本周一有白帽子在乌云报告了一起钓鱼攻击事件,说起钓鱼各位已经是身经百战了,但乌云君发现此次事件暴露出目前钓鱼团伙的一些流行的套路和技术手段。另外还发现此类站点居然存在一些入门级的web安全漏洞,可能会导致受骗者信息二次、三次、四次、五次。。。泄露,鱼篓子漏了一地。
漏洞地址:仿冒电信运营商掌上营业厅的大规模钓鱼事件(大量用户银行卡中招CVV2与密码泄露)
此次钓鱼攻击由三个部分组成:
- 短信撒网
- 返利活动欺诈
- 控制用户手机
——————————–重现流程———————————
“鱼饵”来自一条短信
这条短信可能会通过伪基站、短信伪造或简单粗暴的直发手段推送到用户的手机上,获取你的信任。
用户:纳尼?!运营商返现?!终于看到回头钱儿了??!!
运营商:你想到美!
点击那个URL后发现,现在想钓鱼不学点Web前端技术都不好意思钓,这(些)个网站居然还对手机访问进行了适配,专门针对手机用户。可以看出跟以前另存为个页面进行的钓鱼不同了,现在的钓鱼者更注重细节!
(注:由于钓鱼攻击案例通过乌云报告后,涉及的钓鱼网站被陆续下线,所以截图与短信中的网址不同,但此次事件都是 ***189.com综合手机媒体平台 这种格式,请用户认准)
用户:电信你坑我钱!
电信:关我毛事啊?
钓鱼网页没啥稀奇的,还是尽可能的骗取信任,获取你的银行卡消费因素(姓名、手机、卡号、密码、身份证、有效期、CVV2等等)。让白帽子哭笑不得的是,钓鱼团伙没有保护好已到手的数据,竟然存在一个WEB入!门!级!的安全漏洞,导致受害者信息可被二次、三次、四次、五次。。。泄露!
数千受害者银行卡信息,几乎都可以拿来直接在网上消费。原来,被钓鱼只是噩梦的开始。。。
用户:钓鱼的,你他么坑我!
钓鱼者:关我毛事啊?
然后,乌云白帽子又根据蛛丝马迹发现钓鱼团伙的恶意Android APP,乌云白帽子对其进行了功能性分析(一只android短信控制马的简单分析)。首先安装了恶意APP的手机会向钓鱼者(1550173****) 发送软件已经被安装与激活的信息,最重要的是钓鱼者获取到了你得手机号码。
然后会提醒用户是否要激活管理设备,注意,一旦选择了激活,该APP就会隐藏在你的手机系统中,并且难以卸载! 从APP申请的权限来看,是一款攻击用户短信的木马
<uses-permission android:name="android.permission.WRITE_SMS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
以上权限分别代表“编写短信”、“发送短信”、“网络权限”、“读取本地短信(历史收到的)”、“实时接收短信广播(这个比较狠,可以获取刚刚到达的短信并截断)”。
程序总共发了7条短信6条是发给 1550173**** 大多是 安装成功,激活成功,发送成功这类消息用来判断受害者状态。只有一条短信是根据钓鱼者发送的短信提取出号码以及内容再发送。就是说黑客可以用短信控制你发送指定短信到指定号码。难道是要。。。
用户:手机制造商、运营商、钓鱼的、黑客们,你们妹啊!!
手机制造商、运营商、钓鱼者、黑客们:你自己愿意上当关我们毛事?
上面戏说了下现在的主流移动端钓鱼手段,简单伪造页面的钓鱼早已是昨日往事。钓鱼者们也是在与时俱进,积极的学习中,整的现在傻子都不够用了。
钓鱼者的上进特别体现在对钓鱼APP的反逆向与自我保护上,比现在很多企业的技术都要强!而且一些天天吹嘘自己手机查毒多牛的产品也纷纷拜倒在渔夫脚下。。。
用户:乌云君,救我。。。
乌云君:报告中涉及的钓鱼站点已经陆续被封杀下线,有过上述经历的朋友们注意自己的银行消费行为。另外昨天有伙疯狂的人对乌云持续了整整一天的DDOS攻击,不知是不是这伙愤怒的渔夫。。。
好了,看热闹的都散了,祝大家周末愉快。
———————————————
网站:乌云漏洞报告平台
微博: 乌云君
微信: wooyun_org
知乎专栏: 乌云君 – 知乎专栏
联系邮箱: help@wooyun.org
— 完 —
本文作者:fenggou
【知乎日报】
你都看到这啦,快来点我嘛 Σ(▼□▼メ)