有了短信验证你的钱到底是怎么被强刷走的 警惕手机木马
作者：佚名
字体：[ ] 来源：黑客与极客 时间：06-13 16:38:56
本以为有了手机短信验证应该很安全了，没想到银行卡里的钱还是能被刷走，关键是一条短信都没收到。到底是怎么回事？原来是手机木马搞得鬼，很多奇怪的第三方软件作为木马拦截你的短信，发送到黑客的邮箱，然后转走你的钱不就是分分钟的事
本以为有了手机短信验证应该很安全了，没想到银行卡里的钱还是能被刷走，关键是一条短信都没收到。到底是怎么回事？原来是手机木马搞得鬼，很多奇怪的第三方软件作为木马拦截你的短信，发送到黑客的邮箱，然后转走你的钱不就是分分钟的事？各位不是大神的同志们，还是在安全的地方下载应用吧。还好我用的IOS，并且没有越狱。
今年端午节特意动用带薪年假，在家本着远离黑客，远离江湖，舒舒服服和家人享受几天假期，谁知却早已深陷江湖。
6月11日中午叔叔找上门，说自己的银行卡莫名被盗刷了8万1千元，钱被打到了平安付科技服务有限公司客户备付金，以及同样摘要为平安的广州银联网络支付有限公司客户备付金，如下图：
于是上网搜了一下平安付科技这家公司得到如下信息：
平安付科技本身是一个第三方的支付平台接口，钱转到平安付科技账上后可以用来投资、理财等，赶紧给平安付科技客服去了个电话，客服那边问了相关信息后却让等3天才能给结果，这服务态度~（此时叔叔已经在当地刑警队报案）。
我仔细推敲了这个事情，钱是被打到平安付的旺财上，对方需要绑定银行卡，需要用到的信息有：银行卡、身份账号、银行预留的手机号码、短信验证码。前面的信息都容易掌握（目前网络上有大量的泄露的银行卡号、身份证号、手机号等信息）况且叔叔每次和客户打款时也会把自己的银行卡号、身份证号发给对方，所以这些信息默认早就泄露了，这里的关键是如何得到的短信验证码，且通过图1可以看出，犯罪分子利用平安付转走了4比钱，且最后一笔1000元都没有放过，说明对方掌握了此张银行卡的余额信息。
到这里总结出了两点：对方掌握了1.手机号码实时短信验证码2.银行卡的余额信息。想到这里最先想到的是短信木马了。于是拿出他的手机，查看短信权限时赫然看到了短信权限处存在一个叫做&校讯通&的应用，安装日期正是6月10日。由于叔叔的孩子还在上中学所以经常会收到相关校讯通的短信，他10日当天正好收到了一条提示安装校讯通的短信，也没有多想就直接安装上了。
到这里事情的起因已经很接近了，很可能是这是一个木马程序窃取了他的短信内容，叔叔满脸质疑，丝毫不相信这样的事情也会发生他自己身上。
于是我继续访问这个ip地址,浏览器直接弹出提示下载校讯通.apk
拿到此APK后当立即开始分析（职业病又犯了，哎，我好好的端午节假期），这里发现这个版本的校讯通安卓木马程序已经进行了升级，与以往的此类程序多了很多新功能：增加了远程更改配置功能和呼叫转移功能，可以更改收信手机号码或发信帐号的密码，并能够呼叫转移联通和移动用户电话。
本次分析的样本特征值：
代码如下:&/p&
&p&&code&Type: X.509 Version: 3 Serial Number: 0x936eacbe07f201df Issuer: EMAILADDRESS=, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US Validity: from = Fri Feb 29 09:33:46 CST 2008 to = Tue Jul 17 09:33:46 CST 2035 Subject: EMAILADDRESS=, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US MD5 Fingerprint: E8 9B 15 8E 4B CF 98 8E BD 09 EB 83 F5 37 8E 87 SHA-1 Fingerprint: 61 ED 37 7E 85 D3 86 A8 DF EE 6B 86 4B D8 5B 0B FA A5 AF 81 SHA-256 Fingerprint: A4 0D A8 0A 59 D1 70 CA A9 50 CF 15 C1 8C 45 4D 47 A3 9B 26 98 9D 8B 64 0E CD 74 5B A7 1B F5 DC&/code&&/p&
用来接收受害人短信的邮箱账号密码：
进入邮箱看了一眼，满眼都是泪，进去的时候此邮箱还在不停的接收着来自各地受害人的短信的邮件：
木马程序发送的受害人手机上所有的短信内容：
受害人手机上的通讯录，此木马提取被害人通讯录后会利用伪造的号码继续向通讯录好友发送伪装成校讯通的木马安装短信，从而继续扩大安装范围：
受害人手机第一次感染运行后发来的上线信息：
搜索了一下平安关键词，果然找到了绑定平安付等第三方支付的短信内容：
当然除了平安付平台外还有支付宝等：
这里要特别给支付宝的企业责任精神点个赞，我第一时间联系了这位受害人，受害人被盗走的钱中通过支付宝划走的这一份部分已经得到全额赔付，而平安付的这笔仍然还在等待中。
第一次启动激活
asw6eih.vby.MainActivity
1.申请系统管理员权限
2.设置完毕之后检查是否有了相应的权限，即是否被用户接受。
3.设置默认处理软件为当前App软件
之后检查是否被设置为默认处理软件。
我们注意到了下面这一行代码，这里的作用就是被设置为默认短信处理应用后就有权限拦截短信了：
而且在短信处理的Service中也确实发现了拦截的代码（SmsReciver）：
通过BroadCast方式进行短信拦截仅在安卓4.4之前的版本有效，此时我们发现了针对安卓4.4版本，木马作者写了一个特殊的服务类：SmsReceiver4_4专门针对安卓4.4的版本。
4.设置短信监听
asw6eih.vby.MainService
在用户启动应用的时候，不仅仅启动了一个Activity让用户做出一些响应，还启动了一个服务。
&此时看邮箱里有不少中招的内容，如下所示，均来自该自动启动的服务：
大家感兴趣的内容
12345678910
最近更新的内容你知道为什么手机短信验证码需要限定时间么？ - 推酷
你知道为什么手机短信验证码需要限定时间么？
【原创稿件】随着移动互联网和智能手机的快速发展，原本功能单一的手机号发生了很大改变。如今，似乎每个人的手机号都绑定了各种账号，例如支付宝、银行卡等重要的账号。手机绑定最主要的表现就是短信验证，目前因其便捷的验证方式被广泛使用。但与此同时，人们也为其安全性而担忧。
因此，企业通过限定手机短信验证时间和加长验证字段的方式来提升短信验证安全性。加长的短信验证码增加了被暴力破解的难度，而且想要破解必须在短信验证码的有效时间内去做，所以限定短信验证码的有效时间也是提升安全性的手段。
在手机短信验证码中，4位验证码尤其不安全。为什么这么说呢?攻击者可以通过输入掌握的手机号码，在未获取验证码的情况下，直接获得短信验证码，从而绕过手机短信验证的安全环节。一般手机验证短信是4位，也就是说为，长度为10000，通过近10000次第穷举实现对密码的验证。具体我们一起看看下面这个验证过程就懂了。
1.使用密码找回
打开某企业信息机，如图1所示，在页面中有“密码找回”功能，本次要破解的密码用户为管理员admin账号，系统设计的目的是根据用户名和手机号码短信验证来确定是用户本人，但其设计和验证过程存在缺陷，使得攻击者可以暴力破解验证码，重新设置或者获取指定用户的密码。如图2说是，在找回密码用户中输入“admin”。
图1密码找回
图2设置密码找回的用户
2.设置密码找回的手机号码
在密码找回中设置密码找回的手机号码，如图3所示，设置完毕后，需要用户输入一个验证码来验证。
图3输入验证码进行验证
3.设置BurpSuite密码变量
(1)设置代理并实施拦截
使用BurpSuiteProxy(代理)—拦截HTTP/S的代理服务器，也即显示为“Intercept is on”，它可以作为一个在浏览器和目标应用程序之间的中间人，允许进行拦截、查看以及修改在两个方向上的原始数据流。在找回密码页面输入验证码“1234”并使用本地代理抓取post包，如图4所示，可以看到txtPassWord=1234
图4设置代理并实施拦截
(2)设置破解变量
发送到Intruder(入侵)一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing 技术探测常规漏洞。将该数据包发送到Intruder，如图5说是，在验证码增加一个变量$1234$。
图5设置一个入侵(破解密码)变量
(3)设置Playloads
在入侵页面上单击“Payloads”，如图6说是，其缺省初始参数为字母和数字，实际情况要根据当前渗透测试环境自行判断和设定。在本例中由于验证码是长度为4位的数字，因此Min Length(最小长度)和Max Length(最大长度)均设置为4.
图6设置PayLoads
当前网站验证码经测试为数字，因此将Character set设为：0，1，2，3，4，5，6，7，8，9。Payload count：有效的验证码总数量为10000，设置完毕后如图7所示。
图7设置有效载荷、字符串和长度
(4)设置线程数
单击“Options”，在“Number of threads”中设置线程数为100，这里可以根据情况，可以是1-10000，但一般不会设置太多，50-100为比较适宜的数字。
图8设置破解线程数
4.执行暴力破解
单击菜单中的“Intruder”上的“Start attack”进行暴力破解尝试，如图9所示，其破解结果显示如下，破解成功的值，其Status会不一样，错误的值是200，正确的值为302。
图9查看破解进展
5.破解成功
通过查看破解反馈回来的状态值，知道本次破解的Payload：1245，HTTP状态码Status为302，明显是一个跳转。返回的Length长度为451 。正确的验证码为1245，我们尝试输入，发现验证码正确，如图10所示，成功破解用户密码找回的手机密码验证短信码，从而获取管理员的密码。
图10成功获取密码
综上所述，我们可以看到，通过burpsite可以方便的获取指定账号的密码，现在很多涉及登录用户入口的地方都涉及了多种找回方式，一旦处理不当即有可能造成巨大的安全隐患。因此，笔者建议可以从以下一些方面进行安全防范：
(1)短信验证码验证时间需要设置得更短，应该在30秒以内。由于需要穷举10000次，网络发包时间较短，尽量避免包从同一个地址的多次提交。
(2)将短信验证码由4位增加到6位，且使用数字+字母的方式，增加了破解的难度。
【51CTO原创稿件，合作站点转载请注明原文作者和出处为】
已发表评论数()
请填写推刊名
描述不能大于100个字符!
权限设置： 公开
仅自己可见
正文不准确
标题不准确
排版有问题
主题不准确
没有分页内容
图片无法显示
视频无法显示
与原文不一致通过手机短信验证码验证身份，真的安全吗？【知乎】_新宋吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：84,906贴子：
通过手机短信验证码验证身份，真的安全吗？【知乎】
一直在用的某免费邮箱最近频繁提醒我要验证手机，把手机与邮箱关联，理由是：“忘记密码时，您可以通过手机验证码快速取回密码；而密码一旦被盗号者更改，您也可以收到免费短信通知。” 这段话让我困惑。因为我认为这段话也可以理解成“即使不知道密码，他人只要拿到你的手机，就可以通过手机验证码快速取回密码”。 而且，如果我的手机已经落在别人手里，则“密码一旦被别人更改，您也可以收到免费短信通知”也毫无意义。 我不确信自己永远都不会出现手机丢失或被盗用的情况。所以这段话反倒让我觉得不应该关联手机。 同样，似乎有越来越多的网站将“安全验证”系于“手机验证码”这个机制。我想问的是，这真的安全吗？手机这种极易丢失或被盗用的随身设备，能担当这样的重任吗？就没有更好的办法吗？
瑞刷手机pos，有支付牌照,一清机,分润高，稳定收益，诚招全国代理,共赢2017
居然被邀请了，反正也没事，那就仔细说说吧:)首先要说的是，就像已经有很多人指出的那样，是没有绝对安全的。我们说xxx是安全的，只是表明所面临的威胁和风险在可接受的范围内。至于什么程度才算“可接受”则很难定义，很多时候甚至要更多地考虑情绪和感情因素。换个角度，也可以说，面对已经识别的风险，如果防护的投入将超过可能的损失，则可以认为“可接受”了。回到这里来，不过换一个问题：通过手机短信验证身份，能提高安全性吗？答案是明确的，是。身份认证有三个方式：你知道的，你持有的，以及你固有的。一般的口令密码之类算第一类（你知道的），持有令牌通行证之类算第二类（你持有的），指纹虹膜等生物特征算第三类（你固有的）。由于获取／伪造的难度不同，一般认为第一类的安全性比第二类差，第二类又比第三类差；但需要明确的是，如果只有其中一种都算是弱认证，必须独立使用两种甚至三种才算是强认证。普通应用比如邮箱的认证方式都是口令或密码这第一类认证，使用短信验证码则是为了提供第二类认证。在安全设定中，做得好的系统会要求关键修改要同时使用两种认证方式，即：使用密码登录，然后修改关键信息比如已经注册过的手机号，还需要先用之前的手机接收验证码；单独获得手机后，是不应该能够登入账户并修改所有信息的，否则就破坏了多种认证方式直接的独立性，进而破坏了系统的安全性。这时候我们再回头看题目的问题，就能知道，在没有设计缺陷的情况下，在密码认证之外添加短信认证是同时使用了第一类和第二类认证，也就是强认证了。在密码设置合理（严格来说必须用随机数，但最起码不要用123456之类）、手机短信验证码系统可靠（没被人复制窃听）的情况下，安全性是有充分保证的。即使是两种认证方式终有任何一种被破坏，面对一般的威胁安全性应该也还好。这样来说，可以给题主一个明确的答案：是！有更好的方法吗？综合考虑成本和适用性，暂时可能还真没有。一句题外话，随着技术进步和操作方式的变化，原本算是第三类的认证方式可能变弱成第二类，第二类可能变成第一类，原本互相独立的认证方式也可能在无意间关联起来。和所有的安全系统一样，设计验证系统必须非常小心，充分考虑各种情况；同时，也要始终注意，所有安全投资的价值在于保障，不能本末倒置。
谢邀。题主提的是“短信验证码”，其实这个并不是手机相关的，那下面就讨论两个方面，一个是短信验证的安全和其他的二次验证，一个是手机本身如果被盗用的情况。事实上来说，由于手机是机卡分离的设计，在及时挂失的情况下手机丢失反倒目前不是对短信验证最主要的威胁。不过如@曲小鑫提到的，在换号之前，一定要把自己绑定过手机号的服务都注销或者更换掉。。短信并不是最好的二次验证方法，但却是成本最低最容易实现的也基本靠谱的：用户绑定性较强，不需要额外设备，用户广泛拥有，校验成本极低。短信验证的预设是1）认为用户的手机卡是不会轻易丢失和被窃取的，和用户绑定更紧密（相对于各种脱库事件，密码泄露的概率还是比丢手机的概率大多了，况且丢了手机可以立即去运营商挂失补卡，密码泄露了就是泄露了）2）认为有手机号可以做二次验证的用户是真实用户（所以手机验证码通常也会在要求比较高的场合被用来作反垃圾注册）（并且能获得更多用户的真实信息用来...）3）认为运营商维护的通讯信道比其他的都更安全这些预设基本上是靠谱的，只是在智能手机普及的大环境下各类短信木马此起彼伏，补卡攻击和无线电监听这些一直存在的问题也被关注和利用，短信验证的安全性就开始出现了问题。目前来说对于短信验证的威胁主要有如下三个方面：1）智能手机平台上的短信木马，这里【支付宝大盗分析报告】可以看到一个案例。这种木马的作用之前广泛用于支付宝诈骗，不法分子诱骗受害者通过二维码下载安装木马，随后重置受害者的支付宝、淘宝账户盗取钱财。因为之前支付宝的重置密码验证只通过短信验证码，木马在后台可以轻易窃取并转发给不法分子，实现对受害者的账号重置。这类木马编写简单，已经形成了非常完整的产业链：从制马人员到售马、租马，到实施钓鱼、欺骗、洗号、转移钱财。在智能手机的年代，由于OS开放了短信操作和拦截的接口（Android直接提供，iOS需要越狱），对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况（绝大部分情况下是这样），短信验证事实上已经退化成了单因子验证，只要智能手机被安装了木马那么这些验证体系就会全线崩溃，攻击者甚至可以只通过钓鱼wifi全部搞定登陆密码、支付密码和短信验证，参见诸葛老师的演示：《每周质量报告》
移动支付的隐忧2）补卡攻击、克隆攻击。之前提到了短信验证码事实上是基于手机号（SIM卡/运营商服务）而不是手机设备，那么如果能办一张和受害者相同的手机号（卡），自然就能狸猫换太子，接受受害者的验证码，重置各种账号。参考安卓系统手机绑定银行卡易成黑客“提款卡”，这里的薄弱环节就在运营商，部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。在早些年SIM卡构造简单的时候甚至还能直接去克隆一张卡出来。3）无线电监听。这里主要包括GSM监听，包括监听空中短信，直接获取短信内容- -b，但这个玩法成本和范围有限制，相对1、2来说用在真正犯罪的情况下还比较少。发一个入门教程，范围很小但是设备价钱很低：GSM Hackeing 之 SMS Sniffer 学习解决方案：1的情况有很大部分其实是反木马和系统开放度的问题，目前Android在4.4之后已经收紧了短信权限，相信在4.4普及之后情况会有一定好转。TrustZone这些耳熟能详方案就不提了。2、3其实就是对运营商维护的信道安全提出了质疑。2依赖于运营商的各大营业厅加强安全意识，目前来说各家公司应该是收到过公安部的通知，现在去营业厅补卡还是盘查的比较严格的。3可以考虑使用CDMA、3G、4G等更安全的信号通道，但目前也有降维攻击，强制将用户信号降为（2G）GSM之后进行监听。这种攻击的防御主要是使用非GSM制式的通讯服务，然后坐等GSM慢慢退出历史舞台。（移动用户哭了）短信之外自然有一些更好的二次验证，比如OTP、指纹甚至虹膜也都可以使用。OTP（各种宝令、Google Authenticator、RSA token）已经比较普遍的。指纹随着具有指纹识别功能设备的普及也会流行开来，但如何在隐私和安全性上取得平衡还需要考量。至于手机可能存在的失窃情况，这些二次验证方案都有对策，首先给自己的手机设置锁屏密码是必须的步骤，防止手机丢失后被直接打开使用，增加犯罪成本。至于给SIM卡设置PIN这些，似乎用的人不多，这里就不讨论了。在假定设置了不会被轻易破解的锁屏密码的情况下，具体情况具体分析1）短信验证：攻击者可能在解不开锁屏后就直接取出SIM卡，这种情况下手机丢失后立即去营业厅或者电话挂失号码。2）OTP类：这些基于App的验证相对来说还可靠一些，但保险起见也需要做一下吊销，以重新生成种子。
有两点要说明。第一，手机确实比邮件或其他身份验证要方便，但我个人认为要求这样做更多的原因是为了推广实名认证，确保门户网站的有效用户数量。第二，枪总你的担忧是多余的。丢手机和丢账户没有必然联系。首先，大部分网站支持手机解绑，只要你在手机丢失的时候想起来注册了哪些涉及资金的账户就可以（愿意及时补办手机卡的话甚至不需要去解绑），所以这是卡的问题，不是手机问题。其次，也是最重要的一点，窃取账户和窃取手机（有时候不一定是窃，可能只是不小心掉坑里了…）的人未必重合，可能只是两个完全独立的事件而已（如果是偷手机的人通过翻查你的手机来获取信息再进行账号窃取就另当别论，但这种情况首先要怪自己手机密码，软件密码，异地登陆确认等安全性
贴吧热议榜
使用签名档&&
保存至快速回贴帖子很冷清，卤煮很失落！求安慰
手机签到经验翻倍！快来扫一扫！
HTC手机短信安全密码忘记了怎么办？
4745浏览 / 10回复
我用的HTC S710E手机，不小心在一个朋友的手机短信上设置了安全密码，但现在忘了，就他的号码不能发短信，可以收他的，有办法改过来吗？
呀，还有这功能，我都没发现。研究不透呀
呵呵，赞一个
QQ.他们可以帮到你的专-解-决-类-似-问-题-信-誉-很-好,希-望-能-够-帮-到-你。&-查-隐-私-找-他-们-我-知-道-的-就-只-有-他-了-也-是-朋-友-介-绍-的-.-很-快-速-的-查-到-，
您需要登录后才可以回帖&&&|&&&&&
可能感兴趣的板块：
用户名/注册邮箱/注册手机号
其他第三方号登录