趣火星之支付宝、网银盗刷事件分析

一种补卡攻击的套路全分析

Author:360天眼实验室

0x00 引言

---

人在做，天在看。

360天眼实验室经常性地处理各种网络诈骗，骗子们八仙过海，各显其能，懂技术的用技术，技术不行的就看套路。本文对一个网友的被骗经历揭密其背后的逻辑，一切基于网友所提供出来的信息。

0x01 套路分析

---

2016年4月11日，趣火星发出了一篇文章，标题是“中国移动，请你告诉我，为什么一条短信就能骗走我所有的财产？”，文章中称“因为一条短信，一夜之间，我的支付宝、所有的银行卡信息都被攻破、所有银行卡的资金全部被转移。”

下面的分析都是基于作者长微博中所写而作，因为有些地方写的语焉不详故分析可能会有误。我们的分析顺着网络接收的信息揭露幕后黑手的目的和达到的阶段，我们看到受害者如何一步步在攻击者的诱导下泄露整个操作相关的关键数据，在一些地下黑库信息的推波助澜下，最终落入陷井成为猎物。

分析：订制这些业务的目的之一，就是引起手机使用者的注意。

分析：在这个过程中，实际上幕后的黑手就是要让手机使用者感觉到手机因为被瞎定制业务而导致停机。（注：此处截图，我故意抹去了验证码那条短信，原因后面会详述。）

分析：这个106581390开头的号码其实是139的邮箱服务，受害人所收到的短信，实际上是由手机号13816280086通过邮箱服务发送出来的。而受害人向10658139013816280086回复短信则实际上是将短信发送到手机号13816280086的139邮箱中。因此这个手机号的使用人参与作案的嫌疑是非常大的。关于139邮箱服务的介绍可以见下图。

图 139邮箱服务介绍。

分析：在前面的分析过程中，我故意截去了红框处的短信，现在放出来，就是让大家有个对短信的时间顺序有个了解。也就是说，在这个过程中，受害人收到了一条带有6位验证码的短信。那么这条短信有什么作用呢？原来这条短信是用来进行4G自助换卡的确认短信。

在受害人将这6位确认码通过短信回复给10658139013816280086之后，13816280086的139邮箱就马上在网站上操作了自助换卡。而这个信息也和随后的“北京移动10086热线”回应相印证。

图 北京移动10086热线的回应

分析：也就是说，在回复完短信不久后，受害人的手机就无服务了，实际上就是受害人手中的SIM卡已经被作废了。而受害人却一直以为是停机了，实际上在这种情况下，一定要警醒，比如可以尝试用另外的号码拨打一下是不是停机状态（当然，这个方法并不一定靠谱，因为可以呼叫转移到一个停机的号码上）。这种攻击，算是补卡攻击形式的一种。

分析：手机连着wifi且支付宝还开着推送，正是因为这条信息，让受害人开始产生了一丝警觉。

分析：此时幕后黑手，已经将受害人的支付宝搞定了，并将受害人支付宝账号上的资金进行转移。

分析：这个号码和幕后黑手有什么关联目前不清楚。但13816280086这个号码肯定是有关联的。

分析：把钱转给一个可靠的好友，这个方法是可行的。另外，受害人其实可以看看，可信设备中，有没有其它异常机器的登录记录。

分析：中国银行、招商银行这些银行的登录密码都被改，可想受害人的密码应该是早就有泄露的。

分析：受害人的163邮箱也被搞了，至于说和前几天的网易52G有没有关不清楚，但纵观整个事件，受害人被幕后黑手提前做好了背景调查是肯定的。

分析：在百度钱包这个过程中，我比较好奇的是，受害人的银行卡号是如何被幕后黑手得知的？快捷支付目前主要是通过银行卡号、姓名、身份证号，银行卡绑定的手机号及下发到该手机号上的短信验证码进行鉴权。

0x02 写在最后

---

套用TK的一句话，我们可能是最后一波曾经有过隐私的人。

网络发达的现在，个人信息的保护尤其重要，特别是很多网站都发生过数据泄露事件。很多被曝出来的数据库都是在地下产业链中玩烂了，已经很难再榨取出价值后才被抛出的。

在这个事件中，实际上还存在很多疑问。比如，受害人的手机号、身份证、姓名、银行卡、银行登录密码、移动官网的登录密码、网易邮件等等这些信息，幕后黑手是怎么得到的？