警惕!被动短信验证,正被骗子利用

  • A+
所属分类:安全新闻

骗局

今天在1818黄金眼上看到一个电话骗走了5万块钱,随着安全教育的普及,骗子的手法也越来越高明,其中的过程引起了我的兴趣。

目前视频只有油管链接:

【1818黄金眼】筹来为儿子的手术费,一个电话被骗掉五万多


简单总结下骗子的手法:

  1. 通过信息泄露,获取受害人的网购订单详情

  2. 以商品质量问题要求退款为名,电话联系受害人,获取信任

  3. 发送二维码链接,要求受害人填写个人信息

  4. 随后要求受害人向中国农业银行短信发送一段字符

  5. 受害人银行存款被骗

其中的过程4让我产生了疑问,为什么向银行发送短信就可以让骗子取走受害者的银行存款。

类似的短信字符如下:

MBAPACTIVATE#Xa7DzA6/vbLYLux60bXmrZyr/9cgfEWTtsrjAnKwI/I=

字符的结构应该是MBAPACTIVATE加上一串token,而前面的英文解读出来应该是手机银行的激活功能。

通过谷歌图片搜索MBAPACTIVATE关键词,发现了更多类似的短信,点击发现每一张图片的背后都是一个类似被骗的新闻。


警惕!被动短信验证,正被骗子利用



相关新闻

老婆被骗3万4,求教大家怎么办?

好,我昨天接到一个电话,是说我快递未签收退款给我的,他就通过趣店的一个APP说退款给我

蒙城:轻信“淘宝退款”,20分钟被骗两万多!

客服”一句话,让台州一女子损失10万元_手机网易网


短信字符的作用

中国农业银行的掌上银行在更换手机号时,验证方式是用户向银行主动发送验证信息。一般情况下用户更换手机号,官方会发送一段数字验证码来确认用户的真实性,采用的是获取验证码的方式。

警惕!被动短信验证,正被骗子利用


中国农业银行采取的是用户主动发送验证信息,这也就解释了那串短信字符的含义。所以过程4可以视为骗子在修改受害者的掌上银行绑定的手机号,而受害者无意中完成了这个验证过程,最终导致了经济损失。

延伸思考

从上面的第二则类似新闻可以看到,中国农业银行使用此种验证方式从2017就有了,而在2019年后被骗子广泛用于电信诈骗上。

对于用户主动验证方式,我认为存在安全缺陷,因此我将用骗子相似的手法来修改别人的QQ密码。

实施过程

腾讯对于用户修改密码,官方只会发送一次验证码,对于没有接收到验证码就需要用户主动向腾讯发送验证短信。腾讯重置密码过程如下:


1.填写账号

2.身份验证,需要给出该账号的绑定手机号

3.手机号验证,主动发送或被动接收

4.短信验证成功,完成修改密码


看过本公众号的朋友,应该知道,之前分析过朋友QQ号被盗最终被诈骗的文章


《遇到一个骗子,发现一个骚思路》 


警惕!被动短信验证,正被骗子利用


实施难点有两个,已知受害人的QQ号,但无法得知该号的绑定手机号码,同时无法完成手机号验证。

QQ号获取手机号

获取手机号方法有很多,比较便捷的是使用社工库,对于长久使用的QQ号成功率很高。本次模拟的受害者的QQ号通过社工库成功查询到了手机号。

警惕!被动短信验证,正被骗子利用


这个过程如同骗子获取到泄露的网购订单。

手机号验证

要接收腾讯的验证码来完成手机号验证基本不可能,所以使用骗子相同的手法,让用户主动完成验证。

现在HTML5可以实现浏览器辅助发送短信,其中可以帮用户填写短信内容,收信人手机号,用户只要完成点击发送的操作。

就比如网易邮箱开通POP3/IMAP/SMTP服务采用的就是扫描二维码跳转发送短信手机页面,同时已经填写了收信人和内容。可以尝试一下二维码,这是网易的跳转链接。


警惕!被动短信验证,正被骗子利用


上述QQ密码重置代码如下:


<a href="sms:1069070069?body=CZ3384">send</a> // android<a href="sms:1069070069&body=CZ3384">send</a>  // ios


完整代码可以参考:h5发送短信以及判别用户浏览器版本


我们现在只要合理化发送短信的要求,获取受害者的信任,就可以实现手机号验证。

假设我已经添加受害人为QQ好友,将上述代码部署到公网,并将URL转化为一个二维码。为了合理化之后会弹出的发送短信的页面,我们可以和受害人讲这是一个中国移动(可以根据手机号选择对应的运营商)的话费赠送活动,会赠送5-100元不等的话费,只需要点击发送即可。很大概率受害人就掉入骗局了。

总结

其实,根据上面重置别人的QQ密码的方案,我是想说被动发送短信验证业务很容易被利用,因为人们普遍知道“问你要验证码的都是骗子”,所以骗子很难获取到受害人的验证码,从而无法实施诈骗。

但对于主动发送验证信息的,很多人缺少提防,容易被利用,从而造成损失。


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: