「回復陌生簡訊『你是？』，銀行卡被盜刷十二次」是否能夠發生，此類病毒的原理是什麼

01-06

http://m.dahebao.cn/show.aspx?id=171929

終於考完試了有時間回答問題了……T_T

一、首先讓我用簡短的答案來回答這兩個問題。

1，只回復「你是」會中毒嗎？答：以目前的技術來看應該不會，這頂多讓騙子知道你的手機號。

2，事件發生的根本原因是什麼？答：各大移動支付公司過於相信你的手機。

二、原理

為啥說各大移動支付「過於相信」你的手機呢，你先看看這個。

亮點在第二條。只需通過簡訊驗證碼即可完成支付。嗯，是挺方便的，但是如果驗證碼讓壞人知道了呢？

如果你沒明白的話，請往下看。

三、錢是怎麼沒的？

首先，讓我們不考慮一切前提，以頭腦風暴的方式想一下這位先生的錢可以被多少種理論上可行的方式偷走。

（我這個非專業人士只想到了以下幾種可能性，歡迎補充）

1，複製sim卡

複製sim卡或許可以讓壞人知道你收到的簡訊校驗碼，但是，當他只知道你手機號碼的時候，咋複製你的sim卡呢？

答：「沒法複製。以目前的科技水平，只有拿到了你的sim卡才可以複製sim卡。第一條PASS。

感興趣的同志們可以看一下這個：用手機號就能複製SIM卡，竊聽通話？和這個接電話就讓你中招的手機病毒？

2，複製銀行卡

真要複製銀行卡的話其實那就用不著你的手機了，直接就把你的錢從ATM機里取出來了。不過，前提是壞人們知道了你的銀行卡密碼。

他們大致是這麼乾的：

①安裝設備。將紐扣大小的感應器用雙面膠粘在取款機的隱蔽處，將接收器置於包中。也可在取款機附近安裝一個可變焦攝像頭。

②等待「上套」。在離取款機300米左右的位置等待、觀察；通過遠程遙控將鏡頭對準密碼鍵盤。

③接收信息。如有人用銀行卡在取款機上交易，感應器會記錄信息並傳到接收器。

④解碼信息。將接收到的銀行卡信息通過特殊軟體解讀出來。

⑤複製新卡。將原銀行卡的信息通過銀行卡複製器寫入空白卡。

⑥提取現金。在儲戶再次使用銀行卡之前，使用複製卡在外地ATM機上提取現金。

第二條實際操作可行。不過如果是這樣的話，顯然和原新聞中描述的不一樣啊！

3，假冒網銀網站、假冒網銀手機客戶端、假冒淘寶支付寶等等

這種欺騙手段算是比較高明的了。假冒網站就是做成和官網界面一模一樣的網站，甚至域名都很相似。假冒手機客戶端就是銀行客戶端或其它客戶端程序進行反編譯，在其中加入惡意代碼後重新打包發布到一些審核不嚴格的第三方市場。然後不法分子們就靜靜地等待你輸入賬號和密碼，然後在夜深人靜的時候偷走你的錢。

4，手機病毒

手機病毒的種類比較多，其中比較常見的一種就是誘導用戶安裝（比如隱藏在遊戲里），一旦你安裝之後它就會嘗試獲取手機的最高許可權，一旦獲取了最高許可權，它就可以截獲你收到的簡訊，或者記錄你鍵盤上的內容，或者在你打開某正版客戶端的瞬間自動啟動彈出一個和原版應用一模一樣的登陸界面騙你輸入賬號和密碼。

那麼讓我們腦補一下事情發生的真實過程：一天，小明的爸爸收到了一條帶鏈接的簡訊，小明爸爸沒敢點這個鏈接，但是小明在玩爸爸的手機的時候不小心點了鏈接而且又安裝了；又或者，小明在某個管理混亂的電子市場下載了一個遊戲並且安裝運行了。然後，這個應用開始嘗試獲取手機的最高許可權，哦，它成功了，它開始靜默安裝木馬程序。然後攻擊者知道了主人的手機號碼，然後又通過某種方式了解到主人的銀行賬戶等其它必要信息。他用這些信息替主人開通了一項能利用手機校驗碼進行轉賬的某種業務……主人對此毫不知情，因為這個病毒攔截了帶有校驗碼的簡訊並將它直接發送到攻擊者那裡……而轉賬也僅僅需要輸入校驗碼……攻擊者進行了轉賬操作，並毫無難度地輸入了病毒發給他的校驗碼。然後小明爸爸的錢就沒了。

這裡只是用一種通俗易懂的說法講了一種可能的情況，對病毒可能偷錢的招數感興趣的同志可以看這條新聞：手機網銀APP不夠安全揭秘手機木馬偷錢七大招數

四、具體案例

下面是摘自某公司研究報告上的具體案例，希望能對大家有所幫助。（原文中公司名稱已被某公司代替）

典型盜號木馬舉例
（一）「支付鬼手」專偷用戶手機支付帳號密碼
該木馬偽裝成淘寶客戶端，將用戶輸入的淘寶賬號、密碼以及支付密碼通過簡訊暗中發送至黑客手機，同時誘導用戶安裝木馬子包，木馬子包會劫持用戶收到的包含驗證碼在內的所有簡訊，並聯網上傳或直接轉發至黑客手機。而黑客一旦收到這些信息，就會將用戶支付寶財產洗劫。「支付鬼手」是當時截獲的唯一一個具有完整盜竊支付賬號能力的手機木馬。
下圖為「支付鬼手」木馬誘導用戶安裝名為「賬戶安全服務」的惡意子包的手機截圖。

「支付鬼手」木馬主要是通過二維碼、論壇等渠道進行傳播。黑客會將木馬下載地址製作成二維碼圖片在網站及論壇傳播，誘騙用戶掃描下載，其安裝包顯示名稱為「旺信內測版」或「跳蚤街」等名稱。
（二）「隱身大盜」攔截用戶手機驗證簡訊
很多網上支付工具都會與手機綁定，用於發送驗證碼和交易信息通知。進入2013年以來，以攔截和竊取交易簡訊為目標的手機木馬迅速泛濫，最典型的是名為「隱身大盜」的安卓木馬家族。此類木馬運行後會監視受害者簡訊，將銀行、支付平台等發來的簡訊攔截掉，然後將這些簡訊聯網上傳或轉發到黑客手機中。黑客利用此木馬配合受害者身份信息，可重置受害者支付賬戶。國內已出現多起「隱身大盜」侵害案例，有受害者損失高達十餘萬元。
目前有網站以1000元的價格公開售賣簡訊攔截類木馬。下圖是一個名為「咖啡科技」的不法公司賣出手機木馬後，使用該木馬的黑客的手機簡訊截屏。從圖中可以看出，一條支付寶發給用戶的「找回密碼」簡訊被劫持到了黑客的手機上。這名黑客實際上正在嘗試登錄並修改某用戶的支付寶賬戶。由於木馬劫持了支付寶發給用戶的簡訊，因此，黑客就可以通過「找回密碼」這種方法修改用戶的賬戶密碼。
典型吸費木馬舉例
如前所述，吸費木馬雖然不是典型的針對網上支付或網上購物的木馬類型。但由於手機話費已經可以用來進行多種支付，因此，從某種角度上來說，吸費木馬也是對移動支付的一種威脅。

（一）具有三層防查殺能力的Android木馬
某安全公司截獲了一款「Backdoor.AndroidOS.Obad.a」的惡意程序。該木馬的主要行為是偷偷發送簡訊為手機定製扣費業務，並下載更多的惡意程序。此外，為了在短時間內感染更多設備，已被感染的手機還會被控制自動搜索其他藍牙設備，發送惡意程序並遠程執行木馬命令進行安裝。
而特別值得注意的是，該木馬具備「反查殺，難解析，難卸載」等特性，是迄今為止發現的結構最複雜的Android木馬之一。其獨特之處在於該木馬具備三層防查殺特性，使該木馬不僅很難被發現，而且極難被卸載。此外，該木馬還利用Android系統自身漏洞，將其註冊為設備管理器且在列表中不顯示，最終使木馬程序無法關閉和卸載，使被感染的手機始終處於安全風險之中。
下圖為該木馬在手機上的信息截圖。可以看出，該木馬既無法被強行停止，也無法被直接卸載。
不僅如此，該木馬還利用了Android系統存在的另一種缺陷。使得該木馬即便以一種錯誤的方式註冊進設備管理器，Android系統也能讓其註冊成功，而用戶卻無法找到取消該木馬管理許可權的入口，此時木馬便可隨意在被感染手機中作惡。
（二）「扣費黑幫」系列木馬

這類木馬可使黑客遠程操控中毒手機所發送的簡訊內容，讓中毒手機不僅發送扣費簡訊，而且還會向親友群發詐騙簡訊、廣告信息等，使手機成為龐大的詐騙簡訊「肉雞」手機群。
「扣費黑幫」系列木馬還具備少見的「反偵查」機制：該木馬入侵手機後會首先檢測手機中是否安裝了安全軟體，如果這些安全軟體處於運行狀態，則「扣費黑幫」不會觸發惡意行為，隱蔽性和自我保護能力極強。
（三）「不死木馬」，最難清除的手機木馬
據用戶描述，他剛購買的手機經常莫名其妙地出現大量自己沒有安裝過的軟體，消耗了大量流量，造成資費損失。該用戶使用殺毒軟體進行殺毒，發現手機中有三個預裝的木馬。但問題是，在清除這些木馬之後，每次重新啟動手機之後，又會出現同樣的現象，並再次檢測出存在木馬。
隨後，某安全公司對該用戶的手機內進行了檢測，在該用戶手機內捕獲到全球首個被寫入Boot分區的手機木馬，並將其命名為「不死木馬」（英文命名為Oldboot）。這是目前已知的最難清除的手機木馬。

該木馬的主要行為是頻繁聯網，下載大量推廣軟體，造成流量資費損失並將手機電量迅速耗盡。此外，通過對該木馬的代碼分析還發現，該木馬還擁有卸載其他軟體和劫持簡訊發送給任意手機號的功能。
由於該木馬被寫入了手機磁碟引導區，因此，清除木馬之後，只要重新啟動手機，該木馬又會被重新載入。木馬病毒感染磁碟引導區的攻擊方法在個人電腦領域並不罕見，但在智能手機領域尚屬首次被發現。檢測顯示，目前世面上的絕大多數手機安全軟體都無法徹底清除該木馬。用戶一旦發現手機感染了該木馬，需要使用專殺工具才能將其徹底清除。綜合木馬特徵和用戶反饋的情況來看，「不死木馬」目前的主要傳播方式應該是在手機流通銷售的某個環節被人工手動刷入的。

移動支付時代為啥網銀丟的不明不白

元旦期間，多個媒體瘋傳《回復陌生簡訊「你是？」銀行卡被盜刷12次》這條驚悚的新聞，安全專家一致認為這是條假新聞：「僅回復簡訊絕不會出現這種結果」。受害者的錢是怎樣丟的呢？關注網銀被盜的細節，可以幫助網民做好防範。

許多網銀被盜的人都很迷惑，銀行卡在我手上，U盾在家裡放著，錢怎麼說沒就沒了。在大家使用手機支付越來越頻繁的今天，網銀被盜的風險確實比以往嚴重許多。

U盾，就象馬其諾防線一樣被繞過

以往，大家熟悉的支付方式包括銀行卡刷卡消費、ATM機存取款和電腦網銀專業版支付。這三種支付方式，銀行卡資金被盜的概率相當低。刷卡消費，只需要看清單據再簽字；防止ATM機被小偷做手腳安裝攝像頭偷窺密碼再克隆銀行卡；通過U盾確認身份，可有效防止盜號木馬和遠程控制木馬盜竊網銀。只有具備很高技術含量的網購木馬可以通過劫持交易，盜竊網銀資金。

但是，人們發現時代變的太快了：移動支付時代已經到來。人們使用手機、Pad的時間越來越多，使用電腦的時間越來越少。商家、銀行、支付公司都在推動支付工具變革。快捷支付、指紋支付、NFC支付，讓人眼花繚亂。手機，成支付最核心的環節。銀行為安全設計的U盾，就象馬其諾防線一樣被完全繞過。

錢到底是怎麼丟的，一定不是因為僅回復簡訊

再回到文章開頭提到的網銀被盜刷的案子，錢是怎麼丟的呢？可以肯定，一定不是因為受害者回復了「你是？」——受害者可能隱藏了更多細節，比如可能點擊陌生簡訊中的網址鏈接，可能點擊這個網址，訪問到釣魚欺詐網站，在上面提交了自己的身份信息和銀行卡信息，然後下載了一個安卓程序，再一步步把這個安卓程序安裝在自己手機上。

當你的銀行卡號、密碼、身份證信息交給小偷，手機又中毒的情況下。小偷就可以嘗試登錄手機銀行，銀行用於確認身份的簡訊被病毒轉發到小偷手裡。於是，銀行卡里的錢就這樣被盜了。

不僅如此，中國有大大小小上千家除銀行之外的支付公司提供快捷支付服務：當你的身份證信息、銀行卡信息被盜，小偷就可以用你的身份去任意一家支付公司註冊帳號，綁定你的手機或乾脆用小偷自己的手機號來綁定。用於身份驗證的簡訊，又一次被手機病毒轉發給小偷。在創建快捷支付之後，你銀行卡里的錢就會源源不斷流入小偷帳戶，或者幫小偷買單：比如支付水電煤氣費、充值電話費、充值遊戲幣之類。

注意，上千家第三方支付公司只有支付寶、微信提供有限盜刷賠償保障，其他被盜刷均責任自負。

今天該怎樣防範網銀被盜？

安全專家的建議是，保障兩個關鍵環節安全：

第一、勿輕易填表提交關鍵個人信息，包括身份信息和銀行卡信息

通常，普通網民在手機上極難肉眼區分正常網站和釣魚欺詐網站，可以使用手機安全軟體幫助識別。

第二、謹慎安裝手機軟體

手機安裝任何軟體都得從可靠的應用分發平台下載，而不是通過點擊簡訊中的網址下載。不差錢的網友可選擇蘋果手機或iPad，封閉的iOS設備比開放的安卓系統安全百倍：不越獄的手機中毒概率低到可以忽略不計。使用安卓手機的網民需要特別注意，安裝手機殺毒軟體可以降低風險。但有一點需要知道：用於黑色產業的手機病毒更新很快，有專業團隊專業對付殺毒軟體的查殺。

如果發現手機異常，網銀有被盜跡象，怎麼應急？

第一步：立刻關機，取出手機SIM卡。

因為大額支付多會依賴手機簡訊驗證身份，取出中毒手機SIM卡，裝在正常手機上，你就可以看到簡訊。而中毒手機上的木馬也沒了用武之地。

或者，可以啟動飛行模式，總之，先讓這個SIM卡停止工作。

第二步：立刻電話聯繫銀行凍結帳戶

注意，此時應該拿出你的銀行卡，撥打銀行卡上印刷的銀行電話，而不是網上搜索。小心一不留神，又撥打了另一個騙子的電話。

第三步：去當地公安局報警

注意保存犯罪證據：將簡訊截圖、網頁截圖，病毒文件存檔。別輕易將中毒手機格式化或重置系統，因為這樣做，你實際在幫網路小偷銷毀犯罪證據。

以上幾步做完，你的損失已控制到最小，再去找銀行修改密碼，取消銀行卡上關聯的不靠譜業務，也可以要求註銷舊卡辦理新卡。

我遇到過幾個案例，證據都被不負責任的手機維修商給毀了。

最後，如果你想繼續用那部手機，使用前，使用殺毒軟體或者手動卸載那個已安裝的手機病毒。

個人感覺只是回復簡訊的話不大可能中毒，譬如我手機根本沒開網路，病毒apk從哪裡來？

原理應該是截獲並轉發認證簡訊吧？

看他們回復那麼多，我認為這是不可能的。剛看到報道原話說，回復後，病毒軟體會安裝到手機上。這裡我認為是有漏洞的，下載軟體怎麼可能會安裝，不點安裝是不會有這個軟體的。

http://www.zhihu.com/question/24715176