【财讯】豆瓣网友独钓寒江雪案件破了 还原嗅探盗刷全过程

本篇文章3719字，读完约9分钟

由本财经主办的“中国银行领域快速发展论坛及第六届银行综合评选颁奖仪式”将于8月23日(星期四)在北京金融街威斯汀酒店举行。 论坛邀请监督管理层领导、银领域高管等重量级嘉宾参加主旨演讲，就金融业相关热点话题展开多次议题讨论。 敬请期待！ 【参会登记】

【相关信息】

手机的钱一夜之间就转移了发生了什么

资料来源:结束欺诈

前几天，豆瓣网民“独钓寒江雪”的复印件“这下面什么都没有”夺走了全网。 她在自己不知情的情况下，体验了支付宝( Alipay )、京东及相关银行卡被盗刷的全过程，引起了全国读者的关注，许多媒体也解读了这种“短信嗅探+中间人攻击”的方法。 深圳龙冈警察高度重视此案，动员精兵强烈串并研究此类新型事件，一周内逮捕了几名犯罪嫌疑人，没收了犯罪设备。

我们的资金真的不安全吗？ 你真的不恐慌吗？ 怎样才能有效地防止？ 我们这次敦促嫌疑犯全面还原这种方法，寻求最科学的预防方法，并促使关联公司立即堵住漏洞。

8月8日清晨，结束欺诈的团队在得到龙冈警察的许可后，与腾讯守护者计划安全队合作赶到了这次项目的主办机构之一深圳市公安局龙冈分局龙新派出所。

刚到派出所令人吃惊的是，龙岗分局的派出所也设立了反欺诈中心，几名专职工作人员负责反欺诈推广和打击业务。 里面的车也改造成了防欺诈推广车，上面印着我们结束欺诈的标志和二维码。

左边是反诈骗中心办公室指示牌 右边是一辆福特中巴改造的反诈骗推广车

这时，专署的民警刚结束了一夜的审判，准备展开犯罪证据的固定和搜查考试，我们一起行动，把嫌疑犯之一使用的设备从犯罪车辆中搬出去了。 很明显，这是车载嗅探攻击装置。

所有车载嗅探攻击设备

设备混乱，竟然有“美团外卖”的箱子！ 但从图中可以看到，设备有移动电源、插座、电脑、手机和其他两种。 为了恢复整个犯罪过程，我们小心地把设备搬到了会议室。 然后，“拜托”了采用这个设备的小a。 a先生三五二安装了所有的设备。

民警在思想工作后，小a的决定要协助我们恢复盗窃刷的程序，让我们知道他所知道的所有网站、app的脆弱性，告诉我们广大的网民，一定要加强预防。

现在，很多网站都采取了“手机号码+验证码”的认证方法，所以在支付场景中，最多可以认证姓名、身份证号码、银行卡号码。 因此，要实现被盗刷，只需要知道一个具体的手机号码、名字、身份证号码、银行卡号码和验证码就足够了。 小a是怎么做的？

步骤1 :在虚拟基站捕获手机号码

以前有媒体报道说，要捕获受害者的手机号码，在假基站的状态下进行中间人攻击即可。 当然，前提是受害者的手机必须处于2g状态(这句话是要点，请记住)。

a拿出了那个美团卖的箱子。 这就是他购买的中间人攻击设备，为了放进车里精心改造。 这个装置有虚拟基站、三个载波拨号装置和手机。

为了演示整个过程，a先生让民警把手机从4g切换到2g，作为受害者的手机发挥作用。 他启动这个设备后不到30秒，a手中的手机就打了电话。 大家看到这个电话号码是民警的手机号码。 但不可思议的是，民警电话的表面看法没有任何操作。

怎么了？ 原本这个设备启动后，附近的2g网下手机就会依次被这个设备“吸附”。 这时，与机器连接的手机(中间人手机)可以暂时更换“吸附”的手机。 也就是说，在运营商基站看来，此时的攻击手机是受害者的手机。

根据事前的设定，中介的手机可以自动给a先生控制的其他手机打电话，a先生可以知道受害者的电话号码。

步骤2 :短信嗅探

我知道光用手机号码没什么用。 因为很多网站至少不知道验证码就无法登录.。 此时，SMS嗅探设备将得到很大的利用。 用电脑+最古老的诺基亚手机+嗅探通道机组装。

从上到下依次是变压器、嗅探信道机、电脑、车载电源

a启动电脑和相关软件后，首先用手中的旧诺基亚手机寻找频率点，a告诉我寻找频率点最重要的是对方的手机不动(这也是重点。 请记住)。

上一阶段的准备结束后，发生了魔法场景。 a先生的电脑上很快就出现了几十封邮件，同时在增加。 而且是实时的。 即，当该消息嗅探器装置启动时，附近(大约一个基站的范围内)的所有2g信号都可以嗅探器从手机接收到的消息。

从邮件可以看出，也有在税务业务期间收到的二维码、来自银行的馀额变动通知、银行卡账号也充实地展示的邮件复印件。 当然，我们解决了这些消息。 没有风险。

也就是说，通过这个短信嗅探设备，a先生们可以实时掌握我们手机收到的短信拷贝。 当然，这个手机必须接通电源才能正常接收SMS，而且必须在2g信号下保持静止状态，这是非常重要的前提。

第三步:社会工作者的其他新闻

社工是黑客界常用的称呼，是通过社会工程学手段，利用冲突库和某种脆弱性来揭示一条新闻。

其实在前两步，小a登录到防盗能力稍低的网站(通常只有手机号码+验证码)，绰绰有余。 但是他们的目的不仅仅是成功登录，还包括偷你名下的钱。 所以，需要通过其他手段获取姓名、身份证号码、银行卡号码等消息。 他需要用社工的手段澄清这些消息。

小a在现场演示社工手段，请忽略他手腕上的“银手镯”

a先生示范了他掌握的社会工作者手段，瞪着在场的所有民警、安全专家。 因为他使用了知名企业的一般网站、工具，但这些网站、工具在设计过程中有一点漏洞。

具体的方法肯定是弟弟不写在这里。 但是，请注意以下公司负责安全管理的人，尽快与欺诈结束小组取得联系。 我们验证身份后告诉你脆弱性在哪里。

现在，只有小a掌握的方法，关于支付宝( Alipay )、京东、苏宁、中国移动、招商银行、工商银行的企业。 据a先生说，他们社团的每个人都掌握了一点方法，肯定有漏洞的不止这些。

第四步:实现盗窃刷

a先生经过前几步的员工，掌握了身体的名字、身份证号码、银行号码和手机号码，可以实时监视检查代码。 这个时候他可以去偷刷。 因为很多网站在设计时只需输入这些即可完成支付。 也可以用这些复印件登录，更改支付密码。

但是，请不要恐慌。 很多有名的网站，app的风控还是好好做比较好。 通常在识别出异常后，可以立即发现并拦截，为客户减少损失。 从网民“独钓寒江雪”的支付宝( Alipay )操作过程中，可以清楚地看到嫌疑人的动作和风控措施的启动情况。

本图来源：深圳市反电信互联网诈骗中心公众号

1 .嫌疑犯于1点42分以“姓名+SMS验证码”的方法登录支付宝( Alipay )账户。 这个过程只能通过虚拟基站和嗅探设备实现。

2 .嫌疑人在1点45分和1点48分从社工那里的消息中编辑登录密码和支付密码，绑定银行卡(是的，即使没有以前绑定银行卡，他们也可以绑定你)。

3.1点50分-2点12分分别用输入支付密码的方法进行网上购物932元，提示7578元。

4.3点21分，嫌疑犯试图提取银行卡里存款的钱买东西，但支付宝( Alipay )风控措施启动，要求检查脸，没有通过后检查嫌疑犯放弃了。 这个时候，支付宝( Alipay )的费用是932元。

当然，支付宝( Alipay )的安全水平很高。 在a先生的交接中，多个网站的风控措施不严格，每天的最高限额太高(某知名银行每天限额达到5000元)。 例如，没有变更设备注册、频繁注册面部和密码检查等手段，例如可以在网站上进行小额贷款。

从以上介绍可以看出，嫌疑犯实现盗窃刷需要很多条件。

第一，受害者的手机在开机的同时变成2g方式。

第二，手机号码必须是中国移动和中国联通。 因为两者的2g是gsm方式，发送消息是明文的方法，被嗅探。

第三，手机必须保持静止状态，也是嫌疑犯半夜犯罪的理由。

第四，受害者的各种新闻正好可以通过社工手段明确

第五，各大网站、app的脆弱性依然存在。

要满足以上所有条件，需要很大的运气。 据a先生说，他一夜之间就能闻到很多邮件，捕捉到很多号码，但最后成功地被盗刷的很少。 另外，因为很多企业的防风很严格，所以被盗刷的金额也很小。 因此，我们必须辩证地、完美地看待这种犯罪。 也就是说，为了理解原理，不要恐慌，弟弟必须给大家提供几种最实用的方法。

中国移动和中国联通的手机是高风险客户，必要时睡觉前直接关机或打开飞行模式。 无法接收消息，也无法接收嗅探设备。

如果手机收到身份不明的验证码，表示现在嫌疑犯可能收到社工的消息，可以马上关机，启动飞行模式，移动位置(大城市可能在几百米左右)

关闭网站、app的密码支付功能，积极降低每天的最高成本。 如果看到来自银行和其他金融机构的验证码，除了马上关闭、启动飞行模式以外，还必须通过密码错误、丢失的手段冻结银行卡、支付账号，不要扩大损失。

另外，我们还告诉很多企业运营商，关于自己的网站、app上的小漏洞，为了不被越来越多的黑生产者利用，需要注意及时解决，平衡安全和便利性。 请再次与支付宝( Alipay )、京东、苏宁、中国移动、招商银行、工商银行安全管理团队联系，注意及时关闭这次小a发现的脆弱性。 当然，这些脆弱性不是非常危险的技术脆弱性，需要证明它们有被用于黑生产的风险。

本财经公众号

全天候滚动播放最新的财经信息和视频，越来越多的粉丝福利扫描二维码备受关注( finance )。