一個鏈接就可以盜刷銀行卡，到底是什麼黑科技?

01-26

最近很多媒體報道了用戶銀行卡被盜刷，通過發送連接的方式給用戶，用戶點擊後沒有安裝任何東西，銀行卡就被盜刷（安裝、下載某個插件我知道是木馬），那麼這個是怎麼做到的？本著對科學的探尋，我們只討論原理。

我很想逮到一個這個鏈接，下載下來分析看看，可惜上回鏈接轉到我這的時候已經失效。我分析了一點線索供大家參考。

點擊這個鏈接，它其實是一個安卓應用程序的下載鏈接，很多手機會默認使用系統瀏覽器打開該鏈接，判斷是個應用程序就自動下載安裝。這裡注意，系統預裝的瀏覽器具有較高的許可權，可以靜默安裝軟體。（現在很多國產主流手機注意到了這個風險，下載或安裝時會有個確認提示。）

然後應用就裝好了，正常沒有Root的手機，它可以有讀寫聯繫人，讀取簡訊，發送簡訊，連接網路的許可權。通過這些許可權，可以得知你的手機號碼，已經監聽你的所有簡訊，並且回傳給不法分子。通過你的手機號碼，到支付平台或網銀上去嘗試登陸你的賬號，點擊「忘記密碼」功能企圖重置你的密碼，而重置很可能有一個簡訊驗證過程，這時候你的簡訊驗證碼自然可以被這個APP獲取到。這個木馬應用還可以通過刪除簡訊，控制手機靜音等方式使你渾然不知。

我並沒有很仔細去嘗試每一個支付平台的重置密碼流程，歡迎各位補充和指正。我相信大部分的支付平台會有更安全的機制，更複雜的流程防止這樣被重置密碼，但這應該是不法分子入侵用戶金融賬戶的一個重要手段。

這個木馬程序入侵手機的第一道門檻就是下載安裝，已經很多國產安卓手機會在下載的時候有一定的提示，安裝後也有安全中心之類的軟體會判斷應用是否具有一些高風險許可權。而沒有越獄的蘋果是無法通過鏈接安裝應用的。至於Root後的安卓手機則可能會使木馬應用得到更多的許可權。

另外，不知大家有沒有注意到，好多新聞報道的圖片里用的是三星手機。

防騙 | 卡在身上錢沒了！一圖起底盜刷銀行卡全流程及防範要領 http://mp.weixin.qq.com/s?__biz=MzA3NjcxMzk5MA==mid=2651473787idx=3sn=3331530cc72e4c2609bfdec6df38c3c3scene=3srcid=0417HoFEhDnynbNTJUxDsm6k#rd

卧槽！我7月份收到過相關簡訊！

當初沒出事

結果今天銀行卡被盜刷了！