趣火星之支付宝、网银盗刷事件分析

360安全卫士 · 2016/04/13 18:44

一种补卡攻击的套路全分析

Author:360天眼实验室

0x00 引言

人在做，天在看。

360天眼实验室经常性地处理各种网络诈骗，骗子们八仙过海，各显其能，懂技术的用技术，技术不行的就看套路。本文对一个网友的被骗经历揭密其背后的逻辑，一切基于网友所提供出来的信息。

0x01 套路分析

2016年4月11日，趣火星发出了一篇文章，标题是“中国移动，请你告诉我，为什么一条短信就能骗走我所有的财产？”，文章中称“因为一条短信，一夜之间，我的支付宝、所有的银行卡信息都被攻破、所有银行卡的资金全部被转移。”

下面的分析都是基于作者长微博中所写而作，因为有些地方写的语焉不详故分析可能会有误。我们的分析顺着网络接收的信息揭露幕后黑手的目的和达到的阶段，我们看到受害者如何一步步在攻击者的诱导下泄露整个操作相关的关键数据，在一些地下黑库信息的推波助澜下，最终落入陷井成为猎物。

分析：订制这些业务的目的之一，就是引起手机使用者的注意。

分析：在这个过程中，实际上幕后的黑手就是要让手机使用者感觉到手机因为被瞎定制业务而导致停机。（注：此处截图，我故意抹去了验证码那条短信，原因后面会详述。）

分析：这个106581390开头的号码其实是139的邮箱服务，受害人所收到的短信，实际上是由手机号13816280086通过邮箱服务发送出来的。而受害人向10658139013816280086回复短信则实际上是将短信发送到手机号13816280086的139邮箱中。因此这个手机号的使用人参与作案的嫌疑是非常大的。关于139邮箱服务的介绍可以见下图。

图 139邮箱服务介绍。

分析：在前面的分析过程中，我故意截去了红框处的短信，现在放出来，就是让大家有个对短信的时间顺序有个了解。也就是说，在这个过程中，受害人收到了一条带有6位验证码的短信。那么这条短信有什么作用呢？原来这条短信是用来进行4G自助换卡的确认短信。

在受害人将这6位确认码通过短信回复给10658139013816280086之后，13816280086的139邮箱就马上在网站上操作了自助换卡。而这个信息也和随后的“北京移动10086热线”回应相印证。

图北京移动10086热线的回应

分析：也就是说，在回复完短信不久后，受害人的手机就无服务了，实际上就是受害人手中的SIM卡已经被作废了。而受害人却一直以为是停机了，实际上在这种情况下，一定要警醒，比如可以尝试用另外的号码拨打一下是不是停机状态（当然，这个方法并不一定靠谱，因为可以呼叫转移到一个停机的号码上）。这种攻击，算是补卡攻击形式的一种。