银行卡密码究竟如何泄露?白帽子揭秘神秘产业链
文/乌云君
日前,央视曝光了银行卡黑市,央视记者5分钟就买到上千条银行卡信息,包括卡主姓名、身份证号、卡号、银行预留电话,甚至银行卡密码。银行卡信息究竟是怎么泄露的?可以发送诈骗短信的伪基站进入人们视野。
冒充银行官方号码、冒充新型农合医疗通知、冒充“校讯通”给家长发下载链接......相信很多人都收到过类似官方号码发过来的诈骗短信,花样多变,防不胜防。伪基站短信诈骗的崛起对普通老百姓造成了惨痛的经济损失。在一个个看似无关的盗刷个案背后,一个神秘的“伪基站诈骗产业链”一直在悄然运作,偷偷把你的钱洗走、变现。
乌云是国内知名的白帽子安全网站,今天,它将深度揭秘这个神秘的“伪基站诈骗产业链”如何运作与分工,怎样将你的钱洗走变现。
该产业链分工明细,主要分为这几个角色:伪基站设备销售、信使、鱼站程序包、洗钱师、消费老板等,他们之间的收益都是相互独立的。
信使:日入万元
有伪基站设备的信使们日进斗金不是说着玩的。虽然设备整套下来也要一万多,但是这个钱,信使一天就能赚回来。据乌云君了解,即使行情不好的时候,信使一天能赚9500,可想而知在鼎盛时期日进万金绝不是梦!
这么高的收入就是信使团队创造的,他们会购买伪基站设备,开车去人口密集而且管理松懈的二三线城市扫街,通过伪基站下发骗子定制好的短信内容,就是以前咱们经常收到的诈骗短信。
“xxx家长您好,这是本学期的教育……”类似这样的内容也有可能是诈骗短信,所以不一定非得是 10086 或银行积分才是诈骗短信。比如这条短信,它给你安装短信拦截木马,导出你的通讯录,用名字构造短信进行批量诈骗,“剧本”就是这样。
伪基站:成本一万元
伪基站是神秘链条的基础,伪基站是由 SSRP 主板、功率放大器、机箱、控制设备组成。算上收费的专门发短信的软件,信使需要的设备成本大约一万元。
“伪基站”设备能够搜取以其为中心、一定半径范围内的手机卡信息,并任意冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。此类设备运行时,用户手机信号被强制连接到该设备上,无法连接到公用电信网络。
光有硬件还不行,还得有专门发短信的软件,一般售价 500 ~ 700 元不等。
洗钱师:可能被人撬后门
洗钱师就是最终把你银行卡等账户里面钱洗走的人,通常通过几个方面把你的钱转走。第一条路,进行最直接的银行转账、网购操作,配合钓鱼网站里的手机拦截木马;第二条路,利用第三方支付直接转账或购买商品;第三条路,在京东或各种点卡站购买游戏充值点卡卖给老板。
这个链条中有专门的售卖团队,一套程序价格是几百块左右。提供程序的技术团队会给洗钱师保证一系列的技术服务,包括VPS服务器设置,网站建设甚至简单的系统安全防护。
钓鱼站配套的“短信拦截木马”也是他们提供的,这东西对某个受害者进行全程短信监控记录,用这个来拦截并查看用户银行卡转账的短信验证码,所以你在被骗的时候一点感觉都没有!所以不要觉得你没中招,只是你不知道而已。
洗钱师利用技术人员给的说明文档部署、配置钓鱼网站和短信拦截木马。不过这些钓鱼网站程序几乎全部存在“后门”,也就是说第一波信使撒网钓的鱼,可以被其他人悄悄取走。用户一旦上钩受骗,那就真不知道被哪波人给钱“洗走”了。
黑吃黑:骗“骗子”的人
这种团队纯属坐收渔利,真正的零成本盈利,也是这个链条中最顶端最会玩也是最赚的一波人。他们无需购买设备、无需雇佣信使、无需购买服务器和代码,只需通过后门提取真正骗子获取的数据尽快完成洗钱或数据二次销售即可。
他们也会通过技术手段获取钓鱼网站的源代码,进行二次修改,加入自己的后门再次放入市场流通,滚雪球一样二次践踏这个利益链。其中也发现了多起“骗子”被“骗”的事件,令人哭笑不得。
乌云君从调查过程中的情况分析,因公安等部门的联合严打,这个产业链确实在慢慢缩水,对于用户来说这是个好消息。
但不管怎样,用户就是这些人眼中的肉,也许哪一天伪基站真的会退出时代,但这些人仍然会用更先进的技术,更娴熟的诈骗手段来牟利。作为连“第一关”都没过的用户,怎么经受接下来的挑战?怎么保护自己和家人的信息与财产安全?