4月27日上午,国内互联网安全漏洞平台乌云网发布了一则名为“某新伪基站钓鱼网站导致大量银行卡泄露”的漏洞。
根据该漏洞显示,该漏洞造成了用户资料大量泄露。被泄露的用户资料中包含用户银行卡等多个敏感信息。根据乌云网统计,从伪基站泄露银行卡信息的用户粗略估算有数百万,2015年每年大约有十万左右用户被骗信息。
“伪基站”即假基站,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。
根据乌云网一位“白帽子”不完整统计,每天新增加的钓鱼网站大概有 10 多个。目前被利用伪基站钓鱼且有效的网站大概有2000多个。比较小的钓鱼站每天可能有数十个用户受骗,一般常见的钓鱼网站每天会有100个左右受骗者,有一些专业的骗子集团可以每天骗300多个受害者。乌云白帽子曾发现一个钓鱼网站内有11万受害者的案例存在。
“钓鱼”手法
钓鱼,用来泛指网络诈骗者利用发送不实信息来诱惑用户上当,从而达到获得用户数据信息的目的。
乌云漏洞平台负责人孟卓告诉21世纪经济报道,伪基站作案手法非常相似,这些人首先会注册大量与中国移动等企业的官网类似的域名。作案设备一般都是在一些私人渠道购买到用来群发短信的伪基站设备,然后将事先注册好的钓鱼域名与钓鱼系统(网站、手机应用)通过伪基站下发。
发送短信的内容一般为“尊敬的用户,因您的话费积分没有兑换即将清零,请登录xx网站,下载客户端兑换287.80元现金礼包”。从而骗取用户登录网站,并输入相关银行卡等敏感信息。
孟卓介绍,这种做法利用了GSM协议设计的漏洞,伪基站设备可以伪装成运营商基站,给接入的用户用任意号码下发短信。伪造后难以有察觉。他认为,当前GSM通信协议存在问题,老式的SIM卡并没有验证呼叫方是否合法,也无法验证SMS短信发送方是否来自真实的手机。当然,运营商也在努力,他们推出了一种新型的sim卡叫做USIM卡,声称这种卡片能够有效的防止伪基站,原理就是经过了双向认证确保通信安全。目前移动和联通的2G网络最容易受到伪基站的影响。
除此之外,伪基站还需要建立相关网站等配套平台,这还需要一个钓鱼系统与手机木马。
据孟卓介绍,这套钓鱼套件已经非常成熟。且钓鱼网站界面与官方系统极其相似,提示用户有积分可以兑换现金,然后选择银行卡类型并填写相关信息(姓名、手机、账号、身份证、密码、有效期、CVV2等等),最终这些敏感的信息被入库纪录进行洗钱。手机木马负责拦截用户短信,并将如银行交易验证码等关键信息发给远程的黑客。
如3月27日,乌云网的另一则名为“一场钓鱼引发的大量网银密码泄漏(各大银行均有中招)”的漏洞显示,攻击者利用10086伪基站进行钓鱼,通过让用户点击兑换积分实施诈骗。登录该页面可获得用户登录网银、身份证、密码等信息。
乌云网“白帽子”破解该网站的后台系统,登录后发现每一个伪基站都掌握7000条以上的银行卡数据。根据用户账号可成功登陆该用户的网银界面。
银行卡数据的泄露是否会造成资金的流失?
孟卓告诉记者,如果泄露信息是信用卡,填写了卡号、有效期、CVV2后就可以直接消费了。如果是银行卡,骗子也有办法进行周折,比如目前比较确定的一种手段是:钓鱼网站会欺骗用户下载安装一个“手机营业厅”软件,这其实是个手机木马。这种木马会拦截银行发给你手机的网银转账验证码等信息,将其发给远程的骗子,导致资金流失。
采用钓鱼手法进行诈骗的做法并不少见,可为什么还有大量用户上当?有乌云网“白帽子”曾经交流透露过一些发现,一般这种网站在一线城市用户被骗很少。
但很多二、三、四线城市用户受骗几率很大,因为获取信息的渠道缓慢或闭塞,甚至压根就不了解伪基站这种手段(特别是老人),非常容易上当受骗。
近年来,伪基站造成信息泄露的情况越来越多,国家有关部门针对伪基站也进行了相关治理。2014年,中央宣传部、中央网信办、最高法、最高检、公安部、工信部、安全部、工商总局、质检总局等9部门在全国范围内部署开展打击整治专项行动,严打非法生产、销售和使用“伪基站”设备的违法犯罪活动。
此类行为究竟如何处罚?
根据有关《中华人民共和国刑法》第288条规定,违反国家规定,擅自设置、使用无线电台(站),或者擅自占用频率,经责令停止使用后拒不停止使用,干扰无线电通讯正常进行,造成严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
《中华人民共和国治安处罚法》第28条分别规定,违反国家规定,故意干扰无线电业务正常进行的,或者对正常运行的无线电台(站)产生有害干扰,经有关主管部门指出后,拒不采取有效措施消除的,处5日以上10日以下拘留;情节严重的,处10日以上15日以下拘留。
此外,2014年4月4日,国家工商总局公布《禁止生产销售使用窃听窃照专用器材和“伪基站”设备的规定(征求意见稿)》,规定对经公安机关认定的生产、销售窃听窃照专用器材、“伪基站”设备行为,由质量监督部门责令停止生产、销售,处以3万元人民币以下罚款。
乌云漏洞报告: 伪基站钓鱼导致百万银行卡账户密码泄露涉及工行/农行/招行等主流银行等(附分析和部分列表)
|