文章開始前先說兩個事情吧:
盜走我手機用于犯罪的團伙已落網,應了“法網恢恢,疏而不漏”,這里給公安部門點個贊,給了大家一個安心!
這幾天比較火的,新聞媒體上說的“個人信息保護法草案提請十三屆全國人大常委會第二十二次會議審議”,對個人信息的違法行為,最高可處5000萬元以下或者上一年度營業額百分之五以下罰款。期待通過法律的完善,能督促各方更加重視公民個人信息的保護。
今天,老駱駝要和大家聊一聊短信驗證碼的安全。短信這個功能,從設計之初作為交流溝通的一種技術手段,隨著互聯網和移動互聯網的發展,其身份屬性也在不斷變化。先是各家公司將手機短信驗證作為防止賬號注冊濫用的限制手段,再是將短信驗證作為交易時多因素身份認證的一個補充,再到現在將短信驗證碼作為“本人操作”的重要憑證之一;隨著移動互聯網的發展,業務操作便捷性的要求越來越高,而在沒有更合適的身份認證手段出現之前,短信驗證碼也承擔起了超出其安全風險抵御能力的角色。
短信驗證碼的發送、接收、使用安全,可以從用戶、運營商、系統提供方三方面各來講一講,限于篇幅,作為面向公眾科普信息安全的公眾號我們今天只聊一聊我們普通用戶有哪些行為可能導致短信驗證碼的泄露。還是老樣子,老駱駝不擅長華麗文字,只會講故事,包括上篇文章發出來后后臺很多朋友問我是不是在寫小說,大家只當我是在編故事來看就是了。
以下故事,如有雷同,純屬巧合!
2020年9月19日下午,業主群里看到幾條聊天記錄。第一眼就知道是個電信詐騙信息,由于當時鄰居第一時間指出是詐騙,所以并沒有引起我的關注。
典型的通過短信群發包含釣魚網站的信息,誘騙大家在網站上輸入各類信息后盜取資金。這類詐騙作案類型有個特點就是緊跟熱門消息,2020年6月相關政府部門剛發布的《關于協同推進“互聯網+不動產登記”方便企業和群眾辦事的意見》,提出了房產證電子證書,都還沒開始推廣,電信詐騙犯罪分子就已經走在前面了。去年交通部門推廣ETC時,也有類似的“ETC認證失效”的詐騙短信。一般大家看到這類短信警惕性都比較高,但難免還有些人會上當受騙,所以還是有必要給大家分析一下。
警惕性高的人,收到這樣的短信后上網查一下發送的號碼來源地就會發現異常:0060開頭的是馬來西亞的,+852開頭是香港的;
由于目前監管部門打擊這類電信詐騙的力度也比較強,在網上能查到的這類釣魚站點都是已經被關閉無法訪問的,老駱駝通過技術手段找到一個還可以訪問的“漏網之魚”給大家做介紹。
一來就直奔主題,問你要銀行卡卡號、身份信息、預留手機號碼,當然大家肯定也猜得到,網站的對面有一個犯罪分子在等著你提交信息,如果你提交了信息,會發生什么呢?
讓用戶等待“2分鐘”,正常的系統肯定都不會這么設計的。這個時候,犯罪分子正復制你提交的信息在某些站點上進行輸入,為了讓大家更直觀的了解作案手段,老駱駝再次借助技術手段進到犯罪分子的后臺操作界面:
后臺操作其實也比較簡單,展示著受害者提交的信息,在受害者在線的情況下可通過后臺控制受害者的手機輸入頁面,一開始是輸入身份信息和銀行卡、電話號碼,犯罪分子只需要提前在支付平臺上注冊一個賬號,在進行綁卡操作時輸入獲取的受害人銀行卡及身份證信息(等待2分鐘的原因),再通過后臺操作讓受害者的手機界面跳轉到短信驗證碼接收頁面,等受害者輸入短信驗證碼后將獲取的短信驗證碼在支付平臺提交,完成綁卡實名認證步驟。剩下的就可以通過支付平臺的消費將錢盜走。當然,消費時如果需要短信驗證碼還可以通過控制頁面讓受害者再次輸入一次短信驗證碼。
(該釣魚站點老駱駝已在線舉報)
對于這種犯罪手段,老駱駝給的建議是:
告訴家里的長輩親人,手機短信、聊天軟件收到的鏈接不要輕易點開,如果點開的鏈接只要讓你輸入銀行卡密碼的都是詐騙信息!(實際上收到的號碼顯示為運營商、銀行發的短信,也不一定都是安全的。這個留著后面有機會其他文章里再說)一定要保護好自己的短信驗證碼和銀行卡密碼!
2015年的某天,一位朋友找到我,要求幫忙分析一起因手機感染病毒導致的銀行資金賬戶被盜案。
跳過中間木馬病毒分析的技術細節,把手機病毒特點及作案步驟過程介紹給大家:
木馬特點:
1.木馬具有一定隱蔽性,運行后刪除自身圖標,申請權限設置開機后臺自啟動,可對特定的短信進行隱藏讓受害者無法發現
2.通過向受害者手機發送特定的短信指令來遠程控制木馬竊取通訊錄和短信內容,以郵件發送的方式盜取短信和通訊錄。
作案流程:
1.犯罪分子挑選其認為有價值的目標群體(從犯罪分子郵箱中看到的本案受害者所在城市以山西呂梁為主,涉及“煤礦”的商人較多。當然這個木馬肯定也有在其他城市的特定人群中傳播),以群發短信的方式傳播木馬:“XXX,你愛人做的事,自己看一下 http://xxxx.cn/xxxx”、“XXX你家人背著你做的事情,你自己打開看看就知道了。http://xxxx.cn/xxxx” ;受害者收到短信后,如果是原本對自己的愛人就有猜疑,伴隨著憤怒的心情去打開鏈接,會發現是要安裝一個app,但這時候不理智已經占據上風;安裝完成后桌面上出現一個“資料”的新圖標,打開后卻發現什么都沒有,圖標也自己消失了。對于不熟悉手機操作的人,會覺得可能是惡作劇,加上安全意識的缺失,也就不管了。
2.此時,如上圖所示,木馬會在手機后臺偷偷向犯罪分子的手機號碼發送一條信息,告知犯罪分子受害者的手機號碼及手機特征碼。犯罪分子再通過發送'GET SMS' 和 'GET BOOK'的指令,將受害者的短信和通訊錄內容竊取到指定郵箱中。
3.拿到短信內容后,犯罪分子從大量的短信內容中搜索與身份證號碼、銀行賬戶相關的信息,匹配到有價值及具備作案條件的受害者。在2015年,微信聊天還沒有全員普及的時候,還是有一部分人將手機短信作為平時聊天的主要方式,而在聊天內容中部分人還會將銀行卡信息和身份證信息通過短信方式發送,也就給了犯罪分子可乘之機。
4.憑借掌握的受害者銀行卡、身份證信息以及對手機短信驗證碼可隨時遠程獲取的條件,犯罪分子在支付平臺上綁定銀行卡并進行資金竊取。
5.前面拿到的通訊錄信息還是有其他作用的,犯罪分子利用獲取的通訊再次批量發送短信,“XXX,看看你愛人背著你干的好事,http://xxx.cn/xxx”。收到帶鏈接的短信大部分人本來都會無視,但收到一條帶自己姓名的,還暗示自己被“綠”的短信,對于原本就有猜疑或者愛人有“前科”的人來說,能冷靜淡定的不去點開就太難了。就這樣,這個木馬一傳十、十傳百的擴散開來。截至老駱駝發現這個鏈條并將其斷開時,郵箱里已經有幾千名木馬感染者了 。
對這個案件的分析和建議:
1. 聊天軟件、短信里的鏈接,沒把握的情況下不要隨意打開。
2. 手機里使用過的身份證、銀行卡信息應及時清除,如照片、短信記錄。
3.安裝手機軟件,從自帶的應用商城或者大廠商的應用商城中下載 。
4.手機系統有更新時應及時更新,手機操作系統的更新一般都有安全防護能力上的提升。(后面有演示在新版手機操作系統上安裝手機木馬的結果)
5年前犯罪分子還需要通過查找受害者短信記錄里的內容來獲取身份證、銀行卡信息,以目前的個人信息泄露的狀況和手機木馬的技術發展。如果你的手機感染木馬,盜取資金已經不是難事了。5年前的犯罪手段,現在也有了一些新的變化,例如木馬發送前犯罪分子會配合從其他渠道獲取的一些泄露的個人信息,假冒學校老師身份向家長發送信息讓安裝“校訊通”查看孩子的校內表現、假冒政府部門發送“補貼領取”的通知等等。
為了讓大家更直觀了解現在的手機木馬,老駱駝在自己的測試手機上安裝了一款手機木馬:
手機感染木馬后,通過網絡主動連接對方,對方可通過控制臺遠程管理所有受害者的手機。
木馬的功能齊全,包括對手機內的文件進行查看和修改、短信查看和發送、電話記錄查看和撥打、通訊錄管理、GPS定位、遠程拍照和錄音,以及對手機鍵盤輸入進行記錄等。
短信管理能讓木馬控制者輕易查看你手機里的短信
通過攝像頭管理功能實現對受害者隱私的隱蔽窺探
如果受害者使用的是最新版本的手機操作系統,這種情況下安裝木馬,會出現什么情況呢?老駱駝在自己的華為P30,EMUI10.1.0手機上做了個測試(危險動作,請勿模仿):
手機在木馬被安裝后對木馬進行了檢測并提醒存在風險要求用戶立即卸載。既然都提示成病毒軟件了,相信大家安全意識再差也會點“立即卸載”了
由于手機丟失、被盜導致的短信驗證碼泄露。參考老駱之前的親身經歷寫的丟手機的文章做一個反面教材。當然這種確實是個案,大部分情況下大家遇到的手機被偷還是普通的盜竊手機的情況居多,無需過度恐慌,但需要了解如果出現手機丟失的意外后最好的處理辦法:第一時間掛失手機卡,為了防止手機丟失后自己未第一時間發現的情況,可以通過設置sim卡密碼來加一重保護。
總結
老駱駝通過上面舉的三個例子,給大家講了下如何避免因為咱們個人的原因而導致個人信息、短信驗證碼泄露被犯罪分子利用。但隨著犯罪分子技術的不斷更新,對方肯定也會開發出更多的“犯罪套路”來讓我們“犯錯誤”。老駱駝建這個公眾號的目的也是想通過自己的知識和技術,來提醒更多的人加強安全防范意識。也希望有相關線索或者案例想分享給大家的人,可以通過討論或者給公眾號留言的方式來幫助更多的人!
后續文章預告:
《老駱駝聊安全之短信驗證碼(二)》
《老駱聊安全之公民個人信息泄露》
