网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


我敢付你真敢赔?微信红包存钓鱼盗号之危

2014-02-21 14:13 推荐: 浏览: 165 views 字号:

摘要: 2月18日消息,目前微信已经成为目前国人最常用的即时通讯App,没有之一。就在微信红包正值火热之际,黑产的同学们又把目光锁定到了微信上,小编就把自己的亲身经历跟各位讲一下。 正值2.14情人节,同学在微信群里发了一个情人节的微信红包,以为土豪同学又大发善心救济...

2月18日消息,目前微信已经成为目前国人最常用的即时通讯App,没有之一。就在微信红包正值火热之际,黑产的同学们又把目光锁定到了微信上,小编就把自己的亲身经历跟各位讲一下。

正值2.14情人节,同学在微信群里发了一个情人节的微信红包,以为土豪同学又大发善心救济我等P民,随即一步步往下点,直到看到“你被骗了”的页面,才发现自己上当了,最后的页面还留有“欢迎关注xxxx微信公共账号”的标识。顿时笔者感觉被五雷轰顶了一样,后背一阵泛凉。

下面几个图就是真假红包的对比:

微信红包 微信红包
假红包 真红包

微信红包 微信红包
假红包 真红包

微信用户量之巨大,与人关系之紧密,毫无疑问已经成为黑产攻击的下一片高地。今天这个可能是恶作剧,明天就可能变成真的钓鱼。端午红包,清明红包,中秋红包等等都可能是微信红包钓鱼的好机会。通过紧密的微信群进行传播,不为所知的人为了恶作剧传播给另一个群,成就病毒式的几何级高速传播模式。而且让用户点击次数越多(伪装的越真),实现攻击的次数就可以越多。

再回来说一下微信盗号,目前见到的微信盗号案例还都是老套路,也就是跟QQ盗号手法差不多。盗号之后,给通讯录中的好友群发伪造的QQ空间链接。然后诱骗好友点击,点击之后就是一个仿冒的QQ空间的页面,要求用户输入QQ号和密码。手段很传统,所以除了大规模撒网以外,很难提高成功率。

首先,微信消息交互都是以xml形式通过http协议来传递,消息支持链接,图片,文本等形式。为了支持这些形式的消息,微信把某些代码放到白名单里,但没有对外公布,骗子测试出了这个名单里的代码并加以利用,可以伪造一个看上去是正常,实际链接到骗子网站的链接,于是有了上述的结果。

在文章撰写的过程中,小编又收到了不同人在群中发的另外两个情人节版微信红包。在顶层图层下面的文字中显示了不同的出品网址,而这些网址并无规律,而且排版也“跑偏了”,制作很粗糙。底层图片是使用的微信红包,文字是通过css后排上去的,应该是由于手机平台和屏幕的问题,导致了金额的数字覆盖了图片上的部分文字。与笔者收到的那份仿真度超高的微信红包还是不具有可比性。

微信红包 微信红包
假红包 真红包

赘言了这么多,重点来了。前面说过了微信红包钓鱼是“通过紧密的微信群进行传播,不为所知的人为了恶作剧传播给另一个群,成就病毒式的几何级高速传播模式“,这是从传播方式上分析的。从用户方面,并不知道腾讯会不会由于”新年红包“的火热而推出情人节红包,端午节粽子包,中秋节月饼包之类的内容来继续吸引用户使用微信支付,因此大家抱着围观和好奇的心态都会点击,如果钓鱼红包做的很精致,那么就会骗取用户深入点击,随着点击的深入,用户对于这件事的信任度也会有一定上升。因此成功率也会更高。既然微信客户端远程交互都是通过xml来实现的,那么漏洞自然不少,只是需要测试白名单的内容。 之前也曾传言在微信文本框中可以输入SQL注入脚本,并且成功查看到信息。小编对这个传言虽然抱有很大的怀疑态度。但是对于钓鱼,点击链接被中木马攻击的可能是百分百相信的。尤其是对于Android平台,碎片化严重导致安全保障不统一,已经成为了众多移动恶意软件的温床。

现在,将盗号这一攻击手法与红包钓鱼结合起来。如果说之前的微信盗号之后可能是发送一些伪造的QQ空间,然后问你是不是认识空间中的人这一手法已经过时,那么什么都不说,直接向所有联系人广播出钓鱼红包,想必会点击的人应该比点击钓鱼链接的人多的多吧。

被钓鱼之后,用户可能被引到外部网站,可能被中木马。木马可能盗取手机资料,可能偷跑流量吸费,可能目标就是微信支付中的银行卡。

此前Freebuf测试了微信支付的安全性, 我在这里直接引用下:

”这个潜在风险在于,理论上我拿到你的手机,知道你的银行卡号(前提是办理该张银行所预留的手机号就是当前所使用的),就可以完全使用任意微信账号(未开通过微信支付的微信账号)绑定你的银行卡从而进行消费。

腾讯现在的做法是默认微信账号与第一次开通微信支付时绑定的银行卡用户名进行关联绑定。简单点的说就是,假设我现在开通微信支付,但却绑定另一个人的银行卡,那么此后我就只能绑定与这个人相关的银行卡,不能绑定其他人的银行卡。之后我们通过和腾讯微信的人工客服沟通,了解到暂时不支持解绑定操作。“

对于微信客户端是否在本地明文存储银行卡号,只是显示时打了掩码这件事笔者尚未进行深入研究。如果是明文,那么木马必然可以直接窃取。如果是密文存储,那么在传输过程中是明文还是密文,密文采用的加密机制是什么,是否健壮,都是微信支付的潜在安全风险。

面对盗号与钓鱼的二重奏,微信还安全吗?

原文:http://mobile.pconline.com.cn/430/4301116.html

联系站长租广告位!

中国首席信息安全官