转自:https://butian.360.cn/print/index/qid/QTVA-2015-167996
有时候我们总在奇怪为什么这么多网民的银行金额出现盗刷的情况?为什么钓鱼网站会屡屡得手?为什么大家的防范意识那么脆弱呢?近日,名叫“庞德”的白帽子给补天漏洞响应平台提交了一个真实的故事,这个故事还原了黑客盗取网民银行卡密码的整个过程。
一、受骗经过
某一天,我们的主人公白帽子“庞德”手机上收到了一条短息,显示来源是中国移动10086,提示他“尊敬的客户:您的收集花费积分已满足兑换173.8元现金大礼包条件,请您及时登录10086xx.xxxxxxx.com 下载安装客户端兑换”。
当用户点击此网站后,任意输入手机号码查询积分,就提示兑换现金…
点击确定后,直接要求填写银行卡密码等敏感信息。注意看到这里的界面跟一般的网银转账界面很像。下面这个是银行卡的界面:
这一张是信用卡的界面,需要输入CVV信息:
二、剧情大逆转
大家认为这里就结束了的话,那就too young too native了。我们的警察叔叔每天接触到大量的用户举报,但是由于受害者太零散,且服务器大多不在大陆,所以很难立案侦查。这里,我们的白帽子来了一次形势大逆转。
白帽子利用经典的XSS姿势(填完就要求下载apk…..小菜不懂apk的逆向….就没下载了…但想着也不是什么好东西…),于是..一句话插入网站….拿到cookie 登陆后台:
看到下面这张图,大家有没有一种很震撼的感觉,有没有想骂一句“尼玛。。。”。黑客拿到用户的银行卡号,密码,身份证号,手机号,用户名,CVV,有效期,基本就等于可以任意转账了(比如手机支付,或者网上交易支付等)。
我们在痛骂黑客的同事,也感叹一句:好在漏洞提交者是白帽子,不是做黑产的,否则每个用户得多出多少金额损失?
码打得不好…
可以看到网站已经运行一段时间了..但还未被有关部门重视…
三、总结
总结一下黑客的整个欺骗过程:
1、通过伪基站的方式伪造知名品牌(这里是10086,也可以是银行、运营商、证券等)发送信息,由于品牌的效应,让受害者访问钓鱼网站时不会起疑心;
2、当受害者访问钓鱼页面时,展示的界面跟真实的页面非常相似,让受害者信以为真;
如何识别此类攻击?
1、现在的社会太复杂,连基本的信任度都没有了,所以看到来自于大品牌的短信,尤其是带有链接的,您得上一份心;
2、如果您不幸相信了短信内容,需要注意一下链接是否品牌的官方网站,比如10086对应的官网是10086.cn,而不是上面的xxxxxxxx.com网站,点击前一定要谨慎;
3、如果您不幸点开了,需要注意一下浏览器上会不会有提示,比如本文截图中浏览器是提示“可能存在安全风险”的,这时要离开网站;
4、如果您又不幸进入到了提交银行信息的页面,请务必注意是否有可疑,比如文中银行卡信息居然要求提交身份证信息,这里基本就不可信了,千万别提交敏感信息;
5、如果您真的不幸又提交了信息,而且并没有任何的收益(页面提示是假的,实际上没有任何通知信息),请赶紧报案;
最后,当我看到网站截至目前还能打开的时候,我的心顿时不好受了……