正文
现在大部分消费金融平台的账号,都会设置“支付密码”,和登录密码不同,因此,第一步,就是突破支付密码。
VV的攻破方式,是通过社工库,寻找这个账户曾经用过的其他密码。
所谓社工库,就是黑产的地下数据库,其广博的深度,恐怕不比任何“大数据公司”差。黑客们盗取的数据,都留存在社工库中,供黑客们查询。
“社工库的数据,可查询到身份证号、银行卡号、常用密码、家庭住址,甚至开房记录等众多维度数据”,VV通过社工库和他的黑市数据搜索,就找到了每个账号之下,可能使用的其他密码。
“人类设计密码是有缺陷的,大部分人最多只有4个常用密码,一旦超过4个,就经常记混”,VV称,正因为如此,一家账号泄露,就会殃及池鱼。
有了双密之后,几乎锁定可入侵目标,剩下的操作手段,更是花招百出。
但万变不离其宗的一条定理是:短信正在成为最关键的“Key”,成为核心的安全阀门。
这是因为,大部分平台都会通过发送短信验证码的方式,来验证是否为用户本人的操作。
一般掌控这个“安全阀门”,只要有两个手段,一个是修改“绑定的手机号”,一个就是“劫持短信”。
修改绑定手机号,就是钻营各大平台的风控漏洞,VV将其为“老鼠洞式”的入侵。
VV回忆称:“一年前,很多金融平台修改绑定手机规则比较简单,只需要支付密码就能修改,到后来,又需要提供银行卡和支付密码修改,可这些信息,黑客几乎都能通过社工库获得,成了盗刷黑产的盛宴。”
在这场攻防大战中,双方在过招中相互制衡成长——风控规则不停地变,黑客就见招拆招。
“我听说曾经一帮盗刷者,会用一个新号码给客服打电话,说自己原来的手机丢失,只要提供身份证、银行卡、最近收货地址、购买物品等信息后,也能修改手机号”,VV称,盗刷者会花样触底,来测试风控的底线。
有些盗刷者,甚至手机号都不改。
他们在发货后,直接给后台店铺留言,要求修改送货地址。
而一些云端漏洞,也开始被频繁利用。
日前,有媒体报道称,何先生遭遇手机锁死、频繁关机后被盗刷,损失5.3万元。
结果发现,黑客破解他的360智能手机云服务平台,其中有一个“回复短信”的接口,可以从云端回复短信。
黑客利用回复功能,让何先生的手机卡,绑定了一张“副卡”,可以同步接受到他的验证码,因此完成盗刷。
作为最后安全阀门的短信,真的还安全吗?
针对无孔不入的黑产,很多平台不得不制定更为严苛的风控规则,封堵漏洞。
“但控制一个人手机的方式很多,漏洞也很多,修补上一个,我们再换另一个”,VV称,给用户的手机种上木马,依然是成本最低的方式。
此时,传说中的第二种方式开始浮出水面——“短信拦截马”。
黑产链条,就像一部无人值守,却能自行运作的机器。
有意思的是,似乎没有哪个产业链,在毫无组织、全部匿名的情况下,能如此有条不紊的进行,配合得严丝合缝。
唯一的动力源,就是暴利。
“马子包月500元”,黑客小N是一个圈内知名的马子供应商。
因为他技术不错,编写的马子(行话,就是病毒和木马)出战,无往不利,因此名望很高。
马子包月的意思是,只能在一个月内“免杀”(不被杀毒软件绞杀),如果还需要继续使用,就需要“续费”。
而“短信拦截马”,就是小N开发的核心产品。
不要小看这个木马,一旦安装成功,就可以拦截用户短信。
VV会将这个木马通过短信、社交软件发送到用户手机上,形式可以是网址,也可能是一张美女图片或视频,甚至是一句诱人的话。
“有时候我们会通过手机号,找到用户的社交软件,加上好友,再发送病毒”,VV称。
用户一旦激活木马,就会要求下载一个插件。
