剖析泄露你銀行卡密碼的釣魚網站：真假「10086」 傻傻分不清楚

前言

　 "網路釣魚"是指不法分子將網站偽裝成真實的銀行或電子商務網站來竊取用戶銀行賬號、密碼等私密信息的欺詐行為。由於網路釣魚可竊取個人用戶儲蓄卡或信用卡賬號、密碼等信息，導致受害用戶蒙受嚴重的經濟損失，該問題一直以來受到廣泛的關注。近日小編的一個朋友也遇到假冒10086釣魚網站，幸好小編朋友的安全意識較高沒有上當，小編知道後也去對該假冒10086的釣魚網站進行分析破解，看看你的個人信息是如何被泄露的。

技術分析

一、網站釣魚過程

1.0、假冒10086的釣魚網站

表面上看來跟真實的10086網站並沒有很大的差別，這時候小編去點擊「現在就去兌換」按鈕時，網頁會跳轉到另一個頁面，這個頁面會讓你輸入儲蓄卡或者信用卡的銀行卡信息。

1.1、提示你選擇收款銀行卡種類頁面

用戶選擇了收款銀行卡種類後，網頁就會跳出窗口提示你「恭喜您已成功兌換人民幣￥288.00元，請您填寫接收款項的收款信息並點擊(激活)安裝移動客戶端打開激活才能領取成功！」然後會跳轉到一個填寫你的信息的頁面。

1.2、填寫你的銀行卡信息的頁面

這個時候你如果輸入了你的個人信息，很不幸你的個人信息已經被不法分子獲取了，趕緊去修改銀行卡密碼，或者先凍結你的銀行卡。

二、網站滲透測試

2.1、XSS跨站腳本攻擊

科普：XSS是一種經常出現在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由於被黑客用來編寫危害性更大的網路釣魚(Phishing)攻擊而變得廣為人知。對於跨站腳本攻擊，黑客界共識是：跨站腳本攻擊是新型的「緩衝區溢出攻擊「，而JavaScript是新型的「ShellCode」。

2.2、利用XSS對釣魚網站進行攻擊

2.2.1、來到剛剛的「填寫銀行卡信息的頁面」

2.2.2、這裡要用到XSS平台，我們可以自己搭建一個XSS平台但比較繁瑣，直接在網上找一個免費的來使用。

2.2.3、在開戶銀行這裡審查元素插入XSS代碼（獲取COOKIE）

2.2.4、然後下一步，這個時候我們可以看到已經提交了，過一會就可以在XSS平台收到COOKIE了，可以看到網站提示「請點擊"激活提款"下載安裝並激活移動掌上營業廳客戶端完成領取！完成領取後￥288.00元將在24小時內到達您的賬戶,務必要激活,否則資金將無法到達！」

2.2.5、我們修改COOKIE登錄網站後台

（因隱私問題已經對敏感信息打馬賽克）我們在該釣魚網站的後台可以看到大量用戶在國內各大銀行的網銀信息遭到了竊取。由於此次事件涉及眾多銀行開戶用戶信息的泄露，小編已於第一時間將此事上報有關部門。

2.2.6、因為現在很多人都使用了手機轉賬，並綁定了銀行賬戶，這個網站目的就是盜取用戶的賬戶和密碼，不過使用過網上銀行的小夥伴們都知道，在網上銀行轉賬都是要你自己手機的簡訊驗證碼的，犯罪分子是如何把你的錢轉走呢？我們進行分析。

三、APP分析

3.1、對假冒移動掌上營業廳客戶端的分析

科普：APP應用程序(外語縮寫:App;外語全稱:Application) 。APP指的是智能手機的第三方應用程序。比較著名的應用商店有蘋果的App Store，谷歌的Google Play Store，安智市場，還有黑莓用戶的BlackBerry App World，微軟的Marketplace等。

3.2、剛剛我們輸入個人信息提交後，網站跳到了另一個頁面提示「請點擊"激活提款"下載安裝並激活移動掌上營業廳客戶端完成領取！完成領取後￥288.00元將在24小時內到達您的賬戶,務必要激活,否則資金將無法到達！」

到底犯罪分子是如何把你的錢轉走的，小編下載了這個APP進行分析。

3.3、下載移動掌上營業廳客戶端

小編下載了這個客戶端後發現這個一個APK（APK是AndroidPackage的縮寫，即Android安裝包）這個APK的名字是l0086，如果大家這裡看清楚一點可以發現這個名字第一個不是數字10086，而是英文字母L的小寫l。

3.5、Apk反編譯得到Java源代碼

這裡利用到工具Dex2jar和jd-gui,將要反編譯的APK後綴名改為.rar或則 .zip，並解壓，得到其中的額classes.dex文件。

3.5.1、將獲取到的classes.dex放到之前解壓出來的工具dex2jar文件夾內。

在命令行下定位到dex2jar.bat所在目錄

3.5.2、輸入d2j-dex2jar.bat classes.dex，效果如下：

這個時候在該目錄下會生成一個classes_dex2jar.jar的文件，然後打開工具jd-gui文件夾里的jd-gui.exe來查看改客戶端的源碼。

3.6、通過反編譯分析該軟體

3.6.1、監聽用戶收到的簡訊

小編從下載的客戶端分析其中一段代碼，該服務主要是類smSserver 是在主頁面中的oncreate創建的該類主要讓服務總在前台運行，使之不被系統回收，之後動態註冊各自監聽器，以達到監聽用戶收到的簡訊。

3.6.2、對手機各功能的的危險操作

通過對客戶端的配置文件分析可以知道該軟體對手機各種功能的監控，等危險操作。

3.6.3、找到犯罪分子聯繫方式

小編在其中的一段代碼中發現了犯罪分子的聯繫方式。可看到該郵箱賬號是屬於阿里雲郵箱。從另一段代碼可以看到犯罪分子的手機號碼132XXXX，屬於南京的手機號

3.7、獲取犯罪分子犯罪證據

3.7.1、登錄犯罪分子郵箱

小編利用剛剛的郵箱賬號密碼登錄了犯罪分子的郵箱，在這裡可以看到你對軟體的激活，卸載都會通過郵件方式發送到這個郵箱裡面。犯罪分子就是在用這個郵箱接收「受害人的簡訊驗證碼」 也可以從上面對客戶端的分析發現這個軟體的功能不止是攔截簡訊，還可以獲取你的通訊錄從而達到很多的目的，比如用你的手機再給這些聯繫人發送一條詐騙簡訊等等。

寫在最後

我們梳理下次釣魚程序的流程：

1.犯罪分子通過偽基站即假冒的基站偽裝成運營商的基站冒用各種號碼強行向用戶手機發送詐騙、廣告等簡訊。

2.發送簡訊的內容一般為「尊敬的用戶，因您的話費積分沒有兌換即將清零，請登錄xx網站，下載客戶端兌換287.80元現金禮包」。從而騙取用戶登錄網站，並輸入相關銀行卡等敏感信息。

3.釣魚網站還會欺騙用戶下載安裝一個「手機營業廳」軟體，這其實是個手機木馬。這種木馬會攔截銀行發給你手機的網銀轉賬驗證碼等信息，將其發給遠程的騙子，導致資金流失。

4.你該手機病毒下載安裝之後，會提示用戶在手機上激活設備管理器，實現自我保護目的，並監聽攔截用戶簡訊箱內指定號碼發送過來的簡訊，進一步把監聽到的簡訊內容，轉發到嫌疑人指定的手機號碼，並在後台偷偷刪除指定簡訊內容，讓人難以察覺。詐騙分子掌握了用戶的銀行賬號密碼等個人信息之後，可利用安裝在用戶手機上的病毒攔截用戶簡訊驗證碼，並通過第三方支付平台等成功實現用戶資金盜付。

提醒

1.當用戶發現手機在無信號的情況下仍然會收到推廣、中獎、銀行等相關簡訊，很可能用戶所在區域被「偽基站」覆蓋，請認真仔細甄別簡訊內容的真實性。

2.不要輕信任何號碼發來涉及銀行賬號和轉賬的簡訊，更不可向任何陌生賬號轉賬。如確有轉賬需求，又正好收到轉賬簡訊涉及銀行賬號的，請再次核實賬號相關情況。

3.注意識別網站的官方網址，不要輕易點擊簡訊息中收到的網址鏈接，以免手機中木馬病毒，造成手機中資料信息被盜。

4.市民使用手機時，應盡量安裝具有殺毒功能和攔截垃圾簡訊功能的手機安全軟體，這類軟體可識別鏈接網站是否帶有病毒，並提出不要鏈接的警示，可大大減少被騙的機會。

本文原創作者：中國Cold，轉載須註明來自i春秋社區（http://BBS.ichunqiu.com）

推薦閱讀：