一種補卡攻擊的套路全分析

Author:360天眼實驗室

0x00 引言

---

人在做，天在看。

360天眼實驗室經常性地處理各種網路詐騙，騙子們八仙過海，各顯其能，懂技術的用技術，技術不行的就看套路。本文對一個網友的被騙經歷揭密其背後的邏輯，一切基於網友所提供出來的資訊。

0x01 套路分析

---

2016年4月11日，趣火星發出了一篇文章，標題是“中國移動，請你告訴我，為什麼一條簡訊就能騙走我所有的財產？”，文章中稱“因為一條簡訊，一夜之間，我的支付寶、所有的銀行卡資訊都被攻破、所有銀行卡的資金全部被轉移。”

下面的分析都是基於作者長微博中所寫而作，因為有些地方寫的語焉不詳故分析可能會有誤。我們的分析順著網路接收的資訊揭露幕後黑手的目的和達到的階段，我們看到受害者如何一步步在攻擊者的誘導下洩露整個操作相關的關鍵資料，在一些地下黑庫資訊的推波助瀾下，最終落入陷井成為獵物。

分析：訂製這些業務的目的之一，就是引起手機使用者的注意。

分析：在這個過程中，實際上幕後的黑手就是要讓手機使用者感覺到手機因為被瞎定製業務而導致停機。（注：此處截圖，我故意抹去了驗證碼那條簡訊，原因後面會詳述。）

分析：這個106581390開頭的號碼其實是139的郵箱服務，受害人所收到的簡訊，實際上是由手機號13816280086透過郵箱服務傳送出來的。而受害人向10658139013816280086回覆簡訊則實際上是將簡訊傳送到手機號13816280086的139郵箱中。因此這個手機號的使用人參與作案的嫌疑是非常大的。關於139郵箱服務的介紹可以見下圖。

圖 139郵箱服務介紹。

分析：在前面的分析過程中，我故意截去了紅框處的簡訊，現在放出來，就是讓大家有個對簡訊的時間順序有個瞭解。也就是說，在這個過程中，受害人收到了一條帶有6位驗證碼的簡訊。那麼這條簡訊有什麼作用呢？原來這條簡訊是用來進行4G自助換卡的確認簡訊。

在受害人將這6位確認碼透過簡訊回覆給10658139013816280086之後，13816280086的139郵箱就馬上在網站上操作了自助換卡。而這個資訊也和隨後的“北京移動10086熱線”回應相印證。

圖 北京移動10086熱線的回應

分析：也就是說，在回覆完簡訊不久後，受害人的手機就無服務了，實際上就是受害人手中的SIM卡已經被作廢了。而受害人卻一直以為是停機了，實際上在這種情況下，一定要警醒，比如可以嘗試用另外的號碼撥打一下是不是停機狀態（當然，這個方法並不一定靠譜，因為可以來電轉駁到一個停機的號碼上）。這種攻擊，算是補卡攻擊形式的一種。

分析：手機連著wifi且支付寶還開著推送，正是因為這條資訊，讓受害人開始產生了一絲警覺。

分析：此時幕後黑手，已經將受害人的支付寶搞定了，並將受害人支付寶賬號上的資金進行轉移。

分析：這個號碼和幕後黑手有什麼關聯目前不清楚。但13816280086這個號碼肯定是有關聯的。

分析：把錢轉給一個可靠的好友，這個方法是可行的。另外，受害人其實可以看看，可信裝置中，有沒有其它異常機器的登入記錄。

分析：中國銀行、招商銀行這些銀行的登入密碼都被改，可想受害人的密碼應該是早就有洩露的。

分析：受害人的163郵箱也被搞了，至於說和前幾天的網易52G有沒有關不清楚，但縱觀整個事件，受害人被幕後黑手提前做好了背景調查是肯定的。

分析：在百度錢包這個過程中，我比較好奇的是，受害人的銀行卡號是如何被幕後黑手得知的？快捷支付目前主要是透過銀行卡號、姓名、身份證號，銀行卡繫結的手機號及下發到該手機號上的簡訊驗證碼進行鑑權。

0x02 寫在最後

---

套用TK的一句話，我們可能是最後一波曾經有過隱私的人。

網路發達的現在，個人資訊的保護尤其重要，特別是很多網站都發生過資料洩露事件。很多被曝出來的資料庫都是在地下產業鏈中玩爛了，已經很難再榨取出價值後才被丟擲的。

在這個事件中，實際上還存在很多疑問。比如，受害人的手機號、身份證、姓名、銀行卡、銀行登入密碼、移動官網的登入密碼、網易郵件等等這些資訊，幕後黑手是怎麼得到的？