您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
专栏 正文
发私信给何楚
发送

15

小心,银行短信也有假!伪基站钓鱼短信攻击分析

本文作者: 何楚 2015-07-02 16:57
导语:这是一次典型的钓鱼短信攻击,攻击者使用伪基站伪装成银行的短信服务号发送通知短信,因此具有极强的迷惑性,普通用户根本无法分辨。现记录下攻击方式,并进行简单分析,便于大家提高甄别信息真伪的水平,避免更多的人受到财产损失。

银行短信也有假!这是一次我亲历的钓鱼短信攻击,攻击者使用伪基站伪装成银行的短信服务号发送通知短信,因此具有极强的迷惑性,普通用户根本无法分辨。现记录下攻击方式,并进行简单分析,便于大家提高甄别信息真伪的水平,避免更多的人受到财产损失:

缘由

昨天真的是美好的一天,广州风和日丽,阳光灿烂。又加上闰秒来临,早晨可以多睡一会儿,或者可以晚一点上班——虽然只有那么一秒的时间,但这便宜来的不费吹灰之力,绝对是白捡的。

想到这里,就心情大好。

就在上班途中,我忽然收到一条发自95555的通知短信。打开一看,是一条来自银行短信中心的积分兑换提醒。如图:

小心,银行短信也有假!伪基站钓鱼短信攻击分析

图中有三条短信,前两条都是6月30日本人取款时候的正常业务通知,最后一条是刚收到的。乍看之下,没啥问题,但是,隐约觉得短信内容有那么一点点奇怪,对于一个细节敏感的强迫症来说,不寻常,列出疑点如下:

1、地址是山寨的,这个最容易分辨。但是,还是很像啊!


2、标点符号的全角半角混用,不像严谨的专业人士所为。


3、我的积分早被老婆用光啦,还用等着清零?

除此之外,这条短信迷惑性超高!刚看到的一瞬间甚至让我恍惚回忆了一下我的积分情况。对于英文不好排斥看网址的客户,这个短信简直具有绝对的杀伤力。特别地,最容易让人产生信任感的是短信的发送方:95555,有些手机自带的地址簿软件甚至都自动给这个号码配上了图标,比如我的:

小心,银行短信也有假!伪基站钓鱼短信攻击分析

分析

顺手把短信截图发给群里的朋友们看,然后开始研究。有朋友回复:“会不会是号码比较像,被手机错误归类了”。

小心,银行短信也有假!伪基站钓鱼短信攻击分析

——呃,简直是黑我大华为的短信归档程序!

怎么可能?

好吧,我看看。

小心,银行短信也有假!伪基站钓鱼短信攻击分析

比较之下,几条关键区别:

  • 首先确认这两条都是短信,两条信息的源地址都是95555。

  • 新短信没有服务中心(SMSC),真实短信的服务中心号码为:+8613800200571(属浙江移动)。

  • 新短信的发送时间是2009年,真实短信的发送时间是昨天业务办理时。

短消息点对点协议(CMPP,SMPP)中,对短信生命周期的约定是最长48小时。另外,手机接收到的短信息,都会显示发送者的短信中心(SMSC)。

基于对短信通讯协议的理解,马上可以断定:新来的短信不是来自正常的移动网络——而是移动伪基站!

——即使,发送地址是95555。

头一回!

从没碰到过!

追查

由于今天闰了一秒,我又没有睡懒觉,所以有机会比之前更早到公司。又所以有多出来那么一点点时间,可以研究一下这个钓鱼短信。

点开伪基站发送的钓鱼网站地址,会打开一个山寨的银行网页,不那么像,不过还凑合。网页会逐步引导用户填写资料,当然,我机智的填写了隔壁邻居的信息。网页最后一步,是让下载一个“招行积分”APP,点任何链接都是下载这个APP。当然——它也是山寨的。如图:

小心,银行短信也有假!伪基站钓鱼短信攻击分析

按照提示,在填写了一些个人信息后下载了这个安卓手机程序,安装到了我的——当然是虚拟机中,APP安装后会显示在桌面应用列表,但运行一次或者重启后就消失掉了。实际APP隐藏了桌面图标,作为一个服务潜伏了下来。手动进入已经安装的应用列表,还是能够看到被安装的APP。

这个APP申请了一堆高危权限,例如:开机自动启动、收发短信、完全的网络访问、获取位置、拍摄照片和视频。而这其中危害最大的,就是发送和接收短信的权限。

小心,银行短信也有假!伪基站钓鱼短信攻击分析

由于很久不做安卓开发,公司电脑虚拟机相关可玩的东西不多,所以截图之后开始做逆向静态分析,分析过程、方法和细节略过(上班期间,时间较少,请高手指正,BOSS看到本文请…无视),只讲结论。

这个APP安装到手机后具有较大的危害性,表现如下:

  • APP会向一个深圳的手机号码15816857541发送短信报到(报告中招手机号)。从此中招手机变为受控制的肉鸡。这月短信费增加是确定无疑的了。

  • 受害手机的短信记录不会保存那些控制指令,所以机主感知不到。

  • 控制者可以用任意手机号向受害手机发送控制指令。

  • 平常APP处于潜伏状态,当收到特定短信后,开始启动并作恶。

  • 控制者尝试偷取受害手机里的X.509证书文件!OMG!

  • APP尝试阻止被卸载并欺骗用户卸载成功。

小心,银行短信也有假!伪基站钓鱼短信攻击分析

上图可见手机号码:15816857541。APP被安装后,自动向这个号码报告情况。(——深圳移动能看到这个文章不,可以O2O报案不?)

这…… 是一个专门针对手机网银的木马APP程序,偷取网银X.509证书直接让我ORZ了(发送代扣费指令已经过时)。上网搜索了一下,它的同门兄弟(或者变种)一个建行木马在2013年就被人发现并分析过。看来是源码又被卖给了新入行的小兄弟,小兄弟改了一下准备开创一份轰轰烈烈的事业,并希望藉此谱写一篇行业新传奇走向人生巅峰,然后陷入囫囵。呃……

 总结

整个钓鱼网站和木马程序实际跟以往没有太多的新意,但整体的这次钓鱼攻击,还是有2个亮点:

1、伪基站的引入。伪基站伪造官方短信号码迷惑性太强,普通人无法分辨。杀伤力直接5分!


2、APP窃取本地证书。窃取本地证书的目的直指网银,用户资金安全堪忧。不过网银认证比较复杂,攻击者又需要账号等信息才能成功盗窃。给4分。

防范

短信贴图发到朋友圈后,有技术小白朋友问如何防范此类伪基站钓鱼信息。

几点防范意见供参考:

1、不要贪。中奖类的消息轮不到咱普通老百姓的,看审计署审计福彩的结果就该明白。

2、不要怕。钓鱼攻击信息常危言耸听,认真甄别马上就现原形了。

3、认清正规网站的地址,不安装来历不明的app,不在不明网站输入账号密码。

4、水果机一般没有这些木马app,不过水果机在钓鱼网站输入密码的时候,是一样顺畅的。

5、所以无论什么手机,都要提高防范意识。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

小心,银行短信也有假!伪基站钓鱼短信攻击分析

分享:
相关文章

专业投稿

开源软硬件爱好者,工程师、分析师。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说