背景
由于近期不法分子利用“1元木马”实施电信网络诈骗案件高发,案件涉案金额大,涉及面广,且呈现产业化、规模化发展趋势
网上到处可以查到相关新闻,如“一元木马”到底是怎么骗钱的?警方为你揭秘
典型案例分析
目前市场上存在的“1元木马”存在两种主要形式:
一是以钓鱼网站的形式骗取用户账号、密码、验证码,但实际交易金额与钓鱼网站显示金额不同;
二是以篡改支付页面的方式修改交易金额,但实际交易金额与页面显示金额不同。本次评估只针对第二种形式的“1元木马”进行测试。
以篡改支付页面的“1元木马”典型案例为例,从受害者角度的受骗流程为:
1. 用户为使用某软件的高级功能,选择充值成为高级会员;
2. 点击某软件中的支付链接,跳转至支付页面;
3. 支付页面显示支付金额为“1元”,用户输入相应的支付信息,并根据支付步骤完成支付;
4. 随后用户发现实际交易金额远远大于“1元”,同时由于交易过程中未仔细查看短信验证码,用户未能及时发现被骗。
经进一步分析发现,该用户使用的某软件为木马程序,当用户点击支付链接后,该木马可劫持用户请求数据和服务器返回页面数据,实现实际交易金额的篡改,而实际支付的金额由木马自定义,但显示给用户的金额始终为“1元”。造成该问题的主要原因为,支付页面中的支付信息均为文本显示,且在传输和显示过程中存在被篡改的可能,存在交易劫持风险。
评估过程
1. 环境搭建
使用的硬件包括可连接wifi的电脑一台、Android手机一部、PC端使用的burpsuite软件(用于拦截和修改数据包)。
环境搭建的基本流程为:
1) 手机和电脑连接同一个wifi。
2) 打开burpsuite软件进入Proxy的Options界面,点击Add,设置端口为8080,选择Specific address为PC在当前wifi下的IP地址。
3) 手机端设置代理:长按已连接的wifi名,选择修改网络,点击高级选项,代理改为手动,主机名填步骤2)中的IP地址,端口填8080,保存。
4) 证书安装:在Options页面导出证书,将证书后缀名改为crt,将证书导入到手机中,在手机设置->安全->从存储设备/SD卡安装选项中安装导入的根证书。
5) 重启burpsuite软件,在Proxy->HTTP history中可以查看所有的数据包,在不需要拦截数据包的时候请关闭拦截功能。
2、购买并支付业务流程
以扫码支付为例,在12306购买一张火车票,进入支付页面,选择手机支付,下方会显示二维码。
在burpsuite软件的Proxy的Intercept页面中开启拦截。
修改支付显示页面为0.5,并按forward提交,就会在APP中看到下面的显示内容。
显示结果成功的被篡改成了0.5元。当用户输入卡号密码后,即达到“1元木马”的攻击效果,验证存在交易劫持风险
修复建议
1、提升数据篡改难度
2、加强数据验证。
本文是从平台的角度分析的,当然从用户角度来说还是因为爱占小便宜的心里,而且没有仔细查看验证码信息,导致“一元木马”的攻击。
网友评论