您好!欢迎访问微云科技!

025-81032698会员登录 |  设为首页 |  收藏网站 |  服务热线:

小心,银行短信也有假!伪基站钓鱼短信攻击分析

时间: 2015-07-04 10:46:48     来源: 网络

2015-07-02 16:57 原创 何楚

银行短信也有假!这是一次我亲历的钓鱼短信攻击,攻击者使用伪基站伪装成银行的短信服务号发送通知短信,因此具有极强的迷惑性,普通用户根本无法分辨。现记录下攻击方式,并进行简单分析,便于大家提高甄别信息真伪的水平,避免更多的人受到财产损失:

缘由

昨天真的是美好的一天,广州风和日丽,阳光灿烂。又加上闰秒来临,早晨可以多睡一会儿,或者可以晚一点上班——虽然只有那么一秒的时间,但这便宜来的不费吹灰之力,绝对是白捡的。

想到这里,就心情大好。

就在上班途中,我忽然收到一条发自95555的通知短信。打开一看,是一条来自银行短信中心的积分兑换提醒。如图:

5594f7289a712.jpeg

图中有三条短信,前两条都是6月30日本人取款时候的正常业务通知,最后一条是刚收到的。乍看之下,没啥问题,但是,隐约觉得短信内容有那么一点点奇怪,对于一个细节敏感的强迫症来说,不寻常,列出疑点如下:

1、地址是山寨的,这个最容易分辨。但是,还是很像啊!


2、标点符号的全角半角混用,不像严谨的专业人士所为。


3、我的积分早被老婆用光啦,还用等着清零?

除此之外,这条短信迷惑性超高!刚看到的一瞬间甚至让我恍惚回忆了一下我的积分情况。对于英文不好排斥看网址的客户,这个短信简直具有绝对的杀伤力。特别地,最容易让人产生信任感的是短信的发送方:95555,有些手机自带的地址簿软件甚至都自动给这个号码配上了图标,比如我的:

5594bb488ff0a.jpeg

分析

顺手把短信截图发给群里的朋友们看,然后开始研究。有朋友回复:“会不会是号码比较像,被手机错误归类了”。

5594c03e02ac2.jpeg

——呃,简直是黑我大华为的短信归档程序!

怎么可能?

好吧,我看看。

5594c056708d0.jpeg

比较之下,几条关键区别:

  • 首先确认这两条都是短信,两条信息的源地址都是95555。

  • 新短信没有服务中心(SMSC),真实短信的服务中心号码为:+8613800200571(属浙江移动)。

  • 新短信的发送时间是2009年,真实短信的发送时间是昨天业务办理时。

短消息点对点协议(CMPP,SMPP)中,对短信生命周期的约定是最长48小时。另外,手机接收到的短信息,都会显示发送者的短信中心(SMSC)。

基于对短信通讯协议的理解,马上可以断定:新来的短信不是来自正常的移动网络——而是移动伪基站!

——即使,发送地址是95555。

头一回!

从没碰到过!

追查

由于今天闰了一秒,我又没有睡懒觉,所以有机会比之前更早到公司。又所以有多出来那么一点点时间,可以研究一下这个钓鱼短信。

点开伪基站发送的钓鱼网站地址,会打开一个山寨的银行网页,不那么像,不过还凑合。网页会逐步引导用户填写资料,当然,我机智的填写了隔壁邻居的信息。网页最后一步,是让下载一个“招行积分”APP,点任何链接都是下载这个APP。当然——它也是山寨的。如图:

5594c2abb7f2b.png

按照提示,在填写了一些个人信息后下载了这个安卓手机程序,安装到了我的——当然是虚拟机中,APP安装后会显示在桌面应用列表,但运行一次或者重启后就消失掉了。实际APP隐藏了桌面图标,作为一个服务潜伏了下来。手动进入已经安装的应用列表,还是能够看到被安装的APP。

这个APP申请了一堆高危权限,例如:开机自动启动、收发短信、完全的网络访问、获取位置、拍摄照片和视频。而这其中危害最大的,就是发送和接收短信的权限。

5594f90ba33d6.png

由于很久不做安卓开发,公司电脑虚拟机相关可玩的东西不多,所以截图之后开始做逆向静态分析,分析过程、方法和细节略过(上班期间,时间较少,请高手指正,BOSS看到本文请…无视),只讲结论。

这个APP安装到手机后具有较大的危害性,表现如下:

  • APP会向一个深圳的手机号码15816857541发送短信报到(报告中招手机号)。从此中招手机变为受控制的肉鸡。这月短信费增加是确定无疑的了。

  • 受害手机的短信记录不会保存那些控制指令,所以机主感知不到。

  • 控制者可以用任意手机号向受害手机发送控制指令。

  • 平常APP处于潜伏状态,当收到特定短信后,开始启动并作恶。

  • 控制者尝试偷取受害手机里的X.509证书文件!OMG!

  • APP尝试阻止被卸载并欺骗用户卸载成功。

5594c76922242.png

上图可见手机号码:15816857541。APP被安装后,自动向这个号码报告情况。(——深圳移动能看到这个文章不,可以O2O报案不?)

这…… 是一个专门针对手机网银的木马APP程序,偷取网银X.509证书直接让我ORZ了(发送代扣费指令已经过时)。上网搜索了一下,它的同门兄弟(或者变种)一个建行木马在2013年就被人发现并分析过。看来是源码又被卖给了新入行的小兄弟,小兄弟改了一下准备开创一份轰轰烈烈的事业,并希望藉此谱写一篇行业新传奇走向人生巅峰,然后陷入囫囵。呃……

 总结

整个钓鱼网站和木马程序实际跟以往没有太多的新意,但整体的这次钓鱼攻击,还是有2个亮点:

1、伪基站的引入。伪基站伪造官方短信号码迷惑性太强,普通人无法分辨。杀伤力直接5分!


2、APP窃取本地证书。窃取本地证书的目的直指网银,用户资金安全堪忧。不过网银认证比较复杂,攻击者又需要账号等信息才能成功盗窃。给4分。

防范

短信贴图发到朋友圈后,有技术小白朋友问如何防范此类伪基站钓鱼信息。

几点防范意见供参考:

1、不要贪。中奖类的消息轮不到咱普通老百姓的,看审计署审计福彩的结果就该明白。

2、不要怕。钓鱼攻击信息常危言耸听,认真甄别马上就现原形了。

3、认清正规网站的地址,不安装来历不明的app,不在不明网站输入账号密码。

4、水果机一般没有这些木马app,不过水果机在钓鱼网站输入密码的时候,是一样顺畅的。

5、所以无论什么手机,都要提高防范意识。


原文地址:http://www.leiphone.com/news/201507/QCu2pswepnERMjOv.html

上一篇:你应该知道的100件关于设计的事
下一篇:网站做好SEO优化第一步
专注于互联网专业的设计,用心的服务微信营销

版权声明 Copyright 2015-2017 by 南京微云信息科技有限公司 All rights reserved   苏ICP备11018666号-8 本站尊重原创,转载请注明出处并附链接