0
| 本文作者: 李勤 | 2019-05-23 11:57 |
世界上最遠(yuǎn)的距離不是 520 我站在你面前,你沒(méi)有發(fā)紅包給我,而是你拿著一張百夫長(zhǎng)黑金卡,而我,拿著一張每月余額艱難在正負(fù)間掙扎的銀行卡。
銀行卡怎么了?誰(shuí)還沒(méi)有么?
有,現(xiàn)在遠(yuǎn)程開(kāi)戶(hù)就能辦理。
不僅是銀行卡,電話(huà)卡、社保卡等也都可以遠(yuǎn)程辦理。
呵,就算擁有的余額一言難盡,還是有人盯上我的銀行卡,不過(guò)背后黑手的目標(biāo)并不是簡(jiǎn)簡(jiǎn)單單這張“銀行卡”。
今天,雷鋒網(wǎng)編輯與梆梆安全的高級(jí)安全顧問(wèn)趙千里聊了聊,揭秘背后黑手如何在你遠(yuǎn)程開(kāi)戶(hù)的過(guò)程中搞小動(dòng)作,他們的目的又是什么。
以銀行卡開(kāi)戶(hù)為例。
話(huà)說(shuō)現(xiàn)在的銀行儲(chǔ)蓄卡基本分為三類(lèi):一類(lèi)卡、二類(lèi)卡、三類(lèi)卡。
1.持有數(shù)量不同
一類(lèi)卡一個(gè)銀行只可以有一張;
二類(lèi)、三類(lèi)卡不限制。
2.交易限額不同
一類(lèi)卡沒(méi)有限額;
二類(lèi)卡非綁定賬戶(hù)轉(zhuǎn)入資金、存入現(xiàn)金日累計(jì)限額合計(jì)為1萬(wàn)元,年累計(jì)限額合計(jì)為20萬(wàn)元等。
三類(lèi)卡余額不得超過(guò)1000元;非綁定賬戶(hù)資金轉(zhuǎn)入日累計(jì)限額為5000元,年累計(jì)限額為10萬(wàn)元等。
在銀行的操作中,一類(lèi)卡開(kāi)戶(hù)必須用戶(hù)到銀行現(xiàn)場(chǎng)開(kāi)戶(hù),但是二、三類(lèi)卡可以遠(yuǎn)程開(kāi)戶(hù)。
遠(yuǎn)程開(kāi)戶(hù)的中心要義是:證明我是我,還要證明我是合法的我。
具體操作步驟是,先通過(guò)手機(jī)卡和對(duì)應(yīng)的驗(yàn)證碼通過(guò)第一層驗(yàn)證,再上傳身份證的正反面信息,通過(guò)人臉識(shí)別通的驗(yàn)證,接著關(guān)聯(lián)一類(lèi)銀行卡賬號(hào),最后,填寫(xiě)個(gè)人信息、電子簽名等完成開(kāi)戶(hù)。
[圖片來(lái)源:央視新聞]
看上去這些步驟都很簡(jiǎn)單,而且大大節(jié)約了去銀行窗口現(xiàn)場(chǎng)開(kāi)卡的時(shí)間,但是有很多安全風(fēng)險(xiǎn),可以直接造成幾類(lèi)后果:
1.在銀行搞活動(dòng)時(shí),批量開(kāi)卡薅羊毛,套取現(xiàn)金;
2.利用第三方支付平臺(tái)漏洞,用虛假賬號(hào)盜取資金;
3.有些人向黑產(chǎn)販賣(mài)虛假賬戶(hù)的信息,自己搞一把虛假賬號(hào),又通過(guò)黑產(chǎn)來(lái)販賣(mài)做好的虛假賬號(hào)的信息,實(shí)現(xiàn)“完美閉環(huán)”;
4.通過(guò)虛假的賬號(hào)信息實(shí)施詐騙、洗錢(qián)等非法活動(dòng)。
總之一句話(huà),搞錢(qián),干壞事。
我們來(lái)看看黑產(chǎn)的招數(shù):
第一招,偷梁換柱。
攻擊者想用別人的身份信息注冊(cè),但手里沒(méi)有別人的手機(jī)卡,得不到驗(yàn)證碼,怎么辦?他想到了一招——自己找一個(gè)170號(hào)段的非實(shí)名制手機(jī)號(hào)接收短信,通過(guò)第一關(guān)。
但是,問(wèn)題來(lái)了,這個(gè)170的手機(jī)號(hào)也不是別人的真手機(jī)號(hào),他是怎么蒙混過(guò)關(guān)的?
原來(lái),最終提交的數(shù)據(jù)是非法手機(jī)號(hào),服務(wù)端驗(yàn)證會(huì)出錯(cuò),但是攻擊者將提交驗(yàn)證的數(shù)據(jù)劫持并將手機(jī)號(hào)改成了別人的真手機(jī)號(hào)。
第二招,臨門(mén)一腳截胡。
攻擊者上傳假照片,虛假手機(jī)驗(yàn)證碼等,雖然這些驗(yàn)證環(huán)節(jié)均失敗,但是在最后后臺(tái)結(jié)果返回時(shí),篡改結(jié)果,由于這幾項(xiàng)信息沒(méi)有連接起來(lái)統(tǒng)一認(rèn)證,服務(wù)端認(rèn)為“結(jié)果對(duì)”則“程序?qū)Α保懊嬉幌盗姓J(rèn)證都算通過(guò)。
第三招,誰(shuí)真誰(shuí)假?
攻擊者用真實(shí)信息開(kāi)戶(hù),真實(shí)信息開(kāi)戶(hù)上傳到服務(wù)端時(shí),服務(wù)端明確信息沒(méi)有問(wèn)題,返回的數(shù)據(jù)允許正常開(kāi)戶(hù),你以為他要開(kāi)具一張真卡?錯(cuò),攻擊者把服務(wù)端發(fā)回的數(shù)據(jù)包改成驗(yàn)證失敗,客戶(hù)端拿到服務(wù)端驗(yàn)證失敗的結(jié)果后選擇再提交一次,由于客戶(hù)端身份已經(jīng)被認(rèn)可,服務(wù)端會(huì)接受后續(xù)客戶(hù)端發(fā)送的數(shù)據(jù),這時(shí)攻擊者通過(guò)篡改的方式提交一次虛假信息,就能實(shí)現(xiàn)使用虛假信息的虛假開(kāi)戶(hù)。
第四招,搞定客戶(hù)端。
攻擊者直接破解客戶(hù)端的源碼,篡改運(yùn)行中的業(yè)務(wù)數(shù)據(jù),實(shí)現(xiàn)虛假開(kāi)戶(hù)。
第五招,見(jiàn)招拆招。
由于身份證識(shí)別系統(tǒng)和一些人臉識(shí)別系統(tǒng)存在缺陷,攻擊者可以通過(guò)身份證生成器、PS 照片通過(guò)驗(yàn)證。
攻擊者“隔空”截胡銀行卡手段這么多,搞起運(yùn)營(yíng)商來(lái)也不含糊。
趙千里說(shuō),運(yùn)營(yíng)商的渠道商,包括虛擬運(yùn)營(yíng)商可通過(guò)實(shí)名制遠(yuǎn)程開(kāi)卡,有專(zhuān)門(mén)的開(kāi)卡設(shè)備。在一次監(jiān)測(cè)中,他發(fā)現(xiàn)運(yùn)營(yíng)商在實(shí)名開(kāi)卡中,服務(wù)端暴露了異常開(kāi)卡的信息,運(yùn)營(yíng)商的 POS 系統(tǒng)顯示,客戶(hù)端存在虛假設(shè)備、虛假地理位置和虛假身份證。
攻擊者是如何暴露的?
比如,開(kāi)卡的時(shí)間間隔很短,十秒鐘來(lái)一個(gè)。
業(yè)務(wù)日志里也存在蛛絲馬跡,安全研究員發(fā)現(xiàn),數(shù)據(jù)中缺少一些正常的手機(jī)字段,比如設(shè)備識(shí)別信息、IMEI、OS info、安卓 ID 等,基本可以判斷是模擬器開(kāi)的卡。
員工在 A 地,卻頻繁在 B 地開(kāi)卡等。
攻擊者展開(kāi)了“釣魚(yú)”的騷操作,他們首先提供了真實(shí)的個(gè)人信息,利用這些個(gè)人信息實(shí)現(xiàn)了虛假身份證的制作,然后使用模擬器攻擊框架,破解客戶(hù)端,獲得內(nèi)存數(shù)據(jù),或者利用通訊協(xié)議對(duì)數(shù)據(jù)進(jìn)行批量的篡改。這些數(shù)據(jù)傳到服務(wù)端時(shí),服務(wù)端通常照單全收,N 個(gè)假賬戶(hù)出來(lái)了。
雷鋒網(wǎng)發(fā)現(xiàn),判斷一個(gè)客戶(hù)端行不行,也許就跟找對(duì)象一樣復(fù)雜。
第一,要考察對(duì)象自身的人品——這個(gè)終端是否安全可靠。
第二,他都跟什么人來(lái)往——終端所處的環(huán)境是否可以信任?
趙千里說(shuō),需要檢測(cè)運(yùn)行過(guò)程,防止動(dòng)態(tài)注入。防止內(nèi)存數(shù)據(jù)被篡改,判定運(yùn)行環(huán)境中是否存在模擬器、攻擊框架,以及代理是否被截獲。
通過(guò)歷史運(yùn)行數(shù)據(jù)判定運(yùn)行環(huán)境是否在合理的范圍內(nèi),比如是否有地理位置欺詐,還要防止代碼被反編譯,邏輯被暴露,同時(shí)也要通過(guò)滲透測(cè)試這樣的手段來(lái)明確業(yè)務(wù)中存在的安全風(fēng)險(xiǎn),及時(shí)修復(fù)。
比如,他曾遇到一個(gè)這樣的案例——一家電商 App 的業(yè)務(wù)邏輯被人發(fā)現(xiàn)了。
“你能輸出的金額是一塊錢(qián)到 9999,你下個(gè)單,后臺(tái)的服務(wù)器不會(huì)驗(yàn)證你發(fā)過(guò)來(lái)的金額。如果這件商品的正常價(jià)格就是 98 元,后臺(tái)只要提交數(shù)據(jù),不會(huì)再次驗(yàn)證金額,就會(huì)直接給你發(fā)貨。”趙千里對(duì)雷鋒網(wǎng)說(shuō)。
你以為攻擊者會(huì)改成 1 塊錢(qián)嘗試性付款嗎?
不!1塊錢(qián)都不會(huì)給你。
攻擊者破解 App 后,找到了客戶(hù)端到服務(wù)端的接口,然后制作一個(gè)假客戶(hù)端,登陸賬號(hào),把值改成了“-1”。
什么,還倒欠人一塊錢(qián)???
原來(lái),很多字段定義時(shí),不能識(shí)別“-1”。而有時(shí)數(shù)據(jù)庫(kù)定義字段時(shí),“-1”等于最大數(shù),攻擊者輸入“-1”后獲得了 9999 的購(gòu)買(mǎi)力。
“但是電商在做這個(gè) App 時(shí),首先不會(huì)考慮這個(gè)問(wèn)題,它沒(méi)有考慮到攻擊者攻破App 后手動(dòng)生成了一條交易,所以核心點(diǎn)是,它最初認(rèn)為移動(dòng)端是可信的,現(xiàn)在發(fā)現(xiàn)不可信后,就需要基于客戶(hù)端不可信的情況做監(jiān)管手段。”趙千里說(shuō)。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。
