前言
"網絡釣魚"是指不法分子將網站僞裝成真實的銀行或電子商務網站來竊取用戶銀行賬號、密碼等私密信息的欺詐行爲。由於網絡釣魚可竊取個人用戶儲蓄卡或信用卡賬號、密碼等信息,導致受害用戶蒙受嚴重的經濟損失,該問題一直以來受到廣泛的關注。近日小編的一個朋友也遇到假冒10086釣魚網站,幸好小編朋友的安全意識較高沒有上當,小編知道後也去對該假冒10086的釣魚網站進行分析破解,看看你的個人信息是如何被泄露的。
技術分析
一、網站釣魚過程
1.0、假冒10086的釣魚網站
表面上看來跟真實的10086網站並沒有很大的差別,這時候小編去點擊“現在就去兌換”按鈕時,網頁會跳轉到另一個頁面,這個頁面會讓你輸入儲蓄卡或者信用卡的銀行卡信息。
1.1、提示你選擇收款銀行卡種類頁面
用戶選擇了收款銀行卡種類後,網頁就會跳出窗口提示你“恭喜您已成功兌換人民幣¥288.00元,請您填寫接收款項的收款信息並點擊(激活)安裝移動客戶端打開激活才能領取成功!”然後會跳轉到一個填寫你的信息的頁面。
1.2、填寫你的銀行卡信息的頁面
這個時候你如果輸入了你的個人信息,很不幸你的個人信息已經被不法分子獲取了,趕緊去修改銀行卡密碼,或者先凍結你的銀行卡。
二、網站***測試
2.1、XSS跨站腳本***
科普:XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。***者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由於被***用來編寫危害性更大的網絡釣魚(Phishing)***而變得廣爲人知。對於跨站腳本***,***界共識是:跨站腳本***是新型的“緩衝區溢出***“,而JavaScript是新型的“ShellCode”。
2.2、利用XSS對釣魚網站進行***
2.2.1、來到剛剛的“填寫銀行卡信息的頁面”
2.2.2、這裏要用到XSS平臺,我們可以自己搭建一個XSS平臺但比較繁瑣,直接在網上找一個免費的來使用。
2.2.3、在開戶銀行這裏審查元素插入XSS代碼(獲取COOKIE)
2.2.4、然後下一步,這個時候我們可以看到已經提交了,過一會就可以在XSS平臺收到COOKIE了,可以看到網站提示“請點擊"激活提款"下載安裝並激活移動掌上營業廳客戶端完成領取!完成領取後¥288.00元將在24小時內到達您的賬戶,務必要激活,否則資金將無法到達!”
2.2.5、我們修改COOKIE登錄網站後臺
(因隱私問題已經對敏感信息打馬賽克)我們在該釣魚網站的後臺可以看到大量用戶在國內各大銀行的網銀信息遭到了竊取。由於此次事件涉及衆多銀行開戶用戶信息的泄露,小編已於第一時間將此事上報有關部門。
2.2.6、因爲現在很多人都使用了手機轉賬,並綁定了銀行賬戶,這個網站目的就是盜取用戶的賬戶和密碼,不過使用過網上銀行的小夥伴們都知道,在網上銀行轉賬都是要你自己手機的短信驗證碼的,犯罪分子是如何把你的錢轉走呢?我們進行分析。
三、APP分析
3.1、對假冒移動掌上營業廳客戶端的分析
科普:APP應用程序(外語縮寫:App;外語全稱:Application) 。APP指的是智能手機的第三方應用程序。比較著名的應用商店有蘋果的App Store,谷歌的Google Play Store,安智市場,還有黑莓用戶的BlackBerry App World,微軟的Marketplace等。
3.2、剛剛我們輸入個人信息提交後,網站跳到了另一個頁面提示“請點擊"激活提款"下載安裝並激活移動掌上營業廳客戶端完成領取!完成領取後¥288.00元將在24小時內到達您的賬戶,務必要激活,否則資金將無法到達!”
到底犯罪分子是如何把你的錢轉走的,小編下載了這個APP進行分析。
3.3、下載移動掌上營業廳客戶端
小編下載了這個客戶端後發現這個一個APK(APK是AndroidPackage的縮寫,即Android安裝包)這個APK的名字是l0086,如果大家這裏看清楚一點可以發現這個名字第一個不是數字10086,而是英文字母L的小寫l。
3.5、Apk反編譯得到Java源代碼
這裏利用到工具Dex2jar和jd-gui,將要反編譯的APK後綴名改爲.rar或則 .zip,並解壓,得到其中的額classes.dex文件。
3.5.1、將獲取到的classes.dex放到之前解壓出來的工具dex2jar文件夾內。
在命令行下定位到dex2jar.bat所在目錄
3.5.2、輸入d2j-dex2jar.bat classes.dex,效果如下:
這個時候在該目錄下會生成一個classes_dex2jar.jar的文件,然後打開工具jd-gui文件夾裏的jd-gui.exe來查看改客戶端的源碼。
3.6、通過反編譯分析該軟件
3.6.1、監聽用戶收到的短信
小編從下載的客戶端分析其中一段代碼,該服務主要是類smSserver 是在主頁面中的oncreate創建的該類主要讓服務總在前臺運行,使之不被系統回收,之後動態註冊各自監聽器,以達到監聽用戶收到的短信。
3.6.2、對手機各功能的的危險操作
通過對客戶端的配置文件分析可以知道該軟件對手機各種功能的監控,等危險操作。
3.6.3、找到犯罪分子聯繫方式
小編在其中的一段代碼中發現了犯罪分子的聯繫方式。可看到該郵箱賬號是屬於阿里雲郵箱。從另一段代碼可以看到犯罪分子的手機號碼132XXXX,屬於南京的手機號
3.7、獲取犯罪分子犯罪證據
3.7.1、登錄犯罪分子郵箱
小編利用剛剛的郵箱賬號密碼登錄了犯罪分子的郵箱,在這裏可以看到你對軟件的激活,卸載都會通過郵件方式發送到這個郵箱裏面。犯罪分子就是在用這個郵箱接收“受害人的短信驗證碼” 也可以從上面對客戶端的分析發現這個軟件的功能不止是攔截短信,還可以獲取你的通訊錄從而達到很多的目的,比如用你的手機再給這些聯繫人發送一條詐騙短信等等。
寫在最後
我們梳理下次釣魚程序的流程:
1.犯罪分子通過僞基站即假冒的基站僞裝成運營商的基站冒用各種號碼強行向用戶手機發送詐騙、廣告等短信。
2.發送短信的內容一般爲“尊敬的用戶,因您的話費積分沒有兌換即將清零,請登錄xx網站,下載客戶端兌換287.80元現金禮包”。從而騙取用戶登錄網站,並輸入相關銀行卡等敏感信息。
3.釣魚網站還會欺騙用戶下載安裝一個“手機營業廳”軟件,這其實是個手機***。這種***會攔截銀行發給你手機的網銀轉賬驗證碼等信息,將其發給遠程的騙子,導致資金流失。
4.你該手機病毒下載安裝之後,會提示用戶在手機上激活設備管理器,實現自我保護目的,並監聽攔截用戶短信箱內指定號碼發送過來的短信,進一步把監聽到的短信內容,轉發到嫌疑人指定的手機號碼,並在後臺偷偷刪除指定短信內容,讓人難以察覺。詐騙分子掌握了用戶的銀行賬號密碼等個人信息之後,可利用安裝在用戶手機上的病毒攔截用戶短信驗證碼,並通過第三方支付平臺等成功實現用戶資金盜付。
提醒
1.當用戶發現手機在無信號的情況下仍然會收到推廣、中獎、銀行等相關短信,很可能用戶所在區域被“僞基站”覆蓋,請認真仔細甄別短信內容的真實性。
2.不要輕信任何號碼發來涉及銀行賬號和轉賬的短信,更不可向任何陌生賬號轉賬。如確有轉賬需求,又正好收到轉賬短信涉及銀行賬號的,請再次覈實賬號相關情況。
3.注意識別網站的官方網址,不要輕易點擊短信息中收到的網址鏈接,以免手機中***病毒,造成手機中資料信息被盜。
4.市民使用手機時,應儘量安裝具有殺毒功能和攔截垃圾短信功能的手機安全軟件,這類軟件可識別鏈接網站是否帶有病毒,並提出不要鏈接的警示,可大大減少被騙的機會。
本文原創作者:中國Cold,轉載須註明來自i春秋社區(bbs.ichunqiu.com)
原文鏈接:http://bbs.ichunqiu.com/thread-8670-1-1.html