提供了编程的基础技术教程

zl程序教程

您现在的位置是:首页 >  其它

当前栏目

打劫也得讲艺术,如何通过登录社交账号榨干你的钱包?

如何 通过 登录 账号 艺术 社交 钱包
2023-09-27 14:26:07 时间
本文讲的是打劫也得讲艺术,如何通过登录社交账号榨干你的钱包?,今天我们想告诉你波兰银行的攻击者在实施攻击时到底有多么有创意?
本文讲的是打劫也得讲艺术,如何通过登录社交账号榨干你的钱包?,

打劫也得讲艺术,如何通过登录社交账号榨干你的钱包?

今天我们想告诉你波兰银行的攻击者在实施攻击时到底有多么有创意?

本文我们就来介绍完整的攻击过程,首先从简单的Facebook帐户入侵开始,到盗取受害者的银行帐户余额,到最后将其转入攻击者自己的比特币BTC钱包。

攻击过程还原

这一切都是从Facebook帐户的入侵开始,攻击者可能是通过恶意软件或网络钓鱼而截获的帐户凭据,目前大多数用户仍然不会使用双因素验证,攻击者一旦登录受害者的帐户,就开始通过聊天记录,选择与该帐户所有者保持良好关系的好友,比如该受害者是孙子,而常聊天的是其祖母,攻击者就调出他们之间的特定对话进行分析,然后开始一种相同风格和语调,欺骗他的祖母:

“奶奶,我的话费不够了,你可以帮我充5欧元话费吗?”

如果奶奶同意支付5欧元话费,她将收到一个“付款链接”。

https://dotpay.pl.platnosc.link/

DotPay是波兰一家在线支付提供商,“platnosc”是波兰语的“付款”的意思。付款中介在波兰市场非常受欢迎,他们与所有主要银行签订合同,这样互联网购物就无需信用卡。在结帐期间,用户只需点击付款提供商给予的链接,登录到其银行帐户的网站即可,而且该账户已经将所需的信息都提前设置好了。银行只提供通过短信发送的一次性代码,以确定交易的发生。

于是攻击者就决定模仿其中一个支付中介商的网站:

打劫也得讲艺术,如何通过登录社交账号榨干你的钱包?

一旦奶奶决定帮助她的孙子,并在假付款提供商网站上选择她的银行,她就将被重定向到假银行登录页面。波兰一些最受欢迎的银行的例子如下:

打劫也得讲艺术,如何通过登录社交账号榨干你的钱包?

如果她输入了银行的登录名和密码,她将获得一个SMS代码,以确认发生5欧元的交易。虽然她只允许了一个5欧元的转账交易,但攻击者是如何盗取她的整个账户?

攻击者发现了一个简单而又聪明的技巧,以确保收到的短信内容为“您已进行了5欧元的转账”,而现实中该代码也将批准创建一个所谓的“信任转移”,这将使攻击者能够进一步转移从相同的帐号中进行资金转移,而无需通过短信代码的额外授权。几个月前我们在波兰观察到这个方案的一些改进版本。

为了方便网络银行的操作简单,大多数银行都允许客户将指定账户添加到“受信任”账户中,以方便银行转账,转账时用户只需要在要转移的账号前打个勾即可。不幸的是,批准一次转帐也可能意味着所有进一步的资金转移都指向同一帐户。

打劫也得讲艺术,如何通过登录社交账号榨干你的钱包?

红色框中的文本表示“添加到收件人列表”,这意味着“不会要求短信代码以便将来转移到此帐号”。

攻击者的最后一个障碍便是建立他们自己的银行帐号,并将其设置为可信赖的账号,它们通常是为欺诈准备的钱骡子银行帐户。攻击者又将同一骡子帐户在波兰比特币交易所开了一个BTC钱包账户,并在那里预存了一些资金,以建立一个定期的转账模式,这样做是为了避免银行打电话询问“你确定今天要用加密的货币来转之类的问题。 “转账”账户通常被选为与受害人(奶奶)账户相同的银行(用于方便快速转账),一旦这笔钱从奶奶账户中被盗,则攻击者不到15分钟,就会将其转换为比特币。而在另一个变体中,攻击者直接是从受害人的账户直接转到比特币交易所的账户。

总结

整个计划很难被银行发现和阻止,因为它主要发生在银行管理的权限之外。攻击者从Facebook开始,等到账户被攻破后,就进入到攻击者所设计的平台,而攻击者登录银行进行资金转移都属于手续正常的操作,唯一的破绽就是主要是在受害者设备上的Socks代理端口上,只有配备高级检测机制的网络安检机构才能检测并处理这些攻击。

原文发布时间为:2017年6月19日 本文作者:xiaohui  本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。 原文链接
首月获客40万、日活注册比56%,青团社发现支付宝小程序的代差秘密 首月获客 40 万、日活注册比 56%,次日留存率 65%,“青团社兼职”小程序通过充分利用支付宝信用能力、商业属性及运营能力,成为支付宝小程序上撮合型平台创业自运营创新的典范。
注册邮箱账号十大品牌分析 电子邮箱是指通过互联网作特点。现在电子邮箱已经渗透到了我们工作,生活的每一个角落,电子邮箱已经无所不在为渠道发送和接收邮件的工具,电子邮箱具有快速、环保、安全、便利、多媒体等多种。相对于个人用户来说,一般使用的是互联网公司免费提供的电子邮箱。
近期,支付宝小程序悄然开放花呗分期接口。 花呗分期是由蚂蚁微贷提供的一项先消费、后分期还款的商业服务。大多数支付宝用户应该对它都不陌生,当购买一部新的手机、新的空调或者是其他一些大件商品时,一次性付款往往感觉压力较大,花呗分期服务给用户多了一种选择。
阿里安全实验室发现“微信克隆漏洞”:可操控微信钱包窃取隐私信息,腾讯推文致谢 只需发一条消息就可以完整克隆受害者的微信账号,并实现微信钱包支付和窃取隐私信息的操控。近日,阿里安全猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的漏洞,并第一时间将漏洞信息上报给了国家相关部门和同步给了腾讯公司。

相关文章