就能骗走我所有的财产?”,文章中称“因为一条短信,一夜之间,我的支付宝、所有的银行卡信息都被攻破、所有银行卡的资金全部被转移。”

下面的分析都是基于作者长微博中所写而作,因为有些地方写的语焉不详故分析可能会有误。我们的分析顺着网络接收的信息揭露幕后黑手的目的和达到的阶段,我们看到受害者如何一步步在攻击者的诱导下泄露整个操作相关的关键数据,在一些地下黑库信息的推波助澜下,最终落入陷井成为猎物。

分析:订制这些业务的目的之一,就是引起手机使用者的注意。

分析:在这个过程中,实际上幕后的黑手就是要让手机使用者感觉到手机因为被瞎定制业务而导致停机。(注:此处截图,我故意抹去了验证码那条短信,原因后面会详述。)

分析:这个106581390开头的号码其实是139的邮箱服务,受害人所收到的短信,实际上是由手机号13816280086通过邮箱服务发送出来的。而受害人向10658139013816280086回复短信则实际上是将短信发送到手机号13816280086的139邮箱中。因此这个手机号的使用人参与作案的嫌疑是非常大的。关于139邮箱服务的介绍可以见下图。

图 139邮箱服务介绍。

分析:在前面的分析过程中,我故意截去了红框处的短信,现在放出来,就是让大家有个对短信的时间顺序有个了解。也就是说,在这个过程中,受害人收到了一条带有6位验证码的短信。那么这条短信有什么作用呢?原来这条短信是用来进行4G自助换卡的确认短信。

在受害人将这6位确认码通过短信回复给10658139013816280086之后,13816280086的139邮箱就马上在网站上操作了自助换卡。而这个信息也和随后的“北京移动10086热线”回应相印证。

图 北京移动10086热线的回应

分析:也就是说,在回复完短信不久后,受害人的手机就无服务了,实际上就是受害人手中的SIM卡已经被作废了。而受害人却一直以为是停机了,实际上在这种情况下,一定要警醒,比如可以尝试用另外的号码拨打一下是不是停机状态(当然,这个方法并不一定靠谱,因为可以呼叫转移到一个停机的号码上)。这种攻击,算是补卡攻击形式的一种。

分析:手机连着wifi且支付宝还开着推送,正是因为这条信息,让受害人开始产生了一丝警觉。

分析:此时幕后黑手,已经将受害人的支付宝搞定了,并将受害人支付宝账号上的资金进行转移。

分析:这个号码和幕后黑手有什么关联目前不清楚。但13816280086这个号码肯定是有关联的。

分析:把钱转给一个可靠的好友,这个方法是可行的。另外,受害人其实可以看看,可信设备中,有没有其它异常机器的登录记录。

分析:中国银行、招商银行这些银行的登录密码都被改,可想受害人的密码应该是早就有泄露的。

分析:受害人的163邮箱也被搞了,至于说和前几天的网易52G有没有关不清楚,但纵观整个事件,受害人被幕后黑手提前做好了背景调查是肯定的。

分析:在百度钱包这个过程中,我比较好奇的是,受害人的银行卡号是如何被幕后黑手得知的?快捷支付目前主要是通过银行卡号、姓名、身份证号,银行卡绑定的手机号及下发到该手机号上的短信验证码进行鉴权。

0x02 写在最后


套用TK的一句话,我们可能是最后一波曾经有过隐私的人。

网络发达的现在,个人信息的保护尤其重要,特别是很多网站都发生过数据泄露事件。很多被曝出来的数据库都是在地下产业链中玩烂了,已经很难再榨取出价值后才被抛出的。

在这个事件中,实际上还存在很多疑问。比如,受害人的手机号、身份证、姓名、银行卡、银行登录密码、移动官网的登录密码、网易邮件等等这些信息,幕后黑手是怎么得到的?

相关 [火星 支付宝 网银] 推荐:

趣火星之支付宝、网银盗刷事件分析

- - WooYun知识库
Author:360天眼实验室. 360天眼实验室经常性地处理各种网络诈骗,骗子们八仙过海,各显其能,懂技术的用技术,技术不行的就看套路. 本文对一个网友的被骗经历揭密其背后的逻辑,一切基于网友所提供出来的信息. 2016年4月11日,趣火星发出了一篇文章,标题是“中国移动,请你告诉我,为什么一条短信就能骗走我所有的财产.

支付宝快捷支付和网银谁更安全

- - 人人都是产品经理
最近一段时间,工、农、中、建四大行陆续对快捷业务调整了限额,四大行对支付宝快捷支付的单笔额度和单日累计基本限制在万元以下,最低的仅为5000元,每月累计也基本不超过5万元. 针对“为何要限制快捷支付限额”,工商银行某处长回应称,快捷支付产生初衷是为了满足网购客户小额快捷支付资金的便利性,只需要通过手机发送的支付机构的动态验证码,就可以从银行账户划转资金进行支付.

感恩支付宝

- Lee - 白鸦,以用户为中心的设计
几天前,我一边写离职信一边在处理深圳贝塔的事情,被旁边的朋友误认为是要去深圳腾讯. 交友不慎加上微博的力量太可怕,消息越传越真,各种背叛理论也被同事们说来说出,现在自己在这里澄清下:我今天(10月24日)刚从支付宝离职,接下来会先梳理一下杭州、北京、广州和正在筹建的深圳贝塔,并非是去腾讯. 最近三个月我的工作状态一直不是很好,因为我这个任性的家伙一直成长的很慢,无法跟上公司的快速发展,感觉自己在慢慢的掉队.

Steam支持支付宝

- SnakeYi - Solidot
最大的数字游戏发行平台Steam开始支持支付宝付费,并且汇率是根据最新的报价换算的. 例如,如果用户充值100美元,通过支付宝交易,它将根据中国建设银行汇率实时报价,例如1.00 美元 = 6.365 人民币,将100美元换算成636.50元人民币. 支持支付宝方便了中国玩家从Steam上购买数字游戏.

支付宝系统架构

- - 编程语言 - ITeye博客
支付宝的开源分布式消息中间件–Metamorphosis(MetaQ). Metamorphosis (MetaQ) 是一个高性能、高可用、可扩展的分布式消息中间件,类似于LinkedIn的Kafka,具有消息存储顺序写、吞吐量大和支持本地和XA事务等特性,适用 于大吞吐量、顺序消息、广播和日志数据传输等场景,在淘宝和支付宝有着广泛的应用,现已开源.

新支付宝 Linux 控件现身

- iSingle - LinuxTOY
新一代的支付宝 Linux 控件泄露,支持 Firefox 3.6 - 4.0 /Chrome 7-9 等浏览器,支持 x86/x86_64 架构. 关于新版控件的正式发布公告还未出来:下载地址(访问不能. 安装前建议删除原先的老版本控件. 下载后强烈建议使用 md5sum 检查文件完整性,之后两次解包,运行其中脚本即可.

支付宝股权转移迷局

- Rex Cheng - 南都周刊-热点新闻
南都周刊记者_秦旺   实习记者_雷顺莉. 5月11日晚,11点刚过,原阿里巴巴公关总监,阿里巴巴集团资深副总裁王帅接到了同事发来的短信:《福布斯》网络版报道,从2010年开始,阿里巴巴集团已将外资的支付宝(中国)网络技术公司100%的股权,转让给了马云控股的浙江阿里巴巴电子商务公司. 这是《福布斯》从美国雅虎刚公布的今年一季度财报中获取的信息,这段信息夹在冗长的财报文件中,实际上除《福布斯》外的国外媒体都没注意到.

[大声]喂,支付宝:12306 冤不冤?

- - 爱范儿 · Beats of Bits
支付宝昨日订单数超过一亿,而 12306 最高一天出票量大约是 166 万. 替 12306 喊冤的可以不必了. 《喂,支付宝:12306 冤不冤. 今天几乎所有的网络版面都被天猫和支付宝的消息轰炸了一遍,后者在“11·11”光棍节当天表现疯狂,不仅令国内竞争对手胆寒,成为国民茶余饭后咀嚼的材料,更令 西方媒体咋舌.

支付宝面试电话(2014/3/24)

- - 行业应用 - ITeye博客
1.自我介绍(从毕业到现在经历哪些公司,哪些项目).  2.项目介绍(项目有什么难点,会问具体某个模块是怎么做的).  3.说下缓存(Encach)重点是什么.  4.session的缓存是怎么做的.  5.说下spring的ioc 跟aop.  6.说下常用的设计模式.  7.抽象类跟接口的区别,什么时候用抽象类,什么时候用接口.