世界上最遠(yuǎn)的距離不是 520 我站在你面前，你沒有發(fā)紅包給我，而是你拿著一張百夫長(zhǎng)黑金卡，而我，拿著一張每月余額艱難在正負(fù)間掙扎的銀行卡。

[[266469]]

銀行卡怎么了?誰還沒有么?

有，現(xiàn)在遠(yuǎn)程開戶就能辦理。

不僅是銀行卡，電話卡、社?？ǖ纫捕伎梢赃h(yuǎn)程辦理。

呵，就算擁有的余額一言難盡，還是有人盯上我的銀行卡，不過背后黑手的目標(biāo)并不是簡(jiǎn)簡(jiǎn)單單這張“銀行卡”。

今天，編輯與梆梆安全的高級(jí)安全顧問趙千里聊了聊，揭秘背后黑手如何在你遠(yuǎn)程開戶的過程中搞小動(dòng)作，他們的目的又是什么。

憂傷的金融業(yè)

以銀行卡開戶為例。

話說現(xiàn)在的銀行儲(chǔ)蓄卡基本分為三類：一類卡、二類卡、三類卡。

1.持有數(shù)量不同

一類卡一個(gè)銀行只可以有一張;

二類、三類卡不限制。

2.交易限額不同

一類卡沒有限額;

二類卡非綁定賬戶轉(zhuǎn)入資金、存入現(xiàn)金日累計(jì)限額合計(jì)為1萬元，年累計(jì)限額合計(jì)為20萬元等。

三類卡余額不得超過1000元;非綁定賬戶資金轉(zhuǎn)入日累計(jì)限額為5000元，年累計(jì)限額為10萬元等。

在銀行的操作中，一類卡開戶必須用戶到銀行現(xiàn)場(chǎng)開戶，但是二、三類卡可以遠(yuǎn)程開戶。

遠(yuǎn)程開戶的中心要義是：證明我是我，還要證明我是合法的我。

具體操作步驟是，先通過手機(jī)卡和對(duì)應(yīng)的驗(yàn)證碼通過第一層驗(yàn)證，再上傳身份證的正反面信息，通過人臉識(shí)別通的驗(yàn)證，接著關(guān)聯(lián)一類銀行卡賬號(hào)，最后，填寫個(gè)人信息、電子簽名等完成開戶。

[圖片來源：央視新聞]

看上去這些步驟都很簡(jiǎn)單，而且大大節(jié)約了去銀行窗口現(xiàn)場(chǎng)開卡的時(shí)間，但是有很多安全風(fēng)險(xiǎn)，可以直接造成幾類后果：

• 1.在銀行搞活動(dòng)時(shí)，批量開卡薅羊毛，套取現(xiàn)金;
• 2.利用第三方支付平臺(tái)漏洞，用虛假賬號(hào)盜取資金;
• 3.有些人向黑產(chǎn)販賣虛假賬戶的信息，自己搞一把虛假賬號(hào)，又通過黑產(chǎn)來販賣做好的虛假賬號(hào)的信息，實(shí)現(xiàn)“完美閉環(huán)”;
• 4.通過虛假的賬號(hào)信息實(shí)施詐騙、洗錢等非法活動(dòng)。

總之一句話，搞錢，干壞事。

黑產(chǎn)的 N 個(gè)詭計(jì)

我們來看看黑產(chǎn)的招數(shù)：

第一招，偷梁換柱。

攻擊者想用別人的身份信息注冊(cè)，但手里沒有別人的手機(jī)卡，得不到驗(yàn)證碼，怎么辦?他想到了一招——自己找一個(gè)170號(hào)段的非實(shí)名制手機(jī)號(hào)接收短信，通過第一關(guān)。

但是，問題來了，這個(gè)170的手機(jī)號(hào)也不是別人的真手機(jī)號(hào)，他是怎么蒙混過關(guān)的?

原來，最終提交的數(shù)據(jù)是非法手機(jī)號(hào)，服務(wù)端驗(yàn)證會(huì)出錯(cuò)，但是攻擊者將提交驗(yàn)證的數(shù)據(jù)劫持并將手機(jī)號(hào)改成了別人的真手機(jī)號(hào)。

第二招，臨門一腳截胡。

攻擊者上傳假照片，虛假手機(jī)驗(yàn)證碼等，雖然這些驗(yàn)證環(huán)節(jié)均失敗，但是在最后后臺(tái)結(jié)果返回時(shí)，篡改結(jié)果，由于這幾項(xiàng)信息沒有連接起來統(tǒng)一認(rèn)證，服務(wù)端認(rèn)為“結(jié)果對(duì)”則“程序?qū)?rdquo;，前面一系列認(rèn)證都算通過。

第三招，誰真誰假?

攻擊者用真實(shí)信息開戶，真實(shí)信息開戶上傳到服務(wù)端時(shí)，服務(wù)端明確信息沒有問題，返回的數(shù)據(jù)允許正常開戶，你以為他要開具一張真卡?錯(cuò)，攻擊者把服務(wù)端發(fā)回的數(shù)據(jù)包改成驗(yàn)證失敗，客戶端拿到服務(wù)端驗(yàn)證失敗的結(jié)果后選擇再提交一次，由于客戶端身份已經(jīng)被認(rèn)可，服務(wù)端會(huì)接受后續(xù)客戶端發(fā)送的數(shù)據(jù)，這時(shí)攻擊者通過篡改的方式提交一次虛假信息，就能實(shí)現(xiàn)使用虛假信息的虛假開戶

第四招，搞定客戶端。

攻擊者直接破解客戶端的源碼，篡改運(yùn)行中的業(yè)務(wù)數(shù)據(jù)，實(shí)現(xiàn)虛假開戶。

第五招，見招拆招。

由于身份證識(shí)別系統(tǒng)和一些人臉識(shí)別系統(tǒng)存在缺陷，攻擊者可以通過身份證生成器、PS 照片通過驗(yàn)證。

運(yùn)營(yíng)商發(fā)現(xiàn)了蛛絲馬跡

攻擊者“隔空”截胡銀行卡手段這么多，搞起運(yùn)營(yíng)商來也不含糊。

趙千里說，運(yùn)營(yíng)商的渠道商，包括虛擬運(yùn)營(yíng)商可通過實(shí)名制遠(yuǎn)程開卡，有專門的開卡設(shè)備。在一次監(jiān)測(cè)中，他發(fā)現(xiàn)運(yùn)營(yíng)商在實(shí)名開卡中，服務(wù)端暴露了異常開卡的信息，運(yùn)營(yíng)商的 POS 系統(tǒng)顯示，客戶端存在虛假設(shè)備、虛假地理位置和虛假身份證。

攻擊者是如何暴露的?

比如，開卡的時(shí)間間隔很短，十秒鐘來一個(gè)。

業(yè)務(wù)日志里也存在蛛絲馬跡，安全研究員發(fā)現(xiàn)，數(shù)據(jù)中缺少一些正常的手機(jī)字段，比如設(shè)備識(shí)別信息、IMEI、OS info、安卓 ID 等，基本可以判斷是模擬器開的卡。

員工在 A 地，卻頻繁在 B 地開卡等。

攻擊者展開了“釣魚”的騷操作，他們首先提供了真實(shí)的個(gè)人信息，利用這些個(gè)人信息實(shí)現(xiàn)了虛假身份證的制作，然后使用模擬器攻擊框架，破解客戶端，獲得內(nèi)存數(shù)據(jù)，或者利用通訊協(xié)議對(duì)數(shù)據(jù)進(jìn)行批量的篡改。這些數(shù)據(jù)傳到服務(wù)端時(shí)，服務(wù)端通常照單全收，N 個(gè)假賬戶出來了。

幾個(gè)防范招式

雷鋒網(wǎng)發(fā)現(xiàn)，判斷一個(gè)客戶端行不行，也許就跟找對(duì)象一樣復(fù)雜。

第一，要考察對(duì)象自身的人品——這個(gè)終端是否安全可靠。

第二，他都跟什么人來往——終端所處的環(huán)境是否可以信任?

趙千里說，需要檢測(cè)運(yùn)行過程，防止動(dòng)態(tài)注入。防止內(nèi)存數(shù)據(jù)被篡改，判定運(yùn)行環(huán)境中是否存在模擬器、攻擊框架，以及代理是否被截獲。

通過歷史運(yùn)行數(shù)據(jù)判定運(yùn)行環(huán)境是否在合理的范圍內(nèi)，比如是否有地理位置欺詐，還要防止代碼被反編譯，邏輯被暴露，同時(shí)也要通過滲透測(cè)試這樣的手段來明確業(yè)務(wù)中存在的安全風(fēng)險(xiǎn)，及時(shí)修復(fù)。

比如，他曾遇到一個(gè)這樣的案例——一家電商 App 的業(yè)務(wù)邏輯被人發(fā)現(xiàn)了。

“你能輸出的金額是一塊錢到 9999，你下個(gè)單，后臺(tái)的服務(wù)器不會(huì)驗(yàn)證你發(fā)過來的金額。如果這件商品的正常價(jià)格就是 98 元，后臺(tái)只要提交數(shù)據(jù)，不會(huì)再次驗(yàn)證金額，就會(huì)直接給你發(fā)貨。”趙千里對(duì)雷鋒網(wǎng)說。

你以為攻擊者會(huì)改成 1 塊錢嘗試性付款嗎?

不!1塊錢都不會(huì)給你。

攻擊者破解 App 后，找到了客戶端到服務(wù)端的接口，然后制作一個(gè)假客戶端，登陸賬號(hào)，把值改成了“-1”。

什么，還倒欠人一塊錢???

原來，很多字段定義時(shí)，不能識(shí)別“-1”。而有時(shí)數(shù)據(jù)庫定義字段時(shí)，“-1”等于最大數(shù)，攻擊者輸入“-1”后獲得了 9999 的購買力。

“但是電商在做這個(gè) App 時(shí)，首先不會(huì)考慮這個(gè)問題，它沒有考慮到攻擊者攻破App 后手動(dòng)生成了一條交易，所以核心點(diǎn)是，它最初認(rèn)為移動(dòng)端是可信的，現(xiàn)在發(fā)現(xiàn)不可信后，就需要基于客戶端不可信的情況做監(jiān)管手段。”趙千里說。

本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請(qǐng)至雷鋒網(wǎng)官網(wǎng)申請(qǐng)授權(quán)。