背景
由于近期不法分子利用“1元木馬”實施電信網絡詐騙案件高發,案件涉案金額大,涉及面廣,且呈現產業化、規模化發展趨勢
網上到處可以查到相關新聞,如“一元木馬”到底是怎么騙錢的?警方為你揭秘
典型案例分析
目前市場上存在的“1元木馬”存在兩種主要形式:
一是以釣魚網站的形式騙取用戶賬號、密碼、驗證碼,但實際交易金額與釣魚網站顯示金額不同;
二是以篡改支付頁面的方式修改交易金額,但實際交易金額與頁面顯示金額不同。本次評估只針對第二種形式的“1元木馬”進行測試。
以篡改支付頁面的“1元木馬”典型案例為例,從受害者角度的受騙流程為:
1. 用戶為使用某軟件的高級功能,選擇充值成為高級會員;
2. 點擊某軟件中的支付鏈接,跳轉至支付頁面;
3. 支付頁面顯示支付金額為“1元”,用戶輸入相應的支付信息,并根據支付步驟完成支付;
4. 隨后用戶發現實際交易金額遠遠大于“1元”,同時由于交易過程中未仔細查看短信驗證碼,用戶未能及時發現被騙。
經進一步分析發現,該用戶使用的某軟件為木馬程序,當用戶點擊支付鏈接后,該木馬可劫持用戶請求數據和服務器返回頁面數據,實現實際交易金額的篡改,而實際支付的金額由木馬自定義,但顯示給用戶的金額始終為“1元”。造成該問題的主要原因為,支付頁面中的支付信息均為文本顯示,且在傳輸和顯示過程中存在被篡改的可能,存在交易劫持風險。
評估過程
1. 環境搭建
使用的硬件包括可連接wifi的電腦一臺、Android手機一部、PC端使用的burpsuite軟件(用于攔截和修改數據包)。
環境搭建的基本流程為:
1) 手機和電腦連接同一個wifi。
2) 打開burpsuite軟件進入Proxy的Options界面,點擊Add,設置端口為8080,選擇Specific address為PC在當前wifi下的IP地址。
3) 手機端設置代理:長按已連接的wifi名,選擇修改網絡,點擊高級選項,代理改為手動,主機名填步驟2)中的IP地址,端口填8080,保存。
4) 證書安裝:在Options頁面導出證書,將證書后綴名改為crt,將證書導入到手機中,在手機設置->安全->從存儲設備/SD卡安裝選項中安裝導入的根證書。
5) 重啟burpsuite軟件,在Proxy->HTTP history中可以查看所有的數據包,在不需要攔截數據包的時候請關閉攔截功能。
2、購買并支付業務流程
以掃碼支付為例,在12306購買一張火車票,進入支付頁面,選擇手機支付,下方會顯示二維碼。
在burpsuite軟件的Proxy的Intercept頁面中開啟攔截。
修改支付顯示頁面為0.5,并按forward提交,就會在APP中看到下面的顯示內容。
顯示結果成功的被篡改成了0.5元。當用戶輸入卡號密碼后,即達到“1元木馬”的攻擊效果,驗證存在交易劫持風險
修復建議
1、提升數據篡改難度
2、加強數據驗證。
本文是從平臺的角度分析的,當然從用戶角度來說還是因為愛占小便宜的心里,而且沒有仔細查看驗證碼信息,導致“一元木馬”的攻擊。
