• 本文作者: 漏洞应急响应中心
  • |
  • 2016年4月15日
  • |
  • APT攻防研究
  • |

关注利用伪基站+钓鱼网站获取受害者信息的攻击

0×0 什么是伪基站

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换xx现金,要求用户通过手机登陆某个网站、进行积分查询和兑换。最近在我们公司附近,就出现了多次利用伪基站发送钓鱼网址的情形,以下是昨天下午我们对该类一事件的跟踪和分析。

0×1 Fake(虚假的)建设银行短信和网站

这是在昨天下午15:32收到的虚假建行短信和登录的网站信息:

image002

                            (图一)

通过PC模拟手机客户端进入该钓鱼页面,可以发现页面完全是复制真实的建行手机网的内容,十分具有欺骗性。

image004

                                (图二)

image006

                                    (图三)

受害者一旦访问短信中的钓鱼网站链接,钓鱼网站便会被诱导输入个人姓名、身份证号码、手机号、银行卡卡号、银行卡密码等信息。

以下是天融信攻防实验室攻破其钓鱼网站后台看到的数据:

image008

                                                                             (图四)

不过这个钓鱼网站的寿命十分短暂,一旦出现就会像老鼠过街,人人喊打,17:20,该网站已经无法打开,说明有关域名管理机构已经采取了行动。

image010

                      (图五)

0×3 识别类似钓鱼网站的一种方法

可以发现,利用伪基站发送钓鱼网站给潜在受害者的威胁十分巨大,那么如何来识别这些钓鱼域名呢?

只要对这些域名进行 whois 查询,就可以判断这些域名是否真实。(其实这个域名wcp.cucsav.com本身就不太像建行的域名!),以下是它的whois解析结果:

image012

                                                                      (图六)

通过上面的whois信息发现这是一个才注册几天的个人的网址:域名cucsav.com,注册时间是2016年4月11日,所有人是zhang sheng nan。可以断定这个域名是一个虚假的钓鱼域名。

0×4 网络生存守则

当然技术手段绝不是万能的,有效防骗的方法还是以下的网络生存守则:

1) 不要相信有天上掉馅饼的好事,也不要轻易被恐吓。

2) 切忌冲动,没啥大不了的,过一会再说;

3) 不要轻信运营商、银行的积分兑换系列短信,如要打开短信中的网站请谨慎核实域名是否是官方网站;

4) 不随意在网站填写自己的银行卡账号、密码;如果一定要填写,必须再次确定域名是否是官方网站;

Written by 漏洞应急响应中心